Une questions qui revient souvent c’est: est-ce que je dois mettre tout mon site en SSL \/ HTTPS?<\/p>\n
Si vous avez un certificat SSL, la r\u00e9ponse est simple: oui! Si vous avez une petite soci\u00e9t\u00e9, vous pouvez avoir un certificat pour moins de 200.- \/ an.<\/p>\n
Si vous vendez des objets, g\u00e9rez des donn\u00e9es d’utilisateur, s\u00e9curisez tout avec du https! Y compris (et surtout) quand vous avez une API.<\/p>\n
Pourquoi?<\/strong><\/p>\n Parce que vous aimez que votre site marche sans probl\u00e8mes! En effet j’ai vu nombre de sites qui g\u00e8rent mal le m\u00e9lange http, https. Un des probl\u00e8mes les plus courant \u00e9tant l’insertion de contenu non s\u00e9curis\u00e9 dans des pages “s\u00e9curis\u00e9es” (on voit ensuite un cadenas cass\u00e9). Si votre site est enti\u00e8rement sur du https, ce sera plus simple de voir et \u00e9viter des probl\u00e8mes.<\/p>\n Parce que la vitesse des machines \u00e0 \u00e9volu\u00e9e et que vos utilisateurs ont des vitesses plus rapide qu’avant! Il y a une id\u00e9e que SSL ralenti les sites, c’est vrai, mais c’est n\u00e9gligeable.<\/p>\n Car tout le monde le fait… C’\u00e9tait un argument de l’\u00e9poque pour justifier un site m\u00e9lang\u00e9 http, https. Maintenant les “leaders” ont des sites s\u00e9curis\u00e9s: Google, Twitter, facebook, etc!<\/p>\n Un des probl\u00e8mes \u00e9tait le manque de support d’https par les moteurs de recherche. (SEO). Maintenant les moteurs de recherche sont tout \u00e0 fait capable de g\u00e9rer correctement https.<\/p>\n Car la qualit\u00e9 et s\u00e9curit\u00e9 est importante pour vous! Et le secret de la qualit\u00e9, c’est la simplicit\u00e9. Si vous m\u00e9langez un site s\u00e9curis\u00e9 avec un site non s\u00e9curis\u00e9, vous rajoutez une raison de plus d’avoir des bugs!<\/p>\n Parce que la NSA est pass\u00e9e par la! Rien n’emp\u00eache la NSA de mettre un certificat “tierce”, avec environ 500 “autorit\u00e9s de certification”. Mais autant ne pas leur faciliter la t\u00e2che…. Si vous avez une certificat, autant l’utiliser.<\/p>\n Vous allez trouver nombre de posts qui disent le contraire… mais ces posts datent de plusieurs ann\u00e9es en arri\u00e8re, ou on \u00e9t\u00e9 recopi\u00e9s d’autres posts.<\/p>\n L’impl\u00e9mentation<\/strong><\/p>\n Si vous prenez un certificat “wildcard”, vous avez la possibilit\u00e9 de s\u00e9curis\u00e9 plusieurs sous-domaines. Par exemple api.nuage.ch, test-api.nuage.ch, www.nuage.ch. Ils sont un peu plus cher, mais cela reste n\u00e9gligeable par rapport au temps que va passer votre employ\u00e9 pour le configurer. Attention, vous n’aurez pas la petite ic\u00f4ne verte disant que votre site est 100% s\u00e9curis\u00e9… mais c’est un peu du marketing.<\/p>\n Personnellement j’ai pris http:\/\/www.rapidssl.com\/buy-ssl\/wildcard-ssl-certificate\/index.html<\/a> – StartSSL semble pas mal non plus… https:\/\/www.startssl.com\/?app=39<\/a><\/p>\n Sur APACHE2, j’ai la r\u00e8gle suivante.<\/p>\n <VirtualHost *><\/p>\n ServerName api.mydomain.com<\/p>\n # We redirect to https ….<\/p>\n <\/VirtualHost><\/p>\n Tous les appels non s\u00e9curis\u00e9s seront redirig\u00e9 sur la version s\u00e9curis\u00e9e du site.<\/p>\n Pourquoi pas du SSL sur ce site alors?<\/strong><\/p>\n Bonne question \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":" Une questions qui revient souvent c’est: est-ce que je dois mettre tout mon site en SSL \/ HTTPS? Si vous avez un certificat SSL, la r\u00e9ponse est simple: oui! Si vous avez une petite soci\u00e9t\u00e9, vous pouvez avoir un certificat pour moins de 200.- \/ an. Si vous vendez des objets, g\u00e9rez des donn\u00e9es d’utilisateur, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[3],"tags":[],"class_list":["post-358","post","type-post","status-publish","format-standard","hentry","category-technical-analysis"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p50cYU-5M","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/posts\/358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/comments?post=358"}],"version-history":[{"count":0,"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/posts\/358\/revisions"}],"wp:attachment":[{"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/media?parent=358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/categories?post=358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nuage.ch\/site\/wp-json\/wp\/v2\/tags?post=358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nRewriteEngine On
\nRewriteCond %{HTTP:X-Forwarded-Proto} !https
\nRewriteRule ^\/(.*) https:\/\/%{SERVER_NAME}\/$1 [L,R]<\/p>\n