16/06/2017

Migrer son site en HTTPS sur ovh mutualisé avec le certificat SSL gratuit

Chuck Norris en http vs chuck norris en https



Vous avez décidé de passer en https parcque vous avez entendu qu'il y avait un boost SEO si vous mettez en place HTTPS.

Je vais vous donner 2 informations : le boost n'est pas faramineux et la vérité est ailleurs, et la méthode pour y appliquer le boost va vous faire comprendre pourquoi le boost n'est pas important.

Comment bénéficier du boost SEO lié au https ?

Gary Illyes a avoué dans un tweet il y a quelques mois déjà que la vérification du côté de chez google pour appliquer le boost seo est basé sur les premiers caractères de l'url.

A partir du moment où il y a écrit https dans l'url, google l'applique !

Désolé il faut que je remonte ma timeline sur tweeter pour retrouver le tweet et ma demande de confirmation à Gary Illyes pour  être sûr que je n'avais pas mal intérprété ce qu'il a dit, mais il l'a redit à Vivatech hier.

Les vrais raisons de passer en https

Quoi vous êtes surpris ? vous avez acheté un certificat SSL super cher pour ça et vous vous apercevez qu'avec un certificat gratuit SSL let's encrypt suffisait ? Comme tout achat, ne le faîtes pas pour de mauvaises raison.

Passer en https pour la sécurité des transaction pour l'utilisateur

 Le SSL c'est pour sécuriser les transactions, rassurer les clients sur votre identité et là vous prenez un certificat payant avec le plus haut niveau de sécurité, alors oui si vous l'achetez pour un petit blog, cela ne vous servira à rien. 

Quelle est la différence entre http et https ?

Je vais scénariser même si pas tout n'est complètement vrai.

En http avec Chuck Norris

trouvé sur pinterest


Imaginez que vous êtes dans une voiture décapotable http avec Chuck Norris, vous sortez du garage et vous vous rendez à la banque pour lui déposer des infos super confidentielles et importantes. 




Vous allez d'un point A à un point B, mais d'un coup un hélico passe au dessus de votre voiture et vous parachute des bisounours super méchants qui fracassent Chuck Norris, et qu'ils vous éjectent de la voiture, et à l'arrivée il est bien accueilli par le banquier qui ne s'apercevra pas de l'usurpation d'identité.

Les spectateurs peuvent voir que vous êtes avec chuck norris dans la voiture (la classe), mais les bisounours super méchants ont pu modifier ce qui se trouve dans la voiture, et à l'arrivé le serveur ne s'est pas aperçu de la supercherie.

C'est ce qui peut se passer lors d'un envoie de données entre votre ordinateur et le site internet vers lequel vous soumettez un formulaire, sur le protocole http, les données ne sont pas sécurisées.

C'est comme si vous voyagez dans un tuyau et que l'on vous voit avancer dessus et que l'on peut agir dessus.

En https avec Chuck Norris

Est-ce que chuck norris est dans cette voiture HTTPS ?


Imaginez vous êtes dans une limousine avec chuck norris, mais que vous sortez de votre garage, la voiture est blindée avec des vitres teintées, et en plus on a crypté tout ce qui se trouve dans la voiture pour que l'on ne puisse rien savoir de ce que vous transportez.

Les bisounours super méchants ne savent pas si vous êtes dans la voiture, ils ne savent pas que vous êtes dans la voiture avec Chuck Norris, d'ailleurs personne ne va croire que vous êtes avec chuck norris et lorsque vous arrivez à la banque, le banquier demande à une autorité tierce si c'est bien vous et avec la clé tierce va pouvoir décrypter le message secret contenu dans votre malette. 

Pour info, le contenu de la mallette contient un papier où il est écrit COVFEFE

Voilà vous comprenez le concept, le https à la base c'est pour envoyer des infos en les cryptant en s'assurant qu'un tiers a la clé de décryptage pour lire le message que vous avez crypté. Personne ne peut voir le contenu ni le décrypter s'il n'a pas la clé et que l'autorité de certification ne confirme pas que c'est bien vous.
 

