Configurer HTTPS
Il se peut que votre hôte Web (fournisseur d'hébergement Web) propose la sécurité HTTPS. Sinon, vous pouvez demander à obtenir un certificat SSL/TLS auprès d'une autorité de certification et l'installer vous-même. Vous devrez peut-être renouveler de temps en temps les certificats SSL/TLS.
Pour passer un site web en HTTPS, on utilise un certificat SSL. Ce dernier va assurer la sécurisation des informations échangées entre le site et le serveur, en chiffrant les données qui transiteront entre les deux.
On me demande souvent ce que je pense de Let's Encrypt, et j'ai toujours cette même réponse : Let's Encrypt a fait énormément pour chiffrer le web, mais met à mal la sécurité du web. Le chiffrement permet d'assurer la confidentialité (personne ne peut espionner) et l'intégrité (personne ne peut modifier) des échanges.
Pour obtenir un certificat SSL gratuit et sécuriser votre site web, il vous suffit d'avoir la main sur votre serveur apache. Let's Encrypt propose un outil qui permet la mise en place automatique du certificat sur votre domaine en quelques lignes de commande.
Avez-vous configuré la redirection vers HTTPS ? Même si SSL a été activé sur votre domaine, les visiteurs peuvent toujours accéder à votre site en utilisant HTTP. Si vous voulez vous assurer que votre site n'est accessible que par HTTPS, vous devez créer une redirection.
Les avantages du HTTPS
Les avantages en termes de sécurité mentionnés plus haut, soit l'authentification du serveur, le chiffrement des échanges de données et leur protection contre les altérations, sont les avantages évidents et principaux du protocole HTTPS.
Il assure à la fois : La confidentialité des données, les informations ne pourront pas être observées par un tiers, L'intégrité des données, les informations ne pourront pas être modifiées par un tiers, L'authentification de votre organisme, garantissant ainsi que vous êtes bien l'auteur de l'échange.
Comment activer le protocole HTTPS
Pour activer le protocole HTTPS, utilisez une autorité de certification pour obtenir un certificat d'authentification de votre site web. Installez ce certificat sur votre serveur web et configurez TLS.
Si l'accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports. Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées.
Il vous faut acquérir un certificat SSL auprès d'un organisme de certification comme GeoTrust, Symantec, Comodo etc. Ce certificat SSL devra ensuite être installé sur votre serveur et vous devrez paramétrer votre site PrestaShop afin qu'il soit accessible en HTTPS.
Reste le dernier cas de figure : une URL avec le protocole « https » activé, mais une mention rouge "non sécurisé". Cela signifie que, bien qu'une connexion sécurisée soit prévue, celle-ci a échoué.
L'Autorité de Certification, l'organisme qui délivre le certificat SSL, agit en quelque sorte comme une Préfecture ou une Mairie qui délivre des cartes d'identité ; Elle engage une série de vérifications selon des règles très strictes, afin d'établir avec certitude l'identité de l'entreprise et du serveur web ; l' ...
Certains sites comme les banques utilisent le protocole HTTPS (Hyper Text transfert protocol sécurised). Ce protocole crypte les échanges d'informations entre le serveur et votre ordinateur. Les navigateurs récents rajoute le nom du protocole automatiquement. Il 'est donc plus nécessaire de le taper.
Le World Wide Web (WWW) désigne l'ensemble des pages HTML accessibles sur Internet et consultables depuis les navigateurs Internet. Tandis que HTTP (Hyper Text Transfer Protocol) désigne le protocole de transfert hypertexte, c'est-à-dire le moyen de communication entre le navigateur et le World Wide Web (WWW).
Les certificats SSL sont des informations d'authentification sur Internet, émis uniquement pour un domaine spécifique et un serveur web, puis authentifié par le fournisseur de certificats SSL. Quand un navigateur se connecte à un serveur, le serveur envoie les informations d'identification au navigateur.
Regardez en haut à gauche dans la case de l'URL si les lettres http sont suivies d'un s et précédées d'un cadenas. Cela signifie que le navigateur a établi une connexion sécurisée avec le site. Si le site n'affiche pas ce logo https et son cadenas, il peut néanmoins être certifié SSL.
Pour générer votre CSR(Certificate Signing Request) avec la clé privée, ouvrez l'utilitaire OpenSSL : /usr/local/ssl/bin ; et suivez les étapes suivantes. Si vous souhaitez sécuriser votre clé privée, utilisez le paramètre -des3. Dans le cas contraire, votre clé privée sera non protégée.
Remplissez le formulaire de commande, créez une demande de signature de certificat (CSR) et effectuez le paiement. Les informations saisies dans la commande sont vérifiées en fonction du type de certificat (DV, OV, EV). Procédez à la validation du contrôle de domaine (DCV).
Afin d'obtenir un certificat pour le domaine de votre site web auprès de Let's Encrypt, vous devez apporter la preuve que vous avez le contrôle du domaine. Avec Let's Encrypt, vous faites cela en utilisant un logiciel qui utilise le protocole ACME qui fonctionne généralement sur votre hôte web.