Certificat SSL : Guide d'un passage réussi du forum en HTTPS

par **The Godfather** Mer 18 Jan 2017 - 17:33

 Etapes pour passer son forum en HTTPS

Certificat SSL : Guide d'un passage réussi du forum en HTTPS Copy-c10

Sommaire :

1. Avant tout, il faut être conscient des impacts d'un passage en HTTPS

2. Le rôle de Forumactif dans le passage d'un forum en HTTPS

3. Le rôle de l'administrateur dans le passage d'un forum en HTTPS

Le passage en HTTPS d'un forum nécessite une préparation préalable de ce dernier à cette transition. En fonction des forums, ce passage en HTTPS peut être plus ou moins facile. Dans ce contexte, une des principales tâches de l'administrateur du forum sera de mettre à jour les liens des ressources externes (images, JavaScripts, CSS, ...) pour qu'ils soient également en HTTPS.

Ci dessous, un guide avec les différentes informations et étapes à suivre pour passer son forum en HTTPS.

Avant tout, il faut être conscient des impacts d'un passage en HTTPS

Un passage en HTTPS apporte son lot d’avantages et d’inconvénients sur n’importe quel site web.

Les avantages d’un passage en HTTPS :

Un léger bonus en référencement : Google a communiqué officiellement sur le fait que le HTTPS est devenu un critère de référencement de son algorithme. Google accorde un très léger bonus aux sites sécurisés depuis 2014 (date de l’annonce officielle).
Mise en avant de la sécurité sur les navigateurs : un label "Sécurisé" en vert sur Google Chrome et Mozilla Firefox apparaît sur votre forum en cas de passage en HTTPS complet. Le https renforce la confiance des internautes envers votre forum.
Voir l'exemple:
Le HTTPS tend à devenir une norme sur le web : Passer votre forum en HTTPS, c'est prendre de l'avance sur de futures modifications potentielles. Par exemple, Google Chrome n'a pas exclu que l'alerte "Non sécurisé" pourrait être affichée en rouge dans les mois futurs.

Les inconvénients d’un passage en HTTPS :

Une mise à jour des liens à faire : pour avoir un label "Sécurisé" en vert, TOUTES les ressources disponibles sur une page doivent être appelées en HTTPS. Dans le cas du contenu mixte (page HTTPS avec images ou scripts appelés en HTTP par exemple), le label "Sécurisé" en vert ne sera pas affiché sur Google Chrome. D’autres navigateurs peuvent afficher une alerte ou encore bloquer l'affichage des ressources appelées HTTP. La gestion du contenu mixte varie d'un navigateur à l'autre, vous pourrez donc observer des différences entre des versions différentes d'un même navigateur web ou entre deux navigateurs web différents par exemple.
Voir l'exemple:
SEO : passer de HTTP à HTTPS équivaut à une migration avec changement de domaine pour les moteurs de recherche. De manière générale, une migration prend toujours du temps et peut entraîner des pertes de positions dans les résultats de Google de façon temporaire.
Réinitialisation des compteurs de partages sociaux : Lorsque vous migrez votre forum HTTP vers HTTPS, vos compteurs de partages sociaux vont tous être remis à zéro : likes, tweets, +1.

Par conséquent, devez-vous passer votre forum en HTTPS ? Personne ne peut vous fournir la réponse à cette question car chaque administrateur de forum peut s’y retrouver, ou pas du tout. C’est donc à vous seul de prendre cette décision. Wink

N’oubliez pas qu’il n’y a pas que Google Chrome, même s’il s’agit du navigateur le plus utilisé en 2016. Prenez donc soin de vous informer sur les autres navigateurs (alerte visuelle, compatibilité) et notamment sur Firefox (Lire cet article sur le support Mozilla).

Gizmo a écrit:Beaucoup de systèmes d'exploitation qui ne sont plus supportés par Microsoft ont des soucis d'accès à certaines ressources https. Pour que ces utilisateurs puissent continuer à naviguer normalement nous remplaçons de façon transparente l'utilisation de certaines ressources https par leur équivalant http.

Les services concernés sont : les avatars, les smilies, les composants des thèmes hitskin, illiweb, servimg, la galerie, les fichiers joints...

Si vous utilisez Windows 98 ou Windows 2000 ne soyez donc pas étonné qu'une image postée en https apparaissent chez vous en http.

Le rôle de Forumactif dans le passage d'un forum en HTTPS

En demandant l'activation d'un certificat SSL sur votre forum, Forumactif effectue automatiquement les changements suivants sur votre forum :

Installation et configuration d'un certificat SSL valide pour votre forum.
Mise en place de redirections 301 de toutes les pages HTTP vers HTTPS, mise à jour de la balise canonical, des liens internes, des liens dans le sitemap.
Mise à jour automatique vers HTTPS des ressources présentes de base sur Forumactif ainsi que certains liens externes de services connus.
Voir la liste des ressources automatiquement mises à jour vers le HTTPS par Forumactif :

Grâce à ces actions automatisées, le passage en HTTPS d'un forum Forumactif est grandement facilité pour les fondateurs. Néanmoins, ce dernier doit aussi opérer des modifications de son coté.