En quoi ne pas passer en https peut vous être défavorable ?

Il n'est même pas question de sécurité, mais un message que vous affiche les navigateur par défaut :

Votre connexion n'est pas sécurisée, ça créé une panique chez l'internaute qui ne sait la plupart du temps qu'il peut accepter de passer outre le message d'erreur alarmant.

Le problème, tous les navigateurs vont afficher ce genre de message lorsqu'il y a sur la page un élément de formulaire.

Même si vous avez passé le site en https, si vous mixer les contenus vous aurez le même message.


Quel est l'avantage du https au niveau technique ?

Passer au https sans faire d'autre changements sera plus lent au niveau performance. Lors de l'appel à une page de votre site, il faut que le site tiers puisse authentifier que c'est bien vous et décrypter les données. Donc non juste mettre https si votre serveur apache envoie du http1, cela sera plus lent.

Lorsque vous passez votre site avec pagespeed les recommandations seront de réduire le nombre d'appel de fichier css, js etc, pour accélérer le chargement parcque sur le protocole http/https il y a une limite de 10 fichier téléchargeables en parallèlle.

Comment booster son crawl budget ?

Le protocole https doit être couplé à SPDY ou http/2. Il est là votre boost seo, avec http/2 vos ressources se chargent en parallèle, donc ils chargeront plus rapidement, par contre pour pouvoir faire ça il faut que le protocole de transport soit https.

Ok vous comprenez maintenant pourquoi on dit qu'il y a un boost seo ? C'est surtout un boost en performance qui permet à google d'aller crawler plus de pages, et pour l'utilisateur ça charge plus vite. Je suis passé sur un site d'un chargement de 13 seconde, à 3 secondes (en activant le CDN aussi chez ovh)

Comment activer le https sur un hébergement mutualisé ovh ?

Ovh sur les serveur mutualisé active par défaut le SSL, votre site est donc accessible en version http et https.

Il faudra donc commencer par fixer le site par défaut dans la google console, et techniquement faire les bonnes redirection dans le htaccess.

L'hébergement utilisé est un perf2014 chez ovh.

la version php est la version 7

On a pris l'option CDN+http/2

Générez votre certificat ssl, normalement le fichier .CSR et .key sont créé est installé par ovh, c'est transparent pour vous, l'installation entre le nom de domaine et l'hébergement se fait automatiquement.

Si vous êtes sur gandi simple hosting, je peux vous mettre en place la bascule https et les certificat ssl fourni par gandi gratuit la 1ère année.

Comment résoudre les problèmes https ?

La meilleure manière de régler le problème des contenus mixés http, https, c'est de rediriger les requêtes http vers https sur votre hébergement.

Il faudra modifier le fichier .htaccess et rajouter ça

# REDIRECTION TO HTTPS
# https://wiki.apache.org/httpd/RewriteHTTPToHTTPS
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

remarque vous pouvez faire une redirection 301 pour le SEO ;-)

mais en forçant une correspondance https pour toute requête http est suffisant

# SET CSP HEADER

<  IfModule mod_headers.c  >
    Header set Content-Security-Policy "upgrade-insecure-requests"


<  /IfModule  >

Comment résoudre les problèmes HTTPS dans wordpress ?

Je vais vous aider à fixer le problème le plus fréquent dans wordpress.

Allez dans réglages, général, adresse web de wordpress, et changez l'url de base en https



Il reste encore une optimisation pour avoir un vrai boost SEO même si Gary m'a dit non, mais je le garde pour mes clients celui là, il faudra faire preuve de patience.


Si vous avez suivi ces conseils, vous ne devriez pas subir de perte seo et google remplacera les url http par https dans les résultats.

Voilà si vous ne vous en sortez pas sur votre migration et vous avez des messages d'erreur, faites moi signe, promis, je ne suis pas cher et on règle le problème dans la journée.