Connexion
Abonnez-vous

Online.net active Let’s Encrypt sur toutes ses offres mutualisées

Tu n'as rien activé, mais tu es déjà sécurisé

Online.net active Let's Encrypt sur toutes ses offres mutualisées

Le 28 mars 2016 à 09h00

Online.net passe à son tour à Let's Encrypt. Mais la filiale du groupe Iliad a décidé de ne pas faire les choses comme ses petits camarades et a activé un certificat sur l'ensemble de ses hébergements mutualisés.

Après avoir dépassé la barre symbolique du million de certificats délivrés, Let's Encrypt continue de se déployer chez les hébergeurs et autres constructeurs. Synology vient ainsi de généraliser son DSM 6.0 qui intègre un client Let's Encrypt. Dans le même temps, Online.net a activé un accès HTTPS à l'ensemble de ses clients mutualisés.

L'annonce a été faite sur Twitter au début du mois et une mention est depuis apparue sur le site. Ainsi, les offres d'hébergement Web et Cloud de la société mentionnent la possibilité de disposer d'un certificat SSL via Let's Encrypt.

Online.net : le certificat Let's Encrypt, c'est automatique

Dans la pratique, l'utilisateur n'a rien à faire et toute la gamme est concernée. En effet, nous avons commandé une offre assez basique pour voir ce qu'il en était et, dès sa mise en place, il était possible d'accéder au site via son adresse HTTPS. Aucune option n'est ainsi proposée dans l'interface et le renouvellement du certificat est automatique.

Une façon de faire qui a quelques limites puisqu'il sera ainsi impossible de désactiver le certificat pour ceux qui n'en veulent pas par exemple (ce qui devrait être assez rare). Plus problématique, aucune option ne permet d'activer une redirection automatique, et donc de renvoyer un utilisateur de la version HTTP vers la version HTTPS.

Le site ne mentionne d'ailleurs pas clairement une procédure à suivre pour cela, de notre côté nous avons donc opté dans un premier temps pour une règle au sein du fichier .htaccess :

RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://ADRESSE.DOMAINE/$1 [R=301,L]

Attention néanmoins à bien vous assurer que l'ensemble de vos ressources est accessible via HTTPS (images, iFrames, vidéos, scripts, etc.) afin d'éviter d'avoir à faire face à des erreurs pour cause de mixed content. N'activez ainsi une redirection que si vous êtes sûr que l'ensemble de votre site est adapté à un accès HTTPS.

Quelques petits détails à connaître

Nous avons profité de l'occasion pour poser la question au support, qui nous a indiqué (assez rapidement) qu'une page dédiée était en place au sein de la documentation sur l'accès HTTPS. On peut y lire que « Online.net propose maintenant le HTTPS sur tous ses Hébergements par défaut. Le certificat est généré automatiquement par Let's Encrypt ».

Il existe certaines conditions assez spécifiques pour y avoir accès. Comme nous l'avions précisé, cela concerne les offres Cloud et Web. Dans le cas d'un sous-domaine, il faut qu'il soit créé depuis l'administration de votre hébergement. De plus, le domaine doit disposer d'une entrée DNS spécifique :

  • vers pfXXX.mutu-perf.online.net [212.47.231.228] (champs A sur le domaine et A ou CNAME pour chaque sous-domaine) (ou A * / CNAME *)
  • vers 62.210.16.61 ou 62.210.16.62 ou encore pf*-web.online.net oú * est votre plateforme d'hébergement WEB (champs A sur le domaine et A ou CNAME pour chaque sous-domaine)

Lors de notre essai, le domaine était géré directement par Online.net et rattaché à l'hébergement. Aucune manipulation spécifique n'était nécessaire, cette règle étant surtout utile pour ceux qui gèrent leur domaine via un autre service.

L'hébergeur précise que ceux qui veulent « désactiver » le certificat peuvent le faire en activant une redirection forcée vers la version HTTP. Ce n'est ainsi pas vraiment une désactivation, mais cela aura pour effet de ne plus laisser d'accès à la version HTTPS du site. La règle à placer dans le fichier .htaccess est la suivante :

RewriteEngine On
RewriteCond %{HTTP:HTTPS} on
RewriteRule (.*) http://%{SERVER_NAME}/$1 [QSA,L,R=301]

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

O2switch a aussi récemment activé Let’s Encrypt. C’est activable via leur interface Cpanel, quelques clics pour le mettre en place (domaine par domaine) <img data-src=" />

&nbsp;Pour moi cela n’a pas fonctionné de suite, mais le support m’a aidé et c’était réglé en moins de 30 minutes (comme d’hab avec eux <img data-src=" />)

Pourquoi ils n’ont pas droit à leur propre actu ici ? Hébergeur pas assez gros ? (mais parler uniquement des plus gros n’aide pas vraiment les petits…)

votre avatar

Sinon, votre règle .htaccess pour rediriger le http en https est générique ?

Je voulais justement l’appliquer à mes sites, suite à l’activation de Let’s Encrypt, mais pas eu le temps de chercher.

votre avatar

Chez phpnet.org, les certificats Let’s encrypt sont fournis que pour les gammes mutualisées premium…

votre avatar

Perso j’ai activé chez Infomaniak après avoir migré sur leur nouvelle offre.



C’était d’une simplicité enfantine : choix du vhost sur lequel l’appliquer, clic, activé, merci au revoir.

J’ai pu mettre le HTTPS sur le domaine principal + les deux sous domaines sans soucis.

votre avatar







xillibit a écrit :



Chez phpnet.org, les certificats Let’s encrypt sont fournis que pour les gammes mutualisées premium…







Oui, comme l’indiquait mon lien <img data-src=" /> Parce que c’est plus simple compte tenu de la structure des Premium (presque un VPS, hautement configurable, mais avec les avantages du mutualisé), ils on commencé par là. Et ? C’est dispo ; c’est facile, ça existe et ça progresse. Ça vaut bien une information, comme les autres que certains contributuers ont signalés depuis.


votre avatar







kgersen a écrit :



pas grand chose car c’est pas vraiment la meme cible.&nbsp;LetsEncrypt ne fournit que des certificats DV (domain validated). Ce qui rapporte ce sont les&nbsp;OV (Organisation Validated) et, surtout les EV (Extended&nbsp;Validation) ceux qui font&nbsp;apparaître&nbsp;le ‘nom en vert’ dans les navigateurs &nbsp;(ex: twitter.com) (voir&nbsp;https://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )





<img data-src=" />


votre avatar

C’est tellement simple de mettre en place Let’s Encrypt que je trouve normal de le proposer gratuitement.

&nbsp;Online.net a le mérite d’être honnête.

votre avatar

Au final, un certif basique, ça peut se monnayer 8€ l’année. Bon, c’est du Comodo, ça vaut ce que ça vaut. Mais ce n’est pas très cher, Let’s Encrypt devient intéressant financièrement lorsque l’on ferait bien d’acheter un certificat wildcard (plein de sous domaines à sécuriser)

votre avatar







Nilav a écrit :



Au final, un certif basique, ça peut se monnayer 8€ l’année. Bon, c’est du Comodo, ça vaut ce que ça vaut. Mