Aujourd’hui nous allons voir un sujet important qui va devenir une obligation en juillet 2018 : le passage des sites web en https. Le HTTPS qui signifie Hyper Text Transfer Protocol Secure vise à sécuriser le transfert de données en cryptant les informations échangées. Régulièrement, lors de vos achats sur des boutiques de e-commerce vous naviguez sur des sites sécurisés en https. Ainsi, sur votre barre d’adresse, dans vote navigateur, pour pouvez voir le petit cadenas vert s’afficher devant cette dernière ce qui vous assure de la sécurité du site. Jusque là, le passage au https n’était pas une réelle obligation, même s’il présentait des avantages. C’est pourquoi d’ailleurs, j’avais passé mes deux blogs en https il y a plusieurs mois pour profiter de ces derniers et en prévision des nouvelles normes de Google. En effet, à partir de juillet 2018, Google va pénaliser les sites qui ne seront pas en https. Ces sites seront clairement identifiés comme « non sécurisés » ce qui risque de faire perdre la confiance de vos lecteurs en suscitant la suspicion quant à un site non fiable voir dangereux.
Les avantages à passer en https
1. Éviter d’avoir un site avec une mention « non sécurisé »
Comme nous venons de le voir, ce joli petit message s’affichera à l’ouverture de votre site internet ou de votre blog et, même s’il ne reste qu’un message, il risque d’avoir un impact négatif sur vos lecteurs qui pourraient perdre leur confiance en suspectant que votre site est potentiellement dangereux. Personnellement, je vous avoue que je réfléchirai à deux fois avant de poursuivre ma navigation sur de tels sites tout en sachant que cela reste une alerte (mais évidemment, pour certains, les failles de sécurité existeront bel et bien).
2. Améliorer son positionnement Google
C’est pour cet avantage-ci que j’ai effectué le changement l’année dernière car Google, en cherchant à sécuriser de plus en plus de plateformes, a décidé de mettre en avant des sites protégés en https plutôt que ceux en http. Ainsi, cela permet de se retrouver mieux positionner dans le fameux ranking de Google.
3. Protéger ses données et celles de ses lecteurs
Le https est un codage qui permet de sécuriser les données échangées entre les sites internet. En ce mois de mai, cela va devenir de plus en plus critique avec l’application, le 25 mai prochain, du texte adopté par le parlement en avril 2016, nommé RGPD ou Règlement Général sur la Protection des Données. Ce texte qui vise tous les acteurs du numérique a pour mission de permettre de mettre en place des actions protégeant les données personnelles des internautes lors de leur navigation. On a vu récemment, comme avec les nombreux scandales du type Facebook, que la protection des données personnelles est vraiment au coeur de l’actualité. La CNIL a publié récemment le Guide de la Sécurité des Données Personnelles qui offre déjà pas mal d’informations sur le sujet.
Quelles sont les modifications à apporter à son site pour être conforme aux normes du RGPD ?
Le Règlement Général sur la Protection des Données vise à informer les internautes de la manière dont vont être collectées les données et leur donner la possibilité d’agir en conséquence. En tant que blogueur ou possesseur de site internet vous vous devez donc de participer à cela en expliquant clairement la manière dont vous collectez et gérez les données personnelles de vos visiteurs mais aussi donnez la possibilité à ces derniers d’être acteurs en acceptant ou non la collecte de ces informations.
1. Informer vos utilisateurs de la collecte de données
Tout d’abord, vous devez déjà avoir mis en place la fameuse annonce concernant les cookies que déposent votre site sur l’ordinateur de vos visiteurs. C’est une obligation depuis un moment déjà et beaucoup de sites proposent de mettre en avant cette mention via un bandeau qui réapparaît lors de la péremption du cookie. Mais, au delà de cette information, il faut désormais expliciter clairement quelles données personnelles vont être collectées, dans quel but et pour combien de temps. Personnellement, j’ai choisi de mentionner ces informations dans mes mentions légales mais, étant donné qu’il faut un encart explicatif à chaque demande de formulaire (newsletter, concours, page de contact…), j’ai choisi de le remettre en avant sur certaines pages avec un renvoi à ces mêmes mentions légales.
