Dans ce tutoriel, nous allons voir les différentes étapes pour migrer son blog en HTTPS. C’est officiel depuis quelques temps les blogs en HTTPS seront mieux référencés dans Google. Même si la création d’un certificat reste simple, il faut mieux préparer cette migration pour éviter des désagréments.
Sommaire de l'article
Le HTTPS c’est quoi ?
Avant de commencer une petite explication s’impose. La plupart des blogs fonctionnent avec le http, cela veut dire que les échanges entre le blog et vous ne sont pas cryptés. N’importe qui peut alors intercepter vos communications pour les lire, les analyser et les transmettre.
C’est pour lutter contre le piratage que le système HTTPS est né. Grâce à lui, les données que vous échangez avec un site seront chiffrées. Vous aurez aussi la certitude que le site que vous visitez soit bien l’original et non pas une copie.
Pour illustrer tout ça voici un petit schéma de fonctionnement du HTTPS :
Pour générer un certificat il faut le faire auprès d’organisme spécialisé, que l’on appelle généralement des autorités de certification. Il en existe des dizaines les plus connues sont sans doute GlobalSign et Commodo.
Une fois le certificat installé sur le site, cela se matérialise par un changement de l’URL d’un site qui passe de HTTP vers HTTPS et l’apparition dans les navigateurs du fameux cadenas vert.
Obtenir un certificat SSL et migrer son blog en HTTPS
Il était assez difficile de mettre en place et d’obtenir un certificat SSL pour un particulier. Cela était généralement réservé aux entreprises. On devait fournir une preuve de son identité pour montrer que l’on était bien le propriétaire du site.
Mais un nouvel acteur est apparu depuis peu Let’s Encrypt qui est une autorité de certification qui génère des certificats SSL/TLS gratuitement.
De nombreux acteurs soutiennent cette initiative comme Facebook, Google, free, OVH, …
Dans ce tutoriel nous allons voir comment installer un certificat Let’s Encrypt sur son blog WordPress à l’aide de Cpanel.
Activer le certificat Let’s Encrypt depuis cPanel
L’outil Let’s Encrypt SSL de cPanel permet d’installer un certificat très facilement. Aller sur votre compte d’hébergement Web, puis aller dans Sécurité -> Lets Encrypt SSL.
Ensuite sur la page de gestion du certificat Let’s Encrypt, déplacez-vous dans Générer un nouveau certificat, puis en face de votre nom de domaine cliquer sur Générer.
Puis sélectionner l’ensemble des domaines qui devront être inclus dans le certificat généré (1). Vous pouvez aussi installer un certificat SSL pour vos mails, dans ce cas là il faudra aussi cocher installer un certificat SSL SMTPS/POP3S/IMAPS (2). Dans ce tutoriel, j’ai activé le SSL uniquement pour mon blog.
Puis cliquer sur Générer (3) pour installer le certificat sur votre blog.
Si tout se passe bien, vous aurez le message ci-dessus.
Sur la même page vous aurez tous vos certificats SSL en cours avec leurs dates d’expirations.
Les erreurs courantes
Il y a deux erreurs courantes lors de l’activation d’un certificat SSL :
- Une erreur se produit lorsque let’s encrypt ne peut pas vérifier que vous êtes le propriétaire du site.
- Une erreur arrive si vous avez dépassé le quota imposé par let’s encrypt.
Erreur lors de la validation.
Lors de la demande d’un certificat let’s encrypt, ce dernier doit vérifier que vous êtes bien le propriétaire du nom de domaine. Pour vérifier cela, let’s encrypt à besoin d’aller vérifier qu’un fichier existe dans le répertoire .well-known à la racine du nom de domaine. Ce fichier est automatiquement créé par l’outil Let’s Encrypt de cPanel et prouve que vous êtes bien le propriétaire du domaine.
Lorsqu’un site est protégé par une authentification via un .htaccess où lorsqu’il y a des redirections en place, cela génère une erreur indiquant que Let’s Encrypt est dans l’incapacité de vérifier que la demande est légitime. L’une des deux erreurs suivantes s’affiche :
Pour remédier à ces deux erreurs, il faut rendre le dossier .well-known accessible à Let’s Encrypt, une manière de faire cela est de placer un fichier .htaccess dans le répertoire .well-known avec les règles suivantes à insérer dans .well-known/.htaccess :
RewriteEngine off Order Deny,Allow Allow from all Satisfy any
Trop de certificats générés.
L’autre erreur est lié aux restrictions (rate limit) mise en place par Let’s Encrypt, ces limites sont mises en place par Let’s Encrypt pour éviter les abus et conserver la stabilité du service.
Lorsque vous atteignez l’une de ces limites, l’erreur suivante apparaît :
Si vous rencontrez cette erreur, il faut être patient et attendre quelques jours (une semaine même) avant de tenter à nouveau l’opération.
Voilà maintenant votre site est accessible via le HTTPS, mais cela ne s’arrête pas là (malheureusement). Afin d’avoir le petit cadenas vert vous devrez encore modifier quelques éléments WordPress mais aussi et surtout gérer les contenus mixtes, mixed content en anglais (éléments distants chargés en http dans vos pages comme les pubs, certaines extensions).Dans la deuxième partie du tutoriel, nous verrons les modifications à apporter à WordPress pour ne pas avoir de surprises et éviter le duplicate content (contenus dupliqués).