Attention https obligatoire !

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Attention https obligatoire !

    Début septembre 2016...

    Pour info, il est plus important que jamais de se soucier des certificats SSL et du https appliqué sur vos sites web Joomla.

    Une icône d'alerte (point d'exclamation) est en place désormais sous le navigateur Chrome pour les sites http avertissant que la connexion n'est pas privée.

    Le forum devrait passer également en https



    L'objectif est de vous inviter à passer au https depuis que let's encrypt propose le certificat gratuitement. Certains hébergeurs ont déployé la solution sur leur serveurs mutualisés et vous trouverez de nombreux tutoriels sur le net.

    source : https://certsimple.com/blog/your-con...is-not-private
    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

  • #2
    Re : Attention https obligatoire !

    Je suis en plein dedans !
    Je sais deja que sur Ovh, tous les hébergements on un https mais pour forcer le ssl c'est plus compliqué !
    La config Joomla n'est pas pris en compte
    Alerte
    HTTPS has not been enabled as it is not available on this server.
    Donc obligé de passer par le .htaccess .... et ça marche un fois sur deux (pour le moment)
    “Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter le nouveau service (en Beta) de la base de connaissance https://kb.joomla.fr
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérer à l'AFUJ https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      Re : Attention https obligatoire !

      Bonjour,

      toffffe a écrit un article sur le sujet :
      https://www.stylitek.com/referenceme...vier-2017.html
      JoomlaDay FR 2018 - 18/19 Mai 2018 ! J'y serai ... et vous ?

      Envie de lire sur Joomla!, mais pas que ? Cinnk magazine http://cinnk.com/magazine

      Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous
      Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

      Commentaire


      • #4
        Re : Attention https obligatoire !

        Bonjour !

        Il y a une chose qui me perturbe dans cette histoire, c'est qu'il ne semble pas que les hébergeurs qui proposent actuellement Let's Encrypt ou équivalent inclus dans leurs hébergements sont apparemment avares d'explications pour les non initiés !
        Je viens de regarder chez PHPNET (sur mutualisés Premium), 1and1 et OVH (sur tous leurs mutualisés, semble-t-il) et je dois dire que je suis perplexe quant à la manière de procéder (il faut cliquer quelque part et suivre une procédure sans rien en connaître d'avance).
        Autre souci : l'utilisation de tels certificats complémentaires pour d'autres noms de domaines ou sous-domaines situés sur les mêmes serveurs. Pas la moindre info clairement accessible pour savoir comment s'y prendre... J'ai des clients qui ont deux sites ou plus sur leur serveur ; moi-même, j'en ai un petit stock, perso et pro, sur le même serveur...

        Ma question est donc : connaissez-vous des tutoriels clairs pour guider les ignorants ?

        Autre souci : la bascule http/https et inversement lorsqu'on a besoin de travailler sur un clone du site, en local ou en sous-domaine distant. Une instruction dans un .htaccess suffit-elle ? Sinon comment le gérer dans Joomla! ?

        Merci par avance de vos lumières !
        Robert
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

        Commentaire


        • #5
          Re : Attention https obligatoire !

          Bonjour,

          Je suis moi aussi à la recherche d'un tutoriel, 1&1 venant de m'informer que le certificat SSL est désormais inclus dans mon offre.

          J'ai trouvé les infos de base (notamment dans cet article : http://www.adgensite.com/pourquoi-mi...site-en-https/), mais je préférerais nettement un petit tutoriel basé sur Joomla!, histoire que je ne passe pas à côté de quelques configurations à paramétrer dans l'admin...

          Merci d'avance !

          Flo

          PS: entièrement d'accord avec RobertG quant aux infos données sur 1&1, qui reviennent à : faites ceci, puis cela, mais un peu comme quelqu'un qui vous dirait "tourne à gauche, puis 2 fois à droite", sans jamais vous dire où on est censé arriver au bout du bout...

          Commentaire


          • #6
            Re : Attention https obligatoire !

            J'ai trouvé ceci dans les pages d'assistance 1&1 : http://assistance.1and1.fr/certifica...e-a793381.html
            Si je comprends bien, on ne passe pas de http://mondomaine.tld à https://mondomaine.tld via le système, mais à https://ssl.1and1.fr/mondomaine.tld !
            Quelqu'un ayant essayé pourrait-il confirmer ou infirmer ?
            N'ayant pas de site personnel autre que des sites de test chez 1&1 en mutualisé, je peux difficilement essayer.
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

            Commentaire


            • #7
              Re : Attention https obligatoire !

              chez o2switch, j'ai activé mon certificat ( possibilité d'activer plusieurs certicficats d'un coup)
              puis je suis allé dans la config joomla et j'ai forcé le https.
              en tout cela m'a pris 2 minutes sans exagerer.
              aidons nous les uns les autres ...

              http://web54.fr

              Commentaire


              • #8
                Re : Attention https obligatoire !