Le rôle de l'administrateur dans le passage d'un forum en HTTPS

Le passage d’un forum en HTTPS exige une intervention du fondateur pour réussir la transition. La tâche n’est pas compliquée mais demande plus ou moins de temps selon votre forum, et notamment les personnalisations appliquées dessus.

L’objectif principal étant d’obtenir un label "Sécurisé" en vert sur toutes les nouvelles pages et la majorité des anciennes pages de votre forum. Néanmoins, notez qu'il est compliqué d’avoir 100% des pages affichant le label "Sécurisé" en vert sur Google Chrome ou Mozilla Firefox à cause du contenu mixte surtout sur un forum de discussion ou toute la communauté participe à la création du contenu des pages.

Dès lors, et pour un passage réussit de votre forum en HTTPS, voici les étapes à suivre dans l'ordre :

Mettre à jour les ressources personnalisées

Il s'agit des ressources que vous avez ajoutées à votre forum pour le modifier ou le personnaliser : scripts, images, compteurs de visite, ...etc. Le tout doit être appelé en HTTPS pour obtenir un cadenas vert.

Notez ici que Forumactif met à votre disposition une option permettant d’appeler de façon automatique les ressources de base de votre forum en HTTPS. Cette option est disponible pour l’administrateur une fois son certificat SSL est activé sur son forum. Si vous souhaitez automatiser la bascule d'une bonne partie des ressources compatibles HTTPS sur votre forum, passez directement à l'étape suivante : "3.2. Activer le certificat SSL pour passer le forum en HTTPS"). Sinon, lire la suite pour une bascule manuelle des url compatibles.

Voir nos conseils pour passer manuellement les ressources du forum en HTTPS:

Vous avez décidez de ne pas automatiser la bascule des ressources de votre forum en HTTPS ? Votre tâche sera donc de trouver et mettre à jour manuellement ces ressources personnalisées dont l’adresse est en HTTP pour les remplacer par leurs équivalents en HTTPS s'ils existent afin d'éviter les problèmes de contenus mixtes.

Les principales ressources concernées sont les suivantes :

Code:: <img> (src attribute) <script> (src attribute) <link> (href attribute) (feuilles CSS) {background:url() (dans le CSS) <audio> (src attribute) <video> (src attribute) <iframe> (src attribute)

Voici les étapes à suivre :

Pour mettre à jour une ressource personnalisée, il vous suffit de copier-coller son adresse internet et de la renseigner dans votre navigateur.
Ensuite, remplacez le http:// par https:// pour vérifier que la ressource est bien disponible en HTTPS.
Si elle est disponible en HTTPS, remplacez simplement l’adresse en HTTP par celle en HTTPS.
Dans le cas contraire, l'action dépendra de la nature de la ressource. Si c’est un script, il faudra l’héberger directement sur la Gestion des codes Javascript de votre forum. Si c'est une image, vous pouvez l'héberger sur sur Servimg qui est parfaitement compatible avec l'HTTPS.

Voir l'exemple:

Afin de vous aider à localiser les ressources externes que vous auriez ajoutées à votre forum, voici une liste non exhaustive des principaux endroits à vérifier :

Accéder au panneau d'administration de votre forum et faîtes le tour de tous vos templates modifiés, CSS, favicon, images, widgets personnalisés, scripts externes, … à la recherche de liens en HTTP.
Accéder à l'index de votre forum et ouvrez sa page d’accueil, une catégorie, un sous-forum et un sujet et regardez le code source de la page (touches "Ctrl U" de votre clavier) et recherchez les liens en HTTP.

Pour résumer : Le problème de contenu mixte est donc causée par une ressource non sécurisée (dont l’adresse est en HTTP) appelée sur une page sécurisée (page en HTTPS). Le contenu mixte empêche la présence du label "Sécurisé" en vert sur Google Chrome, un cadenas vert avec un triangle d'avertissement gris apparaîtra sur Firefox, …

Activer le certificat SSL pour passer le forum en HTTPS

Le paramétrage d'un certificat SSL sur un forum Forumactif est totalement gratuit et se fait dès le package Gratuit.

Pour cela, rendez-vous dans votre Panneau d'administration  Général  Adresse Internet du forum  Certificat SSL  Configuration du protocole HTTPS  Certificat SSL  Protocole du forum : HTTPS

Certificat SSL : Guide d'un passage réussi du forum en HTTPS 10-10-11

Si vous n'avez pas le bloc "Configuration du protocole HTTPS", cela signifie que le domaine par défaut de votre forum ne dispose pas d’un certificat SSL préinstallé. Dans ce cas, il vous faudra cliquer sur le bouton "Installer le certificat SSL" pour en faire une demande manuelle et attendre sa mise en place avant de pouvoir activer votre protocole HTTPS :

Certificat SSL : Guide d'un passage réussi du forum en HTTPS 10-10-12

A la différence d’un forum se trouvant sur un domaine avec un SSL préinstallé et ou la bascule en HTTPS est immédiate, l'installation et l'activation d'un certificat SSL pour un forum se trouvant sur un domaine ne disposant pas d’SSL préinstallé peuvent prendre jusqu’à 24h. Dès lors que ces opérations seront terminées, le certificat SSL de votre forum sera installé et vous aurez accès au paramétrage du protocole du forum. Vous pouvez alors le basculer manuellement en HTTPS.

