Re : Attention https obligatoire !

Je suis en plein dedans !
Je sais deja que sur Ovh, tous les hébergements on un https mais pour forcer le ssl c'est plus compliqué !
La config Joomla n'est pas pris en compte
Donc obligé de passer par le .htaccess .... et ça marche un fois sur deux (pour le moment)

Re : Attention https obligatoire !

Bonjour,

toffffe a écrit un article sur le sujet :

Re : Attention https obligatoire !

Bonjour !

Il y a une chose qui me perturbe dans cette histoire, c'est qu'il ne semble pas que les hébergeurs qui proposent actuellement Let's Encrypt ou équivalent inclus dans leurs hébergements sont apparemment avares d'explications pour les non initiés !
Je viens de regarder chez PHPNET (sur mutualisés Premium), 1and1 et OVH (sur tous leurs mutualisés, semble-t-il) et je dois dire que je suis perplexe quant à la manière de procéder (il faut cliquer quelque part et suivre une procédure sans rien en connaître d'avance).
Autre souci : l'utilisation de tels certificats complémentaires pour d'autres noms de domaines ou sous-domaines situés sur les mêmes serveurs. Pas la moindre info clairement accessible pour savoir comment s'y prendre... J'ai des clients qui ont deux sites ou plus sur leur serveur ; moi-même, j'en ai un petit stock, perso et pro, sur le même serveur...

Ma question est donc : connaissez-vous des tutoriels clairs pour guider les ignorants ?

Autre souci : la bascule http/https et inversement lorsqu'on a besoin de travailler sur un clone du site, en local ou en sous-domaine distant. Une instruction dans un .htaccess suffit-elle ? Sinon comment le gérer dans Joomla! ?

Merci par avance de vos lumières !
Robert

Re : Attention https obligatoire !

Bonjour,

Je suis moi aussi à la recherche d'un tutoriel, 1&1 venant de m'informer que le certificat SSL est désormais inclus dans mon offre.

J'ai trouvé les infos de base (notamment dans cet article : http://www.adgensite.com/pourquoi-mi...site-en-https/), mais je préférerais nettement un petit tutoriel basé sur Joomla!, histoire que je ne passe pas à côté de quelques configurations à paramétrer dans l'admin...

Merci d'avance !

Flo

PS: entièrement d'accord avec RobertG quant aux infos données sur 1&1, qui reviennent à : faites ceci, puis cela, mais un peu comme quelqu'un qui vous dirait "tourne à gauche, puis 2 fois à droite", sans jamais vous dire où on est censé arriver au bout du bout...

Re : Attention https obligatoire !

J'ai trouvé ceci dans les pages d'assistance 1&1 : http://assistance.1and1.fr/certifica...e-a793381.html
Si je comprends bien, on ne passe pas de http://mondomaine.tld à https://mondomaine.tld via le système, mais à https://ssl.1and1.fr/mondomaine.tld !
Quelqu'un ayant essayé pourrait-il confirmer ou infirmer ?
N'ayant pas de site personnel autre que des sites de test chez 1&1 en mutualisé, je peux difficilement essayer.

Re : Attention https obligatoire !

chez o2switch, j'ai activé mon certificat ( possibilité d'activer plusieurs certicficats d'un coup)
puis je suis allé dans la config joomla et j'ai forcé le https.
en tout cela m'a pris 2 minutes sans exagerer.

Re : Attention https obligatoire !

Bonjour,

C'est curieux que personne n'est pensé à le faire, cela vaut peut être la peine

Comme le dit Serge (tataye), dans le cadre des configurations mutualisées où le certificat est déployé automatiquement, cela peut prendre juste 2 mn ou un peu plus longtemps selon votre site...

1. Par exemple pour 1&1, l'activation du "ssl starter" dans l'hébergement se fait d'un simple clic depuis le manager.



Une fois activée, il faut tester votre adresse avec et sans le https.
Vous pouvez également vérifier la présence du certificat avec


2. Si nécessaire, il faut "corriger" les problèmes de votre contenu...

Le cas le plus classique, c'est d'avoir des liens http écrit directement quand on insère une image dans un article ou module. Dans ce cas, on obtient du contenu mixé (des urls en https et d'autres en http) donc on vérifie via la console de votre navigateur ( Google Chrome par exemple) qui indiquera les liens à corriger.

Il suffit ensuite d'éditer le contenu de votre article ou module au contenu personnalisé, de passer en code source pour supprimer la partie non relative de vos liens internes défectueux (c'est à dire que votre nom de domaine ne devrait pas être présent dans votre url mais seulement à partir du chemin vers les images ou fichier index.php).

idem pour des liens externes vers des fichiers javascript ou des librairies externes, googlefont... ce sera plus difficile car il faudra éditer les fichiers de votre template, module ou composant, l'astuce à retenir c'est de chercher ce qui commence par http et de supprimer "http:" dans le lien. En effet, laisser uniquement les deux barres obliques (slash) // + nom de domaine et chemin et de virer ce qui est avant (http: ou https... cela fonctionne parfaitement (le protocole est implicite).

exemple: Le portail francophone de notre cms souffre actuellement des mêmes problèmes :



sur la capture, c'est l'intégration google CSE (utilisation de google comme moteur de recherche interne) qui n'a pas été corrigé mais avec la refonte, l'équipe en place aura pris compte de ces problèmes.