2. Obtenir l’accord de votre visiteur
Désormais, il vous faut aussi obtenir l’accord de l’internaute pour la collecte de données et lui offrir la possibilité de refuser cette dernière. Pour cela, j’ai choisi de personnaliser mon bandeau de cookie et pour ce faire, je vous propose de télécharger le plugin Cookie Notice. Il offre de nombreuses possibilités de personnalisation dont celle d’ajouter un bouton d’acceptation ou de refus à l’utilisation des cookies mais également un bouton En savoir plus qui permet justement de renvoyer aux mentions légales du site, par exemple.
3. Commander un certificat SSL Lets’ Encrypt
Comme nous l’avons vu, le https est la version sécurisée du http qui est rendu possible grâce à un certificat qui garantit la fiabilité de votre blog auprès de vos visiteurs. Il existe plusieurs types de certificats mais nous allons nous intéresser au certificat SSL DV Let’s Encrypt qui est fourni avec beaucoup d’hébergement web. Si le votre n’en propose pas un inclus, sachez qu’il est possible d’en établir un gratuitement chez Let’sEncrypt de Linux Foundation avec pour seule obligation de renouveler le certificat tous les trois mois. Personnellement, je suis chez OVH et la plateforme propose un certificat SSL avec mon hébergement mutualisé. Pour l’activer, rien de plus simple, rendez-vous sur la page de votre hébergement, cliquez sur Certificat SSL et sur Commander un certificat SSL. Et c’est déjà fini.
Pour forcer les connexions et les sessions d’administration de WordPress sur SSL, rendez-vous dans votre fichier wp-config.php et règlez FORCE_SSL_ADMIN sur “TRUE » tel que :
Define ( ‘FORCE_SSL_ADMIN’ , true);
4. Effectuer toutes vos redirections
Votre joli site est désormais en https mais il ne faut surtout pas oublier de rediriger toutes vos pages, vos images… existants déjà et dont l’adresse commence par http vers le format https. En ftp, rendez-vous sur votre fichier .htaccess et ajoutez ce code. En effet, si vous ne le faites pas, vous allez vous retrouver avec du contenu dupliqué, c’est à dire votre page x en http mais aussi en https et tout le monde le sait, le duplicate content est à bannir.
# Passage du http au https
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mondomaine.com/$1 [R,L]
# Fin du passage du http au https
5. Modifier votre base de données
Pour cette partie, nous allons rentrer dans une phase un peu plus technique et je vous invite très vivement à sauvegarder votre site avant d’attaquer. Nous allons maintenant remplacer l’ensemble des urls en http de la base de données vers la même url en https. Il existe différentes méthodes pour cela et j’ai opté pour celle qui est la plus optimisée tout en étant, à mon sens, la plus sécurisante pour des débutants. Il existe un plugin, Really Simple SSL qui permet de réaliser ce passage en https de manière automatique mais il ne s’agit pas de la meilleure méthode car dépendre d’un plugin signifie nécessairement ralentir l’exécution du site, même si ce plugin est tout léger, mais surtout, une fois l’opération réalisée, il est nécessaire de conserver le plugin sur le site et personne n’est à l’abri d’une faille de ce plugin dans quelques mois ou années.
La seconde méthode consiste à aller directement modifier les urls dans la base de données. Pour cela, nous allons installer le plugin Better Search Replace qui a été élaboré à partir du script développé spécialement pour ce type d’action mais qui nécessite d’aller se balader dans le ftp de son site. Je sais que beaucoup d’entre vous sont frileux à cette idée et c’est pourquoi, j’ai préféré vous parler de cette procédure d’autant qu’il suffit ensuite de désinstaller le plugin.
Vous recherchez votre nom de domaine en http et vous demandez au plugin de le remplacer par sa version en https. Pensez bien à sélectionner l’ensemble des tables de la base de données. Et voilà, le tour est joué. Vous pouvez maintenant vérifier que toutes vos redirections se fassent bien et désinstaller le plugin.