Pour que vous puissiez avoir une vue globale, voici le déroulement exact du processus :

Votre forum est en HTTP et vous souhaitez le sécurisé en le passant en HTTPS
Vous commandez l'installation du certificat SSL de votre forum via votre Panneau d'administration > Général > Adresse Internet du forum > Certificat SSL :
- Si vous avez un bloc "Configuration du protocole HTTPS" : Cela signifie que votre forum se trouve sur un domaine ayant déjà un SSL préinstallé. Vous avez directement accès aux options de controle du protocole du forum (HTTP / HTTPS). L'installation et l'activation du certificat SSL ainsi que la sécurisation des URL du forum en HTTPS est immédiat.
- Si vous avez un bouton "Installer le certificat SSL" : Cela signifie que votre forum se trouve sur un domaine n'ayant pas de SSL préinstallé. Dans ce cas, il vous faudra la demander manuellement en cliquant sur ce bouton. L'installation et l'activation du certificat SSL du forum peuvent prendre jusqu’à 24h.
Une fois le certificat SSL de votre forum installé, dans le bloc "Configuration du protocole HTTPS" l'option "Protocole du forum" permet de choisir si vous souhaitez avoir un forum en HTTP ou HTTPS. Si vous la passez sur HTTPS, cela applique le certificat sur les url de votre forum en les passants automatiquement en HTTPS.
Votre forum est en HTTPS et il est sécurisé.

Grosso modo, avoir un certificat SSL actif sur votre forum vous déverrouille la possibilité d'utiliser des url sécurisé en HTTPS mais vous n'êtes pas obligé d'utiliser pour autant l'HTTPS comme protocole de base. Cela reste au choix de l'admin via l'option "Protocole du forum" en fonction de ce qu'il souhaite.

Testez votre "nouveau" forum HTTPS

Une fois votre forum en HTTPS, il faut penser à faire le tour et vérifier que le tout fonctionne correctement. Notamment regarder si des problèmes de contenus mixtes sont présents.

Certains services, gratuits ou payants, vous permettent de vérifier vos pages en HTTPS pour trouver d’éventuels problèmes de contenus mixtes. Voici un exemple avec un service en ligne : www.whynopadlock.com et un logiciel : httpsChecker.

Mise à jour des outils pour webmaster

Le passage en HTTPS de votre forum impose de mettre à jour certains outils en ligne pour les webmasters. En dernière étape, il vous faudra ajouter votre forum en HTTPS sur Google Webmaster Tools et BING Webmaster Tools notamment pour continuer à avoir accès aux données de votre forum.

Cette action permet également d’accélérer la prise en compte du passage de votre forum en HTTPS.

Pour finir, et en cas de difficultés, l'équipe de support de Forumactif est également à votre disposition pour vous conseiller et vous accompagner dans cette transition. Alors en cas de difficultés, n’hésitez pas à ouvrir un sujet dans la section dédié au support pour le passage d'un forum en HTTPS ::fleur::

Le staff Forumactif king

par **The Godfather** Lun 25 Fév 2019 - 16:55

Note d'information pour tous les membres :

Bonjour,

Nous avons optimisé la gestion des certificats SSL de vos forums. Cela, en les rendant nativement compatibles avec une ressource de base saisie en HTTP.

En effet, dès lors qu'une ressource de base est disponible en HTTPS, nous forçons sont affichage en HTTPS qu'importe le protocole saisie (HTTP ou HTTPS). Cela pour éviter les problèmes de contenu mixte faisant apparaître des alertes d'insécurité sur des pages pourtant sécurisées.

En plus claire, si nous détectons qu'une ressource de base saisie en HTTP est disponible en HTTPS, nous allons automatiquement l'afficher en HTTPS même si l'utilisateur l'a saisie en HTTP garantissant ainsi le maintien du label sécurisé de la page.

Exemple :

Un utilisateur met dans un message une image Servimg en HTTP, à l'affichage cette image Servimg sera appelée en HTTPS car nous avons l'information que cette ressource est disponible en HTTPS.

Avec cette optimisation, l'option se trouvant dans le panneau d'admin > Divers > Gestion des crédits > Dépenser des crédits > Certificat SSL > Configuration du protocole HTTPS > Appeler les ressources de base en HTTPS (OUI / NON) n'a plus lieu d'être car devient nativement intégrée dans tous les forums avec un certificat SSL valide. Elle a donc été retirée du panneau d'administration :

Avant l'optimisation :