Accueil > Base de connaissances > F. Sauvegarde et sécurité > Comment installer un certificat SSL

Comment installer un certificat SSL


Avoir un site web en SSL à 100% est hautement recommandé :

- un cadenas sans warning dans votre URL, cela donne une image sérieuse de vous immédiatement
- de maximiser la confiance de vos clients (intégrité données personnelles et bancaires)

- d'avoir un meilleur référencement car google intègre cette variable dans son classement :
http://www.abondance.com/actualites/20140807-14164-les-sites-securises-https-seront-mieux-positionnes-google.html 

- mieux lutter contre plusieurs types d'attaques web
- bénéficiez du protocole Http2 : vitesse + sécurité
- Ca vous dit quelque chose : Edward Snowden ? oui... le SSL permet de crypter les navigations sur votre site, et ca, tout le monde l'a enfin compris... filtrant ainsi les espions marketing invasifs...
- Au final : favoriser les ventes !

Lire aussi :
https://www.yoorshop.fr/announcements/348/Annonce-tres-importante--de-Google-sur-le-SSL-pour-janvier-2017.html 
mode http2


Dans le passé, c'était assez compliqué d'installer un SSL. Ce temps est révolu, c'est maintenant soit en 0 clic, soit quelques clics !

Pour installer un certificat SSL, votre domaine doit impérativement pointer sur nos serveurs : IP ou nos DNS, (propagation incluse)

1. Méthode automatique
Avec AutoSSL de cPanel : il génère de manière automatique des SSL gratuits Let's encrypt pour tous les domaines et sous-domaines...
Le processus automatique opère chaque nuit vers 6h du matin, mais aussi lorsqu'un domaine est ajouté sur le serveur à condition qu'il pointe déjà sur le serveur au préalable pour que le SSL puisse être installé :
Vérifiez votre IP par :
https://www.whatsmydns.net/#A
Vos DNS par :
https://www.whatsmydns.net/#NS
(ils doivent correspondre à celui donné dans le mail donné lors de votre commande qui comprend toutes les informations de vos services)
NB : Le protocole SSL ne sera installé que lorsque ces modifications précédentes seront effectuées et suffisamment propagées, 1 heure pour l'entrée A, plusieurs heures pour les DNS.


Vous devez ensuite vérifier tester si votre certificat SSL ne serait pas déjà mis en place.
Depuis votre cPanel, section Sécurité : "SSL/TLS Status", si c'est le cas : vous verrez : "AutoSSL domain validated"

Security cPanel
Si pas de SSL pré-installé par cPanel, utilisez la procédure manuelle comme décrite ci-après

2. Méthode manuelle
Installer facilement et gratuitement un un ou des certificats SSL

Sélectionnez d'inclure ou exclure les domaines et sous-domaines ou vous voulez un SSL, en général :

votredomaine.fr
www.votredomaine.fr
mail.votredomaine.fr

Ensuite, cliquez Run AutoSSL

Le domaine doit aussi pointer chez nous, voir détails au point 1.

Allez à la section Sécurité, puis icône "Let's encrypt SSL" :

let's encrypt cPanel

Attention : un problème de cache local SSL peut être observé et se résoudra seul dans les heures suivantes, ceci est normal, utilisez temporairement un proxy web externe afin de constater fonctionne bien dorénavant avec le SSL : https://hidester.com/fr/proxy/

NB 1 : une fois sur votre SSL activé, patientez 1 minute que le serveur prenne en compte ceci, puis tapez votre domaine avec https:// pour un aperçu, si vous voyez un warning dans le cadenas de l'URL, ou pas de cadenas vert dans chrome, ceci est dû à des éléments qui chargent encore en http, ceci peut impliquer des modules, il faut donc pour les CMS que vous activiez le mode SSL car cela convertira toute ou partie des problèmes :
- prestashop a la fonction native pour le SSL dans l'admin
- pour wordpress il suffit depuis votre admin, section réglages général, de modifier votre domaine pour qu'il soit de cette forme : https://www.mondomaine.com, puis pour rediriger toutes les pages vers https://, installer le plugin Easy HTTPS Redirection, puis trouver dans générales HTTPs redirection, cliquez : 
Enable automatic redirection to the "HTTPS"  + The whole domain
Force resources to use HTTPS URL

Pour les autres CMS, consultez la documentation de l'éditeur.

Résolution des warnings persistants : 
Dans firefox, appuyez sur le warning, puis cliquez "médias", puis "plus d'informations", et repérez/corrigez les http en https dans votre site, parfois il s'agit de réinstaller des modules, d'autres fois de modifier le code en brut.

