Hache tes tpS

Firefox 51 est arrivé avec quelques nouveautés dans sa besace.
L'une d'elle est qu'il prévient qu'il n'est pas très sûr de renseigner un mot de passe sur une page web qui n'est pas en htpps (Chrome 56 fait de même) :

Sans-https.png
Capture d'écran : page de connexion au compte client sur ma boutique.

C'est moche hein !
Et pourtant ça fait des années que c'est comme ça et qu'on s'en fichait royalement jusqu'à ce que notre navigateur préféré nous mette le nez dessus.

Solution : passer la boutique et le blog en htpps.

Securite-https.png
 

C'est beau n'est-ce pas :)
Merci Let's Encrypt et mon hébergeur qui facilite la génération du certificat "en 1 clic".

Mais concrètement, ça change quoi le S au bout du http ?

Avec http (protocole de transfert hypertexte), quand on demande au navigateur internet d'afficher une page, le navigateur contacte le serveur :

«hé psst ... tu peux me passer la page untel ?»
et le serveur lui répond
«ouaip ... tiens là voilà».

Les communications entre les deux machines sont transmises en clair et peuvent éventuellement être interceptées et utilisées par des personnes mal intentionnées.

~

Le https (protocole de transfert hypertexte sécurisé), c'est du http avec une surcouche de chiffrement (SSL).
Ainsi quand le navigateur internet contacte un serveur pour lui demander une page https, il lui demande aussi son certificat, lequel contient une clé publique de chiffrement.

Pour être reconnu et validé, ce certificat doit être signé par une autorité de certification. Les navigateurs possèdent une liste de certificats venant des différentes autorités de certification afin de vérifier si le certificat envoyé par le serveur est légitime ou non.

Si le certificat est reconnu légitime, le navigateur utilise la clé publique du serveur pour générer une clé de session privée et chiffrée puis l'envoie au serveur pour établir une sorte de tunnel de communication sécurisé : les données transmises entre le navigateur et le serveur sont chiffrées et protégées.

Si le certificat n'est pas reconnu par le navigateur, alors il ne peut pas établir de connexion sécurisée et affiche quelque chose du genre «attention ce site n'est pas sécurisé ou mal configuré».

Http-s.png
 

Et pourquoi que le blog il n'a pas son petit cadenas vert https ?
C'est que pour la boutique ?

Non, ça arrive aussi pour le blog mais un peu plus tard car Il faut prévoir quelques heures pour tout vérifier après l'activation du certificat, qu'il ne traîne pas de contenu mixte (mélange de http et de https sur la même page), que les redirections de feu Wordpress fonctionnent toujours, etc ...) ... bref un petit peu de travail en vue.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.