Yop,
oui, Mozilla a même annoncé que les sites demandant un mot de passe sur une page HTTP (pas HTTPS) génèreront une alerte.
Chez OVH, pour les mutus, le process est très simple: dans le manager, on ouvre son hébergement (dans la section du même nom), et là, depuis l'onglet "Multi-site", on peut activer SSL sur chaque domaine lié à l'hébergement (pinceau d'édition du domaine -> cocher SSL -> valider).
Une fois l'opération faite, on patiente quelques heures (2h apparemment) puis on clique sur "Regénérer le certificat SSL". Hop, c'est terminé!
Il faut compter 24h pour que ledit certificat se propage. A partir de là, on peut accéder au site en HTTPS, sans erreur. Ca coûte 0€ (c'est compris dans l'offre mutu de chez eux). C'est le process que j'ai suivi pour passer tous mes projets en HTTPS.
Enfin, pour basculer les liens HTTP vers HTTPS, histoire de ne pas perdre en référencement, un simple htaccess suffit:
Perso, j'active aussi HSTS, qui permet de dire au navigateur "tu t'es connecté en HTTPS sur ce site, à partir de maintenant, tous les liens HTTP tu les transformes tout seul en HTTPS". Cela évite de laisser fuite des cookies par mégarde (entre autre):
Et tant qu'à être dans la sécu, on peut aussi en profiter pour basculer tous les cookies en SecureOnly (ils ne seront pas envoyés en clair sur le réseau) et en HttpOnly (ils ne seront pas accessibles par Javascript):
Et on termine avec la Content Secutiry Policy, qui permet de dire "voilà les ressources (CSS, JS, images, etc) que mon site a le droit de charger". Cela mitige les attaques XSS:
Autant pour la redirection HTTP->HTTPS, le HSTS et les cookies, y'a juste à C/C les codes précédents, autant pour la CSP il faudra vous creuser un peu plus la tête, car chaque site a ses propres besoin et ses propres règles (ie: vous n'avez peut-être pas besoin de twitter sur votre site).
Et je le mets en article du coup, parce que cela a effectivement de l'importance: https://toile.reinom.com/https-cest-maintenant/
oui, Mozilla a même annoncé que les sites demandant un mot de passe sur une page HTTP (pas HTTPS) génèreront une alerte.
Chez OVH, pour les mutus, le process est très simple: dans le manager, on ouvre son hébergement (dans la section du même nom), et là, depuis l'onglet "Multi-site", on peut activer SSL sur chaque domaine lié à l'hébergement (pinceau d'édition du domaine -> cocher SSL -> valider).
Une fois l'opération faite, on patiente quelques heures (2h apparemment) puis on clique sur "Regénérer le certificat SSL". Hop, c'est terminé!
Il faut compter 24h pour que ledit certificat se propage. A partir de là, on peut accéder au site en HTTPS, sans erreur. Ca coûte 0€ (c'est compris dans l'offre mutu de chez eux). C'est le process que j'ai suivi pour passer tous mes projets en HTTPS.
Enfin, pour basculer les liens HTTP vers HTTPS, histoire de ne pas perdre en référencement, un simple htaccess suffit:
Code :
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]Perso, j'active aussi HSTS, qui permet de dire au navigateur "tu t'es connecté en HTTPS sur ce site, à partir de maintenant, tous les liens HTTP tu les transformes tout seul en HTTPS". Cela évite de laisser fuite des cookies par mégarde (entre autre):
Code :
# HSTS forces the use of HTTPS by the browser even if a link was HTTP
# It works only on HTTPS, and only with no certificat error
# The duration is 1 year
# https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
Header always set Strict-Transport-Security "max-age=31536000"Et tant qu'à être dans la sécu, on peut aussi en profiter pour basculer tous les cookies en SecureOnly (ils ne seront pas envoyés en clair sur le réseau) et en HttpOnly (ils ne seront pas accessibles par Javascript):
Code :
# Cookies config: No "Secure" on non-HTTPS domains, but always HttpOnly
Header edit Set-Cookie ^(.*)$ $1;Secure env=!SKIP_HTTPS
Header edit Set-Cookie ^(.*)$ $1;HttpOnlyEt on termine avec la Content Secutiry Policy, qui permet de dire "voilà les ressources (CSS, JS, images, etc) que mon site a le droit de charger". Cela mitige les attaques XSS:
Code :
# CSP see https://www.w3.org/TR/CSP/
Header always set Content-Security-Policy "default-src *.twitter.com 'self'; style-src 'self' 'unsafe-inline'; script-src *.twitter.com 'self' 'unsafe-inline'"
# These got deprecated by CSP but are still recommended as of 2016
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"Autant pour la redirection HTTP->HTTPS, le HSTS et les cookies, y'a juste à C/C les codes précédents, autant pour la CSP il faudra vous creuser un peu plus la tête, car chaque site a ses propres besoin et ses propres règles (ie: vous n'avez peut-être pas besoin de twitter sur votre site).
Et je le mets en article du coup, parce que cela a effectivement de l'importance: https://toile.reinom.com/https-cest-maintenant/