Problème des contenus mixtes
Malgré tous vos efforts pour accéder au graal du petit cadenas vert, il est tout à fait possible que vous n’y accédiez pas encore. En cliquant sur le cadenas de votre barre d’adresse, vous pouvez voir ce qui pose problème. Bien souvent, il s’agit de la présence de contenu mixte sur la page, c’est à dire que certains éléments sont codés en https et d’autres en http. Et pour le cadenas vert, il faut absolument que tous vos éléments soient en https. Il faut donc traquer tout ce qui pose problème et effectuer manuellement les modifications. Sur les blogs, nous avons souvent tendance à abuser des widgets et le problème peut venir de l’un d’entre eux. Par exemple, le widget Amazon présente une image en http ce qui, du coup, détruit votre travail acharné pour passer en https. Pour ma part, j’écris au créateur des widgets qui posent problème et ils ont toujours trouvé la solution. Alors, n’hésitez pas. Un petit mot peut parfois solutionner les choses. Si malgré vos efforts, vous ne parvenez pas à tout résoudre, vous pouvez tester ce petit plugin, SSL Insecure Content Fixer, qui peut faire des miracles ou vous adresser directement à un professionnel.
Comment vérifier que son site soit bien en https
Après avoir sué sang et eau en sécurisant votre site, vous vous demandez si l’opération a bien réussi ? Il vous maintenant de le vérifier en rentrant votre url sur le site Why No Padlock qui va analyser vos pages et mettre le doigt sur les soucis de sécurité, s’il y en a encore.
Google est votre ami, prévenez-le de votre passage au https
Une fois toutes ces étapes réalisées et votre précieux cadenas vert obtenu, n’oubliez pas de mettre à jour vos données et particulièrement celles de Google.
- Mettez à jour votre robots.txt
- Déclarez votre site en HTTPS à Google Search et renvoyez un sitemap
- Modifiez votre code Google Analytics
- Testez votre site en HTTPS sur SSL Server Test
Voilà, j’espère de tout coeur que cette revue aura pu vous être utile et vous permettra de passer en douceur au https et ainsi répondre aux nouvelles obligations imposées par Google. Je sais que pour un novice, cela peut paraître un peu compliqué et peut susciter des craintes car il n’est jamais aisé d’aller trifouiller le code et faire de telles modifications quand on en a pas l’habitude. Très franchement, hormis des situations très particulières liés à l’architecture initiale du site, il n’y a aucune raison que vous n’y arriviez pas. Si je l’ai fait, vous pouvez également le faire. Plein de bisous et du courage.
Coucou !
Après avoir posé des questions autour de moi, apparemment, sous Blogger, c’est impossible à faire.
La galère, quoi.
Il faut vraiment que je migre…
Bisous
Coucou. Regarde ça : https://www.howtoshout.com/enable-https-blogger-blog-custom-domain/. J’ai regardé vite fait sur le net. A priori, c’est faisable. Tiens-moi au courant. Gros bisous et très belle soirée.
Toi, je t’aime.
Je te dédicace mon cadenas vert.
Alors avant il n’était pas possible de passer en https si tu avais un nom de domaine perso : http://yesweblog.fr/2017/03/comment-passer-blog-https-blogger/ mais il semblerait que ce soit résolu : https://www.arobasenet.com/2018/03/blogger-nom-domaine-https-4559.html
Je sais, je suis un héros…
Ouh la la j’ espère qu ‘over blog va faire ça pour moi!!! Ça m ‘a l ‘air compliqué
Bonjour et bienvenue. Très franchement mais je peux me tromper, je pense qu’aucune plateforme ne va faire ces changements pour ses abonnés et que chacun va devoir le gérer pour son blog ou faire appelle à un professionnel pour le faire. Comme ce sont des procédures qui ne peuvent pas être automatisées, j’ai bien peur que tu doives t’y coller. La procédure sur WP peut faire peur mais je t’assure, elle est finalemnt assez simple si tu suis toutes les étapes. Je pense que celle d’Over Blog doit ressembler mais sans certitude. Belle journée.
Bon s’il le faut on s’ y collera!!!! Bonne journée à toi
Si tu peux revenir laisser un petit message quand tu en sauras plus pour Over Blog, ça pourra servir à d’autres. Je croise les doigts pour toi pour que ce soit simple.
je pourrai en effet