Joomla et le HTTPS / SSL

Le contexte du HTTPS

Le HTTPS est la combinaison du HTTP avec une couche de chiffrement SSL. Le SSL est un procédé de chiffrement des données entre le serveur et votre terminal. Le SSL repose sur l'obtention d'un certificat par nom de domaine (voir plus loin).

Au travers des informations distillées par Google depuis Août 2014 et qui se sont accélérées fin 2016, le passage au HTTPS est inévitable. L'année 2017 sera l'année de cette évolution majeure pour votre site. D'ailleurs, toutes les agences web ont placé cette démarche tout en haut de leur "to do list".

D'ores et déjà vous avez peut-être observé ce type de message dans Google Search Console :

Google Console HTTPS Warning

La raison principale invoquée par Google est d'augmenter la sécurité globale des sites web. Le mouvement est lancé, il est inéluctable.

Vous souhaitez faire appel à nos services pour basculer votre site Joomla! en HTTPS ? Contactez-nous

A court terme, et même aujourd'hui parfois, ceux qui ne seront pas en HTTPS seront pénalisés par un message dans la barre de navigation (sur le navigateur Google Chrome version 56 et futures) indiquant au visiteur que le site n'est pas sécurisé, semant le doute dans son esprit.

Selon le blog sur la sécurité de Google, voici ce à quoi pourraient ressembler les messages dans la barre de navigation à court terme :

 avertissement navigateur Chrome 56 site non HTTPS 2017

et à moyen terme :

avertissement navigateur Chrome moyen terme si non sécurisé HTTPS

En conséquence, pour ne pas voir vos visiteurs fuir votre site, mieux vaut prendre les devants et le maintenir au top des recommandations de Google.

Par ailleurs, Google indique que le HTTPS peut avoir un (léger) impact positif sur le référencement naturel.

Un autre avantage serait une petite amélioration de la vitesse de chargement grâce au protocol HTTP/2. Cela reste à vérifier.

Au final, le HTTPS va rassurer les visiteurs et vous assurer une meilleure expérience utilisateur.

Le risque principal

Un passage de HTTP en HTTPS mal géré peut avoir des conséquences néfastes sur le référencement avec en premier lieu le risque de contenu dupliqué.
En effet, pour Google passer de HTTP à HTTPS équivaut à un changement de nom de domaine.

Les précautions

Vérifiez que toutes les ressources externes au site sont atteignables en HTTPS. Si certaines ressources ne sont accessibles qu'en HTTP, celles-ci seront bloquées et le navigateur ne les chargera pas ou affichera un message d'avertissement (selon la navigateur et le type de ressources). Si ces ressources sont essentielles d'un point de vue fonctionnel cela vous contraindra à arrêter votre démarche de passage au HTTPS et à prendre des décisions.
Ces ressources peuvent être : une simple image, une vidéo, un PDF, un widget, un fichier javascript ...
Par exemple, si votre vidéo provient de Youtube, pas de soucis, ce site est en HTTPS.
A noter que les ressources internes (par exemple le fichier css ou les images que vous avez stockées sur votre serveur) sont gérées, sauf cas particulier, par des liens relatifs. Donc elles ne seront pas impactées par une modification du protocole HTTP en HTTPS.

Si vous avez de nombreuses ressources externes, et si vous en avez les moyens, il est préférable de transférer votre site en HTTPS dans un environnement de test.

Dernier point, en garantissant que des ressources externes dites "actives", c'est-à-dire faisant appel à des programmes, soient appelées obligatoirement en https, vous accroitrez grandement la sécurité de votre site.

Le traitement chez Siteground (ou autre hébergeur sérieux)

Procédure très simple et rapide, à effectuer si possible à un moment de faible trafic.
La procédure repose sur l'obtention d'un certificat par nom de domaine, et dont les caractéristiques techniques recommandées sont 2048 bits et SHA-2. L'outil "Let's Encrypt" décrit ci-après permet l'obtention de certificats gratuits correspondant à ces caractéristiques.
Il existe des formats de certificats payants et hautement sécurisés mais qui ne concernent que certaines activités comme le secteur bancaire. Un certificat gratuit de type Let's Encrypt est amplement suffisant pour du e-commerce.

1- Générer le certificat SSL avec Let's Encrypt

1- Dans CPANEL/SECURITE vous trouverez l'outil "Let'sEncrypt" qui permet de générer le certificat SSL.
L'obtention d'un certificat par "Let's Encrypt" est expliqué dans notre video :

Chez certains hébergeurs comme Siteground en hébergement mutualisé (Startup, Growbig ou GoGeek) vous n'avez même pas générer les certificats en "Let's Encrypt", ils ont déjà été activés par leurs services. Nous conseillons néanmoins de vérifier.

2- Activer le certificat SSL (procédure Siteground ou autres hébergeurs spécialistes de Joomla)

Cette procédure très simple existe chez Siteground, d'autres hébergeurs proposent probablement son équivalent.
Allez en CPANEL / SECURITY.

lets encrypt siteground

 

Donc, cliquez sur le bouton "Let's Encrypt".
L'écran suivant affiche la liste des sites hébergés, vérifiez que "Let's Encrypt SSL" est coché, et il ne vous reste qu'à cliquer sur le bouton "Install".
A noter que l'option Wildcard sert à installer le certificat SSL sur tous les sous-domaines, si vous en avez.

procedure lets encrypt

Cette procédure très rapide va installer votre certificat SSL et effectuer le transfert de HTTP vers HTTPS, il reste à terminer sous Joomla.

