HTTPS sur les Hébergements

Online.net propose maintenant le HTTPS sur tous ses Hébergements par défaut.

Le HTTPS permet de sécuriser les échanges entre le client (visiteur de votre site) et le serveur (notre plateforme).
C'est généralement préférable pour les plateformes de boutique en ligne, mais le HTTPS devient de plus en plus la norme sur le web.

Le certificat est généré automatiquement par

Une nouvelle initiative permettant de générer des certificats reconnus par tous les navigateurs, et ce, gratuitement.

Conditions

  1. Il faut un hébergement Web ou Cloud
  2. Il faut une entrée DNS à jour qui pointe sur pfXXX.mutu-perf.online.net [212.47.231.228] (champs A sur le domaine et A ou CNAME pour chaque sous-domaine (ou A * / CNAME *))

Comment ça marche ?

Lors de la création d'un sous-domaine ou à chaque rattachement d'alias ou de domaine lié, un certificat est généré.

Le site est ensuite accessible via http://www.domain.tld ou https://www.domain.tld

Le SSL est uniquement compatible pour les OS/navigateurs supportant le SNI (https://fr.wikipedia.org/wiki/Server_Name_Indication).
Ce qui veut dire que les clients suivants ne pourront pas se connecter aux sites que l'on héberge en HTTPS :

  • Windows XP (IE6/IE7)
  • Android 2.x
  • Les versions inférieures à iOS 4 (iPhone)

Comment forcer le HTTPS pour tout le site

Pour forcer un site à accepter le SSL comme par exemple sur un CMS, il suffira de rajouter dans le fichier .htaccess le code suivant :

RewriteEngine On
RewriteCond %{HTTP:HTTPS} !on
RewriteRule (.*) https://%{SERVER_NAME}/$1 [QSA,L,R=301]

Dans les CMS, il vous faudra parfois activer le HTTPS manuellement dans la configuration de ce dernier (Exemple : Prestashop)

On peut le désactiver ?

Pour désactiver le SSL, voici ce qu'il faudra mettre dans le fichier .htaccess

RewriteEngine On
RewriteCond %{HTTP:HTTPS} on
RewriteRule (.*) http://%{SERVER_NAME}/$1 [QSA,L,R=301]

Les messages d'erreurs

Cas du Mixed Content

Quand on fait du HTTPS il est recommandé d'en faire partout.
C'est à dire que tous les éléments chargés par la page (images, CSS, JavaScripts) doivent être en HTTPS également.

Un site qui charge des scripts JavaScript ou des images externe en HTTP, pourra générer une alerte au niveau du navigateur (Par exemple “Contenu non sécurisé”).

Connexion non sécurisée

C'est probablement que le sous-domaine n'existe pas dans le certificat.

Il faudra dans ce cas ajouter le sous-domaine via la console, ou s'il y est déjà, essayer de le recréer. Vous pouvez également créer un autre sous-domaine sur le même domaine pour forcer la régénération du certificat SSL.

Erreur de connexion

Cela signifie qu'il n'y a pas de certificat pour ce domaine. Il faudra vérifier les entrées DNS, & forcer la régénération en créant un autre sous-domaine au besoin.