Activer HTTPS sur votre site

Security Checklist Articles in this series Getting Started Hosting and Server Setup Enabling HTTPS on your site Learn about file permissions Testing and Development Joomla! Setup Site Administration Site Recovery You have been hacked or defaced

Qu'est-ce que SSL/TLS ?

Transport Layer Security (TLS) est le successeur de Secure Sockets Layer (SSL) - bien que beaucoup de gens continuent à l'appeler SSL. Avez-vous déjà remarqué l'icône de cadenas à côté de l'URL lorsque vous naviguez sur Internet ? Cela signifie que toutes les données que vous envoyez à ce site Web sont envoyées de manière chiffrée, de sorte que toute personne qui aurait piraté votre réseau (ou autre) et qui pourrait intercepter vos requêtes ne serait pas en mesure de voir aucune des données - elle ne pourrait voir que les URL que vous consultez.

Pourquoi utiliser TLS ?

Google (et la plupart des autres moteurs de recherche) donnent désormais la préférence aux sites utilisant https^[1]. De plus, de nombreux navigateurs signalent tout site Web contenant un formulaire (tel qu'un formulaire de connexion ou de contact) qui n'utilise pas https^[2].

Comment configurer TLS ?

Pour configurer le certificat, la façon la plus simple est de demander à votre hébergeur de le faire pour vous.

Le certificat à utiliser dépend des protections de sécurité requises pour votre site Web. L'option la moins coûteuse et la plus simple est d'utiliser Let's Encrypt - c'est gratuit et, selon votre hébergeur, il peut souvent être configuré directement depuis votre tableau de bord d'hébergement cPanel ou Plesk.

Si vous avez acheté une IP dédiée et un certificat SSL, demandez à votre hébergeur de vous aider et il s'occupera de le faire signer et de l'installer à l'emplacement approprié pour vous.

Comment rediriger tout le trafic vers https

Dans Joomla

La manière la plus simple de forcer le trafic en https est de le faire directement dans Joomla. Dans la Configuration globale, il y a une option Forcer HTTPS qui vous permet de forcer HTTPS soit uniquement pour l'Administrateur, soit pour l'ensemble du site. Préférez cette dernière option.

Dans .htaccess

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [QSA,R=301,L]
<IfModule !mod_ssl.c>
Redirect permanent / https://www.yourdomainname.com
</IfModule>

Exemples plus complexes de .htaccess

Pour passer de HTTP à HTTPS sur toute page contenant 'abc/def' ou 'ghi' dans l'URL, ajoutez quelque chose comme ceci :

Code :

RewriteCond %{HTTPS} off
RewriteRule ^(abc/def|ghi)(.*)/?$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,NC,L]

...et pour revenir de HTTPS à HTTP sur toute page contenant 'home' ou 'help' dans l'URL, faites quelque chose comme ceci :

Code :

RewriteCond %{HTTPS} on
RewriteRule ^(home|help)(.*)/?$ http://%{HTTP_HOST}%{REQUEST_URI} [R=301,NC,L]

Si vous voulez forcer SSL sur un dossier spécifique, insérez le code ci-dessous dans un fichier .htaccess placé dans ce dossier spécifique :

Code :

RewriteEngine On
RewriteCond %{REQUEST_URI} folder
RewriteRule ^(.*)$ https://www.example.com/folder/$1 [R,L]

Assurez-vous de changer la référence du dossier par le nom du dossier réel. Ensuite, assurez-vous de remplacer www.example.com/dossier par votre nom de domaine réel et le dossier sur lequel vous voulez forcer le SSL.