Nous venons de passer à «HTTPS partout» ici même sur CSS-Tricks. J'ai rédigé un article de blog détaillant les étapes pour y arriver. Cette vidéo est un compagnon à cela, parlant à travers les étapes, car je sais que certaines personnes préfèrent ce style et le type de détail qu'il offre.
Je dois noter que je ne suis pas un expert dans ce domaine. Je suis sûr qu'il existe différents types de certificats SSL qui peuvent être installés de différentes manières et qui offrent différents niveaux de sécurité. Je ne peux pas vous parler de Heartbleed. Je ne sais même pas comment vous obtenez le type de certificat où il est indiqué le nom de votre site par le verrou vert comme certains sites l'ont fait (par exemple Stripe). Si vous êtes intéressé par des trucs avancés comme ça, ce n'est pas la vidéo pour ça.
Certaines choses évoquées dans la vidéo:
- Firesheep montre à quel point il peut être facile d'espionner le trafic d'un site Web public. Je ne peux pas faire ça via HTTPS.
- Les FAI (et autres intermédiaires Internet) peuvent gâcher le trafic réseau, pas des choses comme insérer leurs propres publicités. Même Google lui-même. Je ne peux pas faire ça via HTTPS.
- Le contenu HTTP / 2 sera génial pour les performances Web, et il est probable que certains navigateurs auront besoin de HTTPS pour l'utiliser.
- Le simple fait que votre hébergeur installe votre certificat SSL pour vous est probablement un peu plus cher, mais cela sera (probablement) bien fait et sera moins de travail de votre part.
- Si votre site contient des informations sécurisées transmises de quelque manière que ce soit, même si elles n'atteignent jamais vos serveurs ou si vous ne les stockez jamais, votre site doit être HTTPS. À tout le moins, les pages qui ont les éléments sécurisés, comme les pages de connexion ou les pages d'inscription.
- WordPress dispose d'un paramètre simple pour activer HTTPS pour la zone d'administration, qui sera plus facile à travailler que la partie de votre site orientée utilisateur.
- Si vous ne pouvez pas encore aller en HTTPS partout sur l'utilisateur faisant face à une partie de votre site WordPress, il existe un plugin qui permet de rendre les pages individuelles HTTPS selon les besoins.
- Une fois que vous pouvez forcer HTTPS partout, vous pouvez abandonner le plugin et utiliser cet extrait de code HTAccess.
- Assurez-vous de modifier tous les paramètres possibles pour leur faire savoir que votre site est désormais http: // - pour éviter les redirections. Par exemple, votre CDN et les paramètres directement dans WordPress lui-même.
- Google dit que HTTPS prend en compte les classements de recherche.
- Sur un site existant avec beaucoup de contenu, le travail le plus important consistera peut-être à nettoyer les «avertissements de contenu mixte». Vous n'obtenez pas le verrou vert sécurisé de HTTPS si, par exemple, vous créez un lien vers une image via HTTP. Pire encore, un script lié de manière non sécurisée ne fonctionnera pas du tout.