3- Actions de configuration sous Joomla

  • supprimez le cache dans l'administration Joomla : Système/Purger le cache et Système / Effacer les fichiers cache expirés
  • allez en Système / Configuration / Serveur et pour "Forcer HTTPS" sélectionnez "Administration et Site"

configuration joomla https

Contrôles après traitement

Contrôle visuel de l'url : si la barre de navigation ne présente pas votre url avec https en vert avec le petit cadenas nosyweb https, pensez à vider le cache de votre/vos navigateur(s). Si cela ne suffit pas (et si vous êtes impatient), voici la procédure pour vider le cache DNS de votre ordinateur. Si vous ne videz pas le cache DNS, vous visualiserez sous 1 à 2 heures la modification de http en https.

Contrôle de redirection : tapez "http://www.monsite.com" et vérifiez que cela se transforme en "https://www.monsite.com" dans la barre de navigation.
Dans l'éventualité où votre site ne serait pas redirigé, ci-dessous le paramétrage à réaliser dans le fichier ".htaccess", pour la redirection 301 de HTTP en HTTPS de toutes les pages de votre site :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://yourdomain.com/$1 [R=301,L]

Ne pas oublier de sauvegarder préalablement votre fichier .htaccess.

Contrôle rapide des ressources externes sur la page d'accueil ou d'autres pages importantes : clic-droit, "Inspecter" (Chrome) ou "Examiner l'élément" (Firefox), si une croix rouge en haut à droite apparaît, une ressource est restée en erreur, malgré vos précautions initiales.

clic droit inspecter https anomalie small

Contrôle plus en profondeur, pour se rassurer : il existe des sites de contrôle tels que SSLLABS qui vont vous permettre de vérifier que votre certificat est bien validé et que site est effectivement en HTTPS.

controle HTTPS sur SSLlabs

Testez vos liens internes : cela vous donne l'occasion de parcourir votre site pour un contrôle plus exhaustif. Egalement, certains composants peuvent stocker des liens absolus dans leurs paramètres (Exemple: url de retour ou d'annulation).

Actions hors site après passage au HTTPS

Google Search Console

Comme indiqué plus haut, Google considère que passer de HTTP en HTTPS correspond à un changement de nom de domaine. En conséquence, vous devez créer une nouvelle propriété dans Google Search Console.

Egalement nous vous conseillons de :

  • tester et ajouter votre nouveau sitemap dont l'url commence par https (Exploration/Sitemaps)
  • modifier le fichier "robots.txt" si vous y avez mentionné l'url de votre sitemap
  • vérifier que Google peut bien explorer votre site (Exploration/Explorer comme Google)
  • suivre pendant 15 jours au minimum l'évolution des données pour votre "nouvelle" propriété

Google Analytics

Modifier l'url de votre site.

Gestion de l'historique des redirections

Si vous avez effectué au fil de la vie de votre site des redirections de type http://page1 vers http://page2
et si le passage de HTTP en HTTPS vous a conduit à paramétrer une redirections 301 de toutes les pages, avec par exemple http://page2 vers https://page2
alors il vous faudra modifier les redirections initiales : de http://page1 vers https://page2
En effet, parmi les recommandations de Google, il faut éviter les redirections successives.

Liens externes

Si vous le pouvez, à chaque occasion, pensez à faire modifier votre url HTTP en HTTPS chez vos partenaires qui hébergent un lien vers votre site.
En effet, Google ne pénalise pas cette situation un peu bancale, mais on ne sait pas ce que l'avenir nous réserve et si un jour les liens formulés en HTTPS vers un site HTTPS ne seront pas privilégiés.

Vous souhaitez faire appel à nos services pour basculer votre site Joomla! en HTTPS ? Contactez-nous

L'auteur : un expert à votre service
Xavier Maglott
Nom : Xavier Maglott
Quel meilleur outil que Joomla pour mettre en oeuvre ce qui m'intéresse vraiment : comprendre les besoins de nos clients, apporter des solutions mais surtout des idées concrètes pour faire progresser leur site et leurs connaissances de l'univers Joomla.

Articles qui devraient vous intéresser

Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ? Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ?
CET ARTICLE EST OBSOLETE   Beaucoup de solutions d'hébergements s'offrent à nous et il n'est pas toujours...
Comment réaliser un formulaire de contact compatible RGPD Comment réaliser un formulaire de contact compatible RGPD
Nous allons aborder les différentes questions à se poser pour rendre le traitement d'un formulaire compatible avec...

Commentaires (1)

This comment was minimized by the moderator on the site

Ce n'est pas vraiment ce que j’appellerai un tutoriel... Plutôt une page commercial pour vendre son service non ? Dommage !

Il n'y a pas encore de commentaire pour cet article.

Ajouter vos commentaires

  1. Insérer un commentaire en tant qu'invité.
Pièces jointes (0 / 3)
Share Your Location
Contact
Dernier article sur la même thématique
Les fondamentaux de la sécurité pour protéger votre TPE / PMELes fondamentaux de la sécurité pour protéger votre TPE / PME
Les gérants d’entreprises de petite et moyenne taille s’imaginent trop souvent à l’abri des cyberattaques et plus généralement des sujets afférents à la cybersécurité. Et pourtant, en pratique, c...