                Envoyé par FlodAriege Voir le message
                Bonjour,
                Je suis moi aussi à la recherche d'un tutoriel, 1&1 venant de m'informer que le certificat SSL est désormais inclus dans mon offre.
                Bonjour,

                C'est curieux que personne n'est pensé à le faire, cela vaut peut être la peine

                Comme le dit Serge (tataye), dans le cadre des configurations mutualisées où le certificat est déployé automatiquement, cela peut prendre juste 2 mn ou un peu plus longtemps selon votre site...

                1. Par exemple pour 1&1, l'activation du "ssl starter" dans l'hébergement se fait d'un simple clic depuis le manager.



                Une fois activée, il faut tester votre adresse avec et sans le https.
                Vous pouvez également vérifier la présence du certificat avec
                https://cryptoreport.geotrust.com/ch.../certCheck.jsp

                2. Si nécessaire, il faut "corriger" les problèmes de votre contenu...

                Le cas le plus classique, c'est d'avoir des liens http écrit directement quand on insère une image dans un article ou module. Dans ce cas, on obtient du contenu mixé (des urls en https et d'autres en http) donc on vérifie via la console de votre navigateur ( Google Chrome par exemple) qui indiquera les liens à corriger.

                Il suffit ensuite d'éditer le contenu de votre article ou module au contenu personnalisé, de passer en code source pour supprimer la partie non relative de vos liens internes défectueux (c'est à dire que votre nom de domaine ne devrait pas être présent dans votre url mais seulement à partir du chemin vers les images ou fichier index.php).

                idem pour des liens externes vers des fichiers javascript ou des librairies externes, googlefont... ce sera plus difficile car il faudra éditer les fichiers de votre template, module ou composant, l'astuce à retenir c'est de chercher ce qui commence par http et de supprimer "http:" dans le lien. En effet, laisser uniquement les deux barres obliques (slash) // + nom de domaine et chemin et de virer ce qui est avant (http: ou https... cela fonctionne parfaitement (le protocole est implicite).

                exemple: Le portail francophone de notre cms souffre actuellement des mêmes problèmes :



                sur la capture, c'est l'intégration google CSE (utilisation de google comme moteur de recherche interne) qui n'a pas été corrigé mais avec la refonte, l'équipe en place aura pris compte de ces problèmes.

                Auprès d'autres utilisateurs, j'ai déjà vu utiliser l'extension rereplacer de regularlabs pour ne pas à chercher dans des milliers de page d'un site web ! Personnellement, je préfère taper dans la base de données en une seule requête et corriger les fichiers nécessaires pour optimiser le tout.

                Je travaille souvent en dev localement sur la version non actif ssl alors que la version en prod reste en https, une synchronisation des fichiers + base me permet de tester ainsi les mises à jour et autres évolution sans me soucier du ssl ("staging" sous joomla).

                3. Une fois que votre site peut fonctionner aussi bien en http ou https, il vous suffit de faire une redirection dans le htaccess pour forcer le passage en https et forcer le ssl si nécessaire dans joomla comme c'est expliqué ici :
                http://alphadesign.fr/joomla/tutorie...te-joomla.html

                C'est à peu près tout je crois.

                La procédure est finalement assez simple surtout si votre contenu est bon car ce qui est le plus difficile, c'est le nettoyage du site.

                Il y a une légère augmentation des ressources mais d'après mes tests, je n'ai pas vraiment vu de différence. Vous pouvez aussi optimiser en effectuant un pré-chargement des librairies voir des liens (je ferai un autre explication la-dessus).

                Personnellement, je trouve important que les site soient en https... d'une part Google le préconise et c'est important quand on décide de réaliser autour du site joomla, une application connectée, l'intégration en page facebook ou une notification via le navigateur ou l'os.

                Yann
                Dernière édition par daneel à 25/09/2016, 09h23
                Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                Commentaire


                • #9
                  Re : Attention https obligatoire !

                  Bonjour,

                  Envoyé par daneel Voir le message
                  Personnellement, je préfère taper dans la base de données en une seule requête et corriger les fichiers nécessaires pour optimiser le tout.
                  J'ai des centaines d'articles à corriger où il faut changer le "http://" en "//".
                  Quelle est la requête à utiliser dans PhpMyAdmin ?
                  GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
                  Le terrier de Fynhooft : http://patrick.gauwin.free.fr
                  Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

                  Commentaire


                  • #10
                    Re : Attention https obligatoire !

                    Envoyé par fynhooft Voir le message
                    Quelle est la requête à utiliser dans PhpMyAdmin ?
                    Hello,

                    avec un replace dans un update ( http://sql.sh/fonctions/replace )
                    mais je te conseille l'extension dbreplacer
                    https://www.regularlabs.com/extensio...search-replace

                    Il te permet d'afficher le résultat de ta recherche et d'effectuer le rechercher/remplacer

                    exemple sur content/introtext


                    Autre point non négligeable, la sauvegarde est importante.
                    En cas d'erreur, il faut pouvoir restaurer la base. De toute façon, on teste toujours sur une copie et non sur le site en production

                    N'oubliez pas non plus de vider le cache pour ne pas conserver les anciennes urls.