NB 2 : Les SSL sont émis pour 3 mois, et se renouvellent automatiquement avant expiration !
NB 3 : En ce qui concerne google webmaster tools, vous pouvez aussi ajouter votre domaine en version SSL
NB 4 : Pour l'histoire du "www" il est possible de le faire fonctionner dans le cas du sous-domaine, cela dépendra comment vous avez crée le sous-domaine avec ou sans "www", ce qui est cas rare
NB 5 : un dossier va être crée dans les fichiers de votre site : .well-known, laissez-le bien en place, il va servir aux renouvellements automatiques futurs...
NB 6 : on ne peut pas installer un SSL sur un domaine ajouté : "alias" puisqu'il redirige sur un autre, impossible de vérifier le domaine pour le processus d'installation SSL


2. Si votre site/CMS n'a pas une telle fonction d'activation du SSL
A. Allez dans la section Domaines de votre cPanel : Redirections, et programmez ce que vous désirez
OU
B. Par insertion dans votre fichier .htaccess :
RewriteEngine on
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


Si vous voulez rester sur des pages sans www, et donc rediriger parfaitement les demandes www. vers sans www, remplacez les lignes 2 et 3 par :

RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]


Vérification SSL http2 :
https://tools.keycdn.com/http2-test 


3.
 HSTS  : certification de votre SSL en HSTS avec le niveau A+ par Nginx, s
i :

- vous utilisez seulement le 100% SSL, cela veut dire sur toutes vos pages sans exception
- votre site web ne montre aucun signe de warning du SSL sur aucune page
- n'utilisez pas cloudflare en version gratuite car ne sera pas compatible avec le SSL tout court


Chez YOORshop, on ne néglige pas le cryptage et la sécurité, vous obtiendrez un SSL de classe A, et même A+ avec le HSTS du point 2 ci-après (alors que 95% des serveurs du marché arrivent à peine au niveau B).

Alors, nous pouvons vous monter au top niveau sécurité/performance avec la norme HSTS :
https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
http://www.bortzmeyer.org/6797.html

Pour procéder, suivez les instructions :

Allez dans votre cPanel, section 'Nginx cluster control', cliquez sur 'AUTOM8N XtendWeb'

Choisissez votre domaine puis cliquez 'Configure'
Ensuite, cliquez sur 'Server settings', voyez la ligne :
'hsts - add_header Strict-Transport-Security "max-age=86400" always;'
Juste dessous vous voyez que c'est désactivé : 'Disabled', cliquez donc sur 'enabled', puis en bas de la page cliquez : 'Submit'

 

Cela vous confirmera ensuite que HSTS est actif :

Strict-Transport-Security Supported


Excellent ! This website is using HSTS, also known as Strict Transport Security. This tells the browser to always use SSL when talking to this website, allows more of your visitors the opportunity to both be secure and to use SPDY. The server is sending the header Strict-Transport-Security: max-age=2592000 which tells the web browser to always use SSL to access this website for the next 180 days.

Avec le HSTS, vous aurez un SSL de niveau A+, exemple :
https://www.ssllabs.com/ssltest/analyze.html?d=e-benedetti.fr 


4. Optionnel :
Pensez à ajouter la version https de votre site dans google webmaster tools, avec le sitemaps contenant vos URL en https.
Google comprendra mieux le lien entre le site http et https, afin de transférer votre SEO acquis au site https.

Certificat SSL EV

Si vous voulez une barre verte comme nous, vous devez acheter ce SSL spécifique à notre partenaire recommandé:
Https://www.gogetssl.com 
Celui que nous avons :
https://www.gogetssl.com/extended-validation/comodo-ev-ssl/
Vous devez avoir une entreprise avec personne morale pour acheter ce dernier (ne fonctionne pas si seul commerçant personne physique), et vous devrez compléter seul le processus administratif avec Comodo et le support Gogetssl. (Nous vous recommandons de l'acheter pendant 2 ans directement pour éviter le processus administratif de renouvellement).

Vous aurez besoin de votre DUNS, obtenez-le gratuitement et en 30 secondes grâce à YOORshop : 
http://fedgov.dnb.com/webform/displayHomePage.do


Une fois que vous avez obtenu votre certificat, suivez la procédure avec leur interface et votre cPanel : SSL/TLS.

Cette réponse était-elle pertinente?

 Imprimer cet article

Consultez aussi

Lutter contre le trafic de robots zombie

Nous considérons cet article comme déprécié partiellement, nous avons vu que les robots les...

Sécurité de vos fichiers/scripts

Les versions PHP sont régulièrement mises à jour pour renforcer leur stabilité, performance, et...

Injections de fichier PHP : file uploads ON-OFF

Cet article a vocation d'expliquer le rôle controversé et nécessaire de la variable du php.ini...

Sauvegarde et restauration de vos données

1. Vous pouvez à tout moment instantanément sauvegarder/restaurer vous même votre compte de...

Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus...