Comment installer un certificat SSL


Avoir un site web en SSL à 100% est hautement recommandé :

- un cadenas sans warning dans votre URL, cela donne une image sérieuse de vous immédiatement
- de maximiser la confiance de vos clients (intégrité données personnelles et bancaires)

- d'avoir un meilleur référencement car google intègre cette variable dans son classement :
http://www.abondance.com/actualites/20140807-14164-les-sites-securises-https-seront-mieux-positionnes-google.html 

- mieux lutter contre plusieurs types d'attaques web
- bénéficiez du protocole HTTP/2 : vitesse + sécurité
- Au final : favoriser les ventes !

Lire aussi :
https://www.yoorshop.fr/announcements/348/Annonce-tres-importante--de-Google-sur-le-SSL-pour-janvier-2017.html 
mode http2


Dans le passé, c'était assez compliqué d'installer un SSL. Ce temps est révolu, c'est maintenant en quelques clics !
(Les certificats SSL sont gratuits et illimités dans toutes nos offres mutualisés...)


Pour installer un certificat SSL, votre domaine doit impérativement pointer sur nos serveurs : IP ou nos DNS, (propagation incluse)

1. Méthode automatique
Avec AutoSSL de cPanel : il génère de manière automatique des SSL gratuits Let's encrypt pour tous les domaines et sous-domaines...
Le processus automatique opère chaque nuit vers 6h du matin, mais aussi lorsqu'un domaine est ajouté sur le serveur à condition qu'il pointe déjà sur le serveur au préalable pour que le SSL puisse être installé :
Vérifiez votre IP par :
https://www.whatsmydns.net/#A
Vos DNS par :
https://www.whatsmydns.net/#NS
(ils doivent correspondre à celui donné dans le mail donné lors de votre commande qui comprend toutes les informations de vos services)
NB : Le protocole SSL ne sera installé que lorsque ces modifications précédentes seront effectuées et suffisamment propagées, 1 heure pour l'entrée A, plusieurs heures pour les DNS.

Vous devez ensuite vérifier tester si votre certificat SSL ne serait pas déjà mis en place.
Depuis votre cPanel, section Sécurité : "SSL/TLS Status", si c'est le cas : vous verrez : "AutoSSL domain validated"

Security cPanel
Si pas de SSL pré-installé par cPanel, utilisez la procédure manuelle comme décrite ci-après

2. Méthode manuelle
Installer facilement et gratuitement un un ou des certificats SSL

Sélectionnez d'inclure ou exclure les domaines et sous-domaines ou vous voulez un SSL, en général :

votredomaine.fr
www.votredomaine.fr
mail.votredomaine.fr

Le domaine doit aussi pointer chez nous, voir détails au point 1.

Allez à la section Sécurité, puis icône "Let's encrypt SSL" :
Ensuite, cliquez Run AutoSSL, revenez 1 minute après voir si il est installé : rafraîchir la page, et laissez au moins 1 minute à notre système pour faire marcher le SSL ensuite

let's encrypt cPanel

Attention : un problème de cache local SSL peut être observé et se résoudra seul dans les heures suivantes, ceci est normal, utilisez temporairement un proxy web externe afin de constater fonctionne bien dorénavant avec le SSL : https://hidester.com/fr/proxy/

NB 1 : une fois sur votre SSL activé, patientez 1 minute que le serveur prenne en compte ceci, puis tapez votre domaine avec https:// pour un aperçu.
Si vous voyez un warning SSL, vous devez purger le cache du site web, et de votre navigateur.
Si vous voyez toujours un warning dans le cadenas de l'URL, ou pas de cadenas vert dans chrome, ceci est dû à des éléments qui chargent encore en http, ceci peut impliquer des modules/thèmes, il faut donc pour les CMS que vous activiez le mode SSL car cela convertira toute ou partie des problèmes :
- prestashop a la fonction native pour le SSL dans l'admin
- pour wordpress il suffit depuis votre admin, section réglages général, de modifier votre domaine pour qu'il soit de cette forme : https://www.mondomaine.com, puis pour rediriger toutes les pages vers https://, installer le plugin Easy HTTPS Redirection, puis trouver dans générales HTTPs redirection, cliquez : 
Enable automatic redirection to the "HTTPS"  + The whole domain
Force resources to use HTTPS URL

Pour les autres CMS, consultez la documentation de l'éditeur.

Résolution des warnings persistants : 
Dans firefox, appuyez sur le warning, puis cliquez "médias", puis "plus d'informations", et repérez/corrigez les http en https dans votre site, parfois il s'agit de réinstaller des modules, d'autres fois de modifier le code en brut.