                    Yann

                    ps : dans le cas de ton site, effectivement il y a un nettoyage à faire avant de faire la redirection en htaccess :

                    Capture depuis la console de G. Chrome sur la page d'accueil
                    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                    Commentaire


                    • #11
                      Re : Attention https obligatoire !

                      ...
                      Ne serait-il pas plus simple de faire :

                      - avec PhpMyAdmin, exporter la base de données dans un fichier .sql,
                      - avec Notepadd++, remplacer dans ce fichier .sql toutes chaînes "http:" par ""
                      - avec PhpMyAdmin, supprimer toute les tables de la base de données,
                      - avec PhpMyAdmin, importer le fichier .sql modifié.
                      GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
                      Le terrier de Fynhooft : http://patrick.gauwin.free.fr
                      Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

                      Commentaire


                      • #12
                        Re : Attention https obligatoire !

                        Bonjour Yann,

                        Envoyé par daneel Voir le message
                        [...] Personnellement, je trouve important que les sites soient en https
                        Question subsidiaire : est-il possible d'avoir une page sécurisée httpS tandis que les autres pages ne le sont pas (protocole http) ? Si oui, sais-tu comment procéder ?
                        Créateur de sites internet — Agence web indépendante http://www.e-33.fr | http://www.quali-site.fr (région de Bordeaux)

                        Commentaire


                        • #13
                          Re : Attention https obligatoire !

                          Envoyé par fynhooft Voir le message
                          ...
                          Ne serait-il pas plus simple de faire...
                          Je dirai que tous les moyens sont bons, pourquoi pas si ton fichier n'est pas trop lourd. Tu peux éventuellement le compresser avant de l'importer dans PhpMyAdmin. N'oublie pas de conserver une copie (j'insiste, lol!)

                          A mon avis, sans que tu soit obligé de le faire, tu peux déjà corriger tes adsenses
                          https://support.google.com/adsense/answer/10528?hl=fr ainsi que ton image de paypal dans le module de don.
                          Cela te permet de tester vu que tu est déjà en https sur ton site

                          Pour être sincère, Google nous pousse au https comme il l'a fait avec la compatibilité mobile mais on dit aussi depuis des années que l'accès à une même page en http et https donne du contenu dupliqué.

                          Ce qui est fort, c'est le deploiement automatique actif comme let's encrypt sans préciser le problème du contenu dupliqué, pourtant indiqué dans les docs d'hébergeurs...
                          exemple : https://docs.ovh.com/fr/fr/web/hosti...-mon-site-web/

                          A mon avis, ce serait intéressant de vérifier si le déploiement automatique n'a pas eu un impact négatif.

                          Envoyé par PhilJ Voir le message
                          Bonjour Yann,

                          Question subsidiaire : est-il possible d'avoir une page sécurisée httpS tandis que les autres pages ne le sont pas (protocole http) ? Si oui, sais-tu comment procéder ?
                          Oui, bien que je ne comprends pas très bien ton objectif, dans ce cas tu différencie dans le fichier htaccess sans forcer le ssl dans la configuration de joomla. Si tu redirige le https que pour une page, il faudra que tu redirige les autres pages vers le http pour éviter le duplicate content ( tout comme avec et sans www ). Il faudra que tu cherche un peu sur la redirection 301 mais ce serait un truc comme...

                          Code:
                          RewriteCond %{HTTPS} off
                          RewriteRule ^lapage\.html$ https://www.tonsite.com/lapage.html [L,R=301]

                          Juste un rappel, toute modification entraîne forcément un impact. Il faudra donc surveiller votre référencement mais aussi les réseaux sociaux... je crois bien que les "like" de page web sont remis à zéro
                          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                          Commentaire


                          • #14
                            Re : Attention https obligatoire !

                            Envoyé par daneel Voir le message
                            Oui, bien que je ne comprends pas très bien ton objectif
                            A vrai dire ce n'est pas mon objectif mais la demande d'un client. A ce sujet, je croyais me souvenir que Joomla permettait de déclarer des pages spécifiques comme sécurisées, mais peut-être est-ce un faux souvenir. De toute façon merci de ta réponse.


                            Amicalement,
                            Créateur de sites internet — Agence web indépendante http://www.e-33.fr | http://www.quali-site.fr (région de Bordeaux)

                            Commentaire


                            • #15
                              Re : Attention https obligatoire !

                              Envoyé par PhilJ Voir le message
                              mais peut-être est-ce un faux souvenir.
                              Non tu as parfaitement raison dans les metadonnées du lien de menu... :


                              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X