Auprès d'autres utilisateurs, j'ai déjà vu utiliser l'extension rereplacer de regularlabs pour ne pas à chercher dans des milliers de page d'un site web ! Personnellement, je préfère taper dans la base de données en une seule requête et corriger les fichiers nécessaires pour optimiser le tout.

Je travaille souvent en dev localement sur la version non actif ssl alors que la version en prod reste en https, une synchronisation des fichiers + base me permet de tester ainsi les mises à jour et autres évolution sans me soucier du ssl ("staging" sous joomla).

3. Une fois que votre site peut fonctionner aussi bien en http ou https, il vous suffit de faire une redirection dans le htaccess pour forcer le passage en https et forcer le ssl si nécessaire dans joomla comme c'est expliqué ici :


C'est à peu près tout je crois.

La procédure est finalement assez simple surtout si votre contenu est bon car ce qui est le plus difficile, c'est le nettoyage du site.

Il y a une légère augmentation des ressources mais d'après mes tests, je n'ai pas vraiment vu de différence. Vous pouvez aussi optimiser en effectuant un pré-chargement des librairies voir des liens (je ferai un autre explication la-dessus).

Personnellement, je trouve important que les site soient en https... d'une part Google le préconise et c'est important quand on décide de réaliser autour du site joomla, une application connectée, l'intégration en page facebook ou une notification via le navigateur ou l'os.

Yann

Re : Attention https obligatoire !

Bonjour,

J'ai des centaines d'articles à corriger où il faut changer le "http://" en "//".
Quelle est la requête à utiliser dans PhpMyAdmin ?

Re : Attention https obligatoire !

Hello,

avec un replace dans un update ( http://sql.sh/fonctions/replace )
mais je te conseille l'extension dbreplacer


Il te permet d'afficher le résultat de ta recherche et d'effectuer le rechercher/remplacer

exemple sur content/introtext


Autre point non négligeable, la sauvegarde est importante.
En cas d'erreur, il faut pouvoir restaurer la base. De toute façon, on teste toujours sur une copie et non sur le site en production

N'oubliez pas non plus de vider le cache pour ne pas conserver les anciennes urls.

Yann

ps : dans le cas de ton site, effectivement il y a un nettoyage à faire avant de faire la redirection en htaccess :

Capture depuis la console de G. Chrome sur la page d'accueil

Re : Attention https obligatoire !

...
Ne serait-il pas plus simple de faire :

- avec PhpMyAdmin, exporter la base de données dans un fichier .sql,
- avec Notepadd++, remplacer dans ce fichier .sql toutes chaînes "http:" par ""
- avec PhpMyAdmin, supprimer toute les tables de la base de données,
- avec PhpMyAdmin, importer le fichier .sql modifié.

Re : Attention https obligatoire !

Bonjour Yann,

Question subsidiaire : est-il possible d'avoir une page sécurisée httpS tandis que les autres pages ne le sont pas (protocole http) ? Si oui, sais-tu comment procéder ?

Re : Attention https obligatoire !

Je dirai que tous les moyens sont bons, pourquoi pas si ton fichier n'est pas trop lourd. Tu peux éventuellement le compresser avant de l'importer dans PhpMyAdmin. N'oublie pas de conserver une copie (j'insiste, lol!)

A mon avis, sans que tu soit obligé de le faire, tu peux déjà corriger tes adsenses
https://support.google.com/adsense/answer/10528?hl=fr ainsi que ton image de paypal dans le module de don.
Cela te permet de tester vu que tu est déjà en https sur ton site

Pour être sincère, Google nous pousse au https comme il l'a fait avec la compatibilité mobile mais on dit aussi depuis des années que l'accès à une même page en http et https donne du contenu dupliqué.

Ce qui est fort, c'est le deploiement automatique actif comme let's encrypt sans préciser le problème du contenu dupliqué, pourtant indiqué dans les docs d'hébergeurs...
exemple : https://docs.ovh.com/fr/fr/web/hosti...-mon-site-web/

A mon avis, ce serait intéressant de vérifier si le déploiement automatique n'a pas eu un impact négatif.

Oui, bien que je ne comprends pas très bien ton objectif, dans ce cas tu différencie dans le fichier htaccess sans forcer le ssl dans la configuration de joomla. Si tu redirige le https que pour une page, il faudra que tu redirige les autres pages vers le http pour éviter le duplicate content ( tout comme avec et sans www ). Il faudra que tu cherche un peu sur la redirection 301 mais ce serait un truc comme...


Juste un rappel, toute modification entraîne forcément un impact. Il faudra donc surveiller votre référencement mais aussi les réseaux sociaux... je crois bien que les "like" de page web sont remis à zéro

Re : Attention https obligatoire !

A vrai dire ce n'est pas mon objectif mais la demande d'un client. A ce sujet, je croyais me souvenir que Joomla permettait de déclarer des pages spécifiques comme sécurisées, mais peut-être est-ce un faux souvenir. De toute façon merci de ta réponse.


Amicalement,

Re : Attention https obligatoire !

Non tu as parfaitement raison dans les metadonnées du lien de menu... :