NB 2 : Les SSL sont émis pour 3 mois, et se renouvellent automatiquement avant expiration !
NB 3 : En ce qui concerne google webmaster tools, vous pouvez aussi ajouter votre domaine en version SSL
NB 4 : Pour l'histoire du "www" il est possible de le faire fonctionner dans le cas du sous-domaine, cela dépendra comment vous avez crée le sous-domaine avec ou sans "www", ce qui est cas rare
NB 5 : un dossier va être crée dans les fichiers de votre site : .well-known, laissez-le bien en place, il va servir aux renouvellements automatiques futurs...
NB 6 : on ne peut pas installer un SSL sur un domaine ajouté : "alias" puisqu'il redirige sur un autre, impossible de vérifier le domaine pour le processus d'installation SSL
NB 7 : après redirection vers SSL, google le prendra en compte, pensez à ajouter la version https:// de votre site web dans webmaster tools.


2. Si votre site/CMS n'a pas une telle fonction d'activation du SSL
A. Allez dans la section Domaines de votre cPanel : Redirections, et programmez ce que vous désirez
OU
B. Par insertion dans votre fichier .htaccess (si vous n'avez pas de fichier .htaccess, créez le fichier à la racine de vos fichiers de votre site web avec le point comme ceci : .htaccess) :
RewriteEngine on
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


Si vous voulez rester sur des pages sans www, et donc rediriger parfaitement les demandes www. vers sans www, remplacez les lignes 2 et 3 par :

RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]


Vérification SSL http2 :
https://tools.keycdn.com/http2-test 


3.
 HSTS  : certification de votre SSL en HSTS avec le niveau A+ par Nginx, s
i :

- vous utilisez seulement le 100% SSL, cela veut dire sur toutes vos pages sans exception
- votre site web ne montre aucun signe de warning du SSL sur aucune page
- n'utilisez pas cloudflare en version gratuite car ne sera pas compatible avec le SSL tout court


Chez YOORshop, on ne néglige pas le cryptage et la sécurité, vous obtiendrez un SSL de classe A, et même A+ avec le HSTS du point 2 ci-après (alors que 95% des serveurs du marché arrivent à peine au niveau B).

Alors, nous pouvons vous monter au top niveau sécurité/performance avec la norme HSTS :
https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
http://www.bortzmeyer.org/6797.html

Pour procéder, suivez les instructions :

Allez dans votre cPanel, section 'Nginx', cliquez sur 'Nginx-Manager'

Choisissez votre domaine puis cliquez 'Configure'
Ensuite, cliquez sur 'APPLICATION SETTINGS', voyez la ligne : 'hsts'
cliquez donc sur 'enabled', puis en bas de la page cliquez : 'Submit'

Cela vous confirmera ensuite que HSTS est actif :

Strict-Transport-Security Supported

Excellent ! This website is using HSTS, also known as Strict Transport Security. This tells the browser to always use SSL when talking to this website, allows more of your visitors the opportunity to both be secure and to use SPDY. The server is sending the header Strict-Transport-Security: max-age=2592000 which tells the web browser to always use SSL to access this website for the next 180 days.

Avec le HSTS, vous aurez un SSL de niveau A+, exemple :
https://www.ssllabs.com/ssltest/analyze.html?d=e-benedetti.fr 

4. Optionnel :
Pensez à ajouter la version https de votre site dans google webmaster tools, avec le sitemaps contenant vos URL en https.
Google comprendra mieux le lien entre le site http et https, afin de transférer votre SEO acquis au site https.

Certificat SSL EV

Si vous voulez une barre verte comme nous, vous devez acheter ce SSL spécifique à notre partenaire recommandé:
Https://www.gogetssl.com 
Celui que nous avons :
https://www.gogetssl.com/extended-validation/comodo-ev-ssl/
Vous devez avoir une entreprise avec personne morale pour acheter ce dernier (ne fonctionne pas si seul commerçant personne physique), et vous devrez compléter seul le processus administratif avec Comodo et le support Gogetssl. (Nous vous recommandons de l'acheter pendant 2 ans directement pour éviter le processus administratif de renouvellement).

Vous aurez besoin de votre DUNS, obtenez-le gratuitement et en 30 secondes grâce à YOORshop :
http://fedgov.dnb.com/webform/pages/CCRSearch.jsp 

Une fois que vous avez obtenu votre certificat, suivez la procédure avec leur interface et votre cPanel : SSL/TLS.

Consultez aussi

Injections de fichier PHP : file uploads ON-OFF

Cet article a vocation d'expliquer le rôle controversé et nécessaire de la variable du php.ini...

Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus...

Sauvegarde et restauration de vos données

Restauration automatique (Vos données sont aussi sauvegardées intégralement sur un serveur...

Désactiver les sécurités Nginx

Vous pouvez désactiver toutes nos diverses sécurités Nginx temporairement, ou définitivement :...

Protection obligatoire WordPress xmlrpc.php

Nous protégeons déjà nativement/par défaut tous les sites wordpress des serveurs... Toutefois,...

Besoin d'autre suggestions