ninou75 (Auteur du topic), Posté le: Dim 12 Mar 2017, 15:15 Sujet du message: Sécurité sur les page perso en HTTPS ?
Sécurité sur les page perso en HTTPS ?154459142055
Bonjour à tous
J'aimerais savoir si les page perso de Free
peuvent être aussi https://
Exemple on clic sur un "greffon don" et hop la page
deviens https:// et sécurise le "futur donateur"
Merci beaucoup à tous ceux et celle qui pourront m'aider
*** Modération *** Titre édité *** Modération ***
ItvekVads, Posté le: Lun 13 Mar 2017, 14:52 Sujet du message: Re: Sécurité sur les page perso en HTTPS ?
Re: Sécurité sur les page perso en HTTPS ?145496133889
ninou75 a écrit:
Bonjour à tous
J'aimerais savoir si les page perso de Free
peuvent être aussi https://
*** Modération *** Titre édité *** Modération ***
Curtis Newton
C'est prévu à terme. Cependant, aucune date ou modalité précise n'est connue.
Extrait du message de Aurélien sur le forum Usenet des pages perso :
Citation:
Le Monday 30 Jan 2017 à 18:55, FYIO écrivait:
> Y aura-t-il prochainement la possibiliter d'avoir les sites des Pages
> perso en https? Cela devient nécessaire pour de multiples raisons.
Pour des raisons de sécurité, on ne peut pas mettre un certificat
*.free.fr pour toutes les pages persos.
On pourrait envisager letsencrypt mais pour l'instant, free.fr étant dans
le Alexa Top 1000, c'est blacklisté.
Mais, oui, l'objectif c'est de proposer https et IPv6.
Pelot, Posté le: Lun 13 Mar 2017, 14:58 Sujet du message:
7013165112
Sauf erreur , Free ne propose pas ce service dans son offre, ni même en option payante...et je ne connais pas de fai qui le fait...sans doute parce que ce n'est pas gratuit ...et utilise aussi des ressources serveurs pour aller lire les certificats...
Si tu as vraiment besoin de connexion sécurisée et chiffrée par https, il faut te tourner vers un hébergeur qui fournit ce service....Pour exemple,je viens de passer le site d'une association sous ce protocole. Ca nous revient à 35€ par an et il a fallut reprendre une partie du code notamment pour rajouter le S sur certains liens internes (images ...)
Le certificat est à renouveler au bout de trois ans maximum faute de quoi le site peut être bloqué...De même , nous avions des liens vers des services externes (compteurs de visite entre autres) que j'ai du supprimer car non sécurisés
Nous l'avons fait pour ne plus voir apparaitre des alertes "connexion non sécurisée" sous Firefox ou chrome ce qui fait peur à certains ...peu au fait des risques quasiment inexistants sur un site non marchand...
Et aussi car Google et Bing tiennent compte de la présence ou non de ce protocole pour référencer les sites...et nous ne voulons pas voir notre site plonger au fin fond des classements...après avoir passé du temps dessus pour son référencement naturel...
A notre que UF n'est pas en https ce qui n'est pas gênant en soi pour un site d'info mais serait rédhibitoire (en tout cas pour moi) sur un site marchand...
ItvekVads, Posté le: Lun 13 Mar 2017, 15:45 Sujet du message:
145496133889
Pelot a écrit:
Sauf erreur , Free ne propose pas ce service dans son offre, ni même en option payante...
Comme mentionné dans mon précédent message, Free pense à le proproser, mais pas de date connue pour le moment.
Citation:
et je ne connais pas de fai qui le fait...sans doute parce que ce n'est pas gratuit ...et utilise aussi des ressources serveurs pour aller lire les certificats...
OVH, Online (pour ne citer qu'eux) le propose maintenant d'office avec leurs offres mutualisées.
Pour les certificats, avec let's encrypt, c'est gratuit, automatisé et renouvelable automatiquement tous les 90 jours.
https://letsencrypt.org/ (par exemple avec certbot https://certbot.eff.org/ )
Citation:
Si tu as vraiment besoin de connexion sécurisée et chiffrée par https, il faut te tourner vers un hébergeur qui fournit ce service....
Pour le moment oui, plus tard, sans doute pas.
Citation:
Pour exemple,je viens de passer le site d'une association sous ce protocole. Ca nous revient à 35€ par an et il a fallut reprendre une partie du code notamment pour rajouter le S sur certains liens internes (images ...)
Le certificat est à renouveler au bout de trois ans maximum faute de quoi le site peut être bloqué...De même , nous avions des liens vers des services externes (compteurs de visite entre autres) que j'ai du supprimer car non sécurisés
Selon la méthode utilisée pour lier les ressources de la page il n'est pas toujours nécessaire de reprendre le code lors du basculement en https, notamment si les ressources sont relative à la page ou à la racine du site. On peut aussi passer à la trappe le scheme utilisé (par exemple <script src="//monsite.com/js/jqery.min.js></script>). Dans ces 3 cas, il n'y a alors pas besoin de modifier le code pour charger correctement le site en https.
HTTPS ne fait pas tout, il faut aussi mettre en place certains en en-tetes http de sécurité basique, qui permette de protéger contre une des principales menaces, le cross site scripting (info ici https://securityheaders.io/ et là https://observatory.mozilla.org/ ) et il faut une configuration HTTPS robuste (que l'on peut vérifier ici https://www.ssllabs.com/ssltest/ où là https://TLS.imirhil.fr ) et maintenir à jour les éventuels scripts ou CMS utilisés pour le site. Enfin, tout cela ne sert à rien si la machine qui héberge le site est trouée : vérifier les mises à jour du système d'exploitation, vérifier les configurations des autres services (envoi de mail, SSH, mysql, phpmyadmin, etc.).
Pour en revenir aux Pages Perso, il est possible déjà, sans attendre HTTPS de mettre en place les en-tête de sécurité basique (via PHP ou via meta tag http-equiv).
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum