ceci n'est pas un blog

Aller au contenu | Aller au menu | Aller à la recherche

vendredi 22 janvier 2016

Pourquoi passer de HTTP à HTTPS - un argumentaire synthétique

L'évolution des sites et plus largement de l'ensemble du web vers HTTPS, soit le protocole HTTP Sécurisé s'inscrit dans une évolution logique et globale.
Il s'agit de passer à une nouvelle génération du web, où les éditeurs de contenus sont clairement identifiables, l'intégrité des contenus est garantie et les données privées des utilisateurs sont respectées.

Evolution de standard

L'adoption progressive de HTTPS en remplacement de HTTP est une initiative portée par l'ensemble des acteurs fondateurs du web, tels que le W3C, la fondation Mozilla.
Cette évolution est une réalité, et à moyen terme, le protocole HTTP non sécurisé exploité aujourd'hui fera partie du passé.

Cf. cette note du blog Mozilla :
https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

Sécurité

Le premier bénéfice de HTTPS est bien évidemment de garantir la sécurité des échanges :

  1. Authenticité
    Est-ce que les données reçues proviennent bien du site web attendu ?
    Impossible à valider avec HTTP, assuré avec HTTPS
  2. Intégrité
    Est-ce que les données reçues sont bien intègres ?
    Est-ce que quelqu’un (pirate, fournisseur d'accès... ) les aurait modifiées durant leur transfert ?
    Impossible à valider avec HTTP, assuré avec HTTPS
  3. Cryptage (ou chiffrement)
    Est-ce que quelqu’un d’autre peut lire les données qui sont échangées ?
    Impossible à sécuriser avec HTTP, assuré avec HTTPS

 

Visibilité / E-Notoriété

Un autre atout d'un site sécurisé avec un certificat SSL de niveau EV (Extended Validation) est de permettre de faire figurer dans la barre d'adresse du navigateur la raison sociale de l'éditeur du site, accompagné de l'icône verte signifiant à l'internaute que le site est digne de confiance.

Cette visibilité permet de rassurer l'internaute quant à la légitimité du site consulté.

Cf. Note de synthèse sur les certificats par Global Sign :
https://www.globalsign.com/en/ssl-information-center/what-is-an-ssl-certificate/

SEO

Enfin, last but not least, afin d'encourager le processus d'adoption de HTTPS, Google applique aujourd'hui un bonus de ranking aux sites sécurisés.
Dans un futur proche on peut prédire que les sites servis en HTTP non sécurisé se verront pénalisés et rétrogradés dans les résultats de recherche Google.

Cf. Note Google sur HTTPS et le ranking :
https://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html

Perspectives

Au delà du passage de HTTP à HTTPS, c'est l'évolution vers un HTTP2, plus rapide, plus sûr et bien entendu sécurisé qui se prépare.
Le jour où HTTP2 deviendra la nouvelle norme pour l'ensemble des échanges sur le web, les sites servis en HTTPS seront les mieux préparés à franchir ce pas.

Cf. Site officiel sur Github :
https://http2.github.io/

vendredi 3 février 2012

De l'importance de la communication de crise

Funeste panne chez Gandi (VPS off pendant presque deux heures), mais très bonne communication de l'hébergeur, via son compte twitter : https://twitter.com/#!/gandi_net.

Ca ne résoud pas tout, mais ça aide à ne pas se sentir abandonné...

mardi 22 novembre 2011

La passphrase SSL de Apache

Si vous aussi vous regrettez d'avoir saisi une passphrase lors de la création de votre certificat SSL, et que désormais Apache vous la réclame à chaque reload ou restart...
Voilà des solutions :

Ajouter la ligne suivante à votre config (pas dans un virtualHost, dans la conf. globale) :
SSLPassPhraseDialog  exec:/etc/apache/passphrase.sh
Et dans le fichier en question, le code shell :
#!/bin/sh
echo "votre passphrase"
Le fichier doit être exécutable (chmod +x) pour pouvoir répondre à Apache.


Une autre solution consiste à supprimer purement et simplement la passphrase de votre SSL key :
openssl rsa -in sslavecpassphrase.key -out sslsanspassphrase.key.

dimanche 3 avril 2011

Déménagement des sites hébergés sur le serveur

Bonjour,

Un nouveau mail collectif.

Celui-ci pour vous informer de la fin des opérations de déménagement de vos sites, boîtes e-mails, etc. vers un nouveau serveur.

Vos sites, e-mails, sont désormais actifs et consultables via ce nouveau serveur.

Toutefois, si vous rencontrez des dysfonctionnement, n'hésitez pas à m'en faire part : pierre [at] sdep [point] com.

La plupart des problèmes de consultations que vous pourriez rencontrer dépendent du délai de propagation de la nouvelle adresse IP du serveur auprès des serveurs DNS de vos fournisseurs d'accès.

La nouvelle adresse est : 95.142.172.122

L'ancienne était : 80.247.227.130

Pour vérifier que votre ordinateur se connecte bien au nouveau serveur, exécuter une commande PING :
ping www.priot.com (ou l'adresse de votre site)

Si la réponse mentionne 95.142.172.122, tout va bien. Si elle mentionne 80.247.227.130, c'est que vous êtes encore branchés sur l'ancien serveur.
Dans ce dernier cas, pour accélerer le processus de bascule, vous pouvez vider la mémoire DNS de votre PC, avec la commande suivante :
ipconfig /flushdns

Pour les abonnés Orange/France télécom, un redémarrage de la Livebox aide souvent à accélerer les choses.

Bon dimanche,

Pierre

mercredi 9 février 2011

Tuning LAMP - Debian | Apache 2 | MySQL | PHP5

Suite à une surcharge de mon serveur LAMP. J'ai cherché à améliorer la configuration Apache 2 - MySQl - PHP5 afin de lui redonner du souffle.

Lire la suite