Passer son site en https

 Le https, kesako ?

Le protocole https, ou “secure http”, a été développé pour sécuriser les transactions web. Il est quasiment identique à son alter ego non sécurisé, à la différence qu’il utilise une couche de sécurité supplémentaire en déplaçant les données via le SSL. Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur.
Historiquement, c'était surtout pertinent pour les sites faisant transiter des infos sensibles (au hasard, identifiants ou mots de passe), mais depuis août 2014, Google a officiellement annoncé que le passage d’un site en https pouvait donner un coup de pouce au référencement. Le sujet fait toujours débat: en revanche, les navigateurs mettent des petites alarmes de plus en plus insistantes avec le temps dès que le site n'est pas en https.
Moralité, quand faut-y aller, faut y aller...

Quid des certificats Let's Encrypt ?

 ... et ce d'autant plus, qu'à la différence d'il y a quelques années, le surcoût peut-être proche du néant si on utilise le cerficats gratuits Let's Encrypt.

Let's Encrypt est une autorité de certification lancée en décembre 2015 soutenue par des acteurs majeurs du web (Electronic Frontier Foundation, Fondation Mozilla, OVH, Free). Elle fournit des certificats gratuits X.509 pour le protocole cryptographique TLS au moyen d'un processus automatisé destiné à se passer du processus complexe actuel impliquant la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites internet.

La plupart des grands hébergeurs français le propose par défaut (OVH ou O2Switch par exemple).

Comment passer en https ?

L'activation se fait très simplement via la console d'administration de votre hébergeur. Une fois l'opération réalisée, 2 choses restent à faire:

1. Rediriger les anciennes URL en http vers les nouvelles en https
2. Vérifier qu'il n'y a pas de contenus mixtes sur vos pages ie. de contenu en http (souvent des composants externes) dans vos pages https.

Rediriger vos pages

C'est assez simple. Il suffit de modifier le .htaccess de votre site en y insérant/modifiant le bout de code suivant:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R,L]

Ce code va faire repointer vos page en www sans http et vous pages sans www (http ou https) sur votre site en https avec www (à adapter si vous n'aimez pas garder le www devant vos url).

Traquer le contenu mixte

Lorsque le site affiche des contenus non sécurisés, le cadenas de votre navigateur qui indique si le site est correctement configuré n'est pas au vert. Pour identifier ces éléments perturbants, il suffit de tester sa page avec le service Why No Padlock ? et de suivre les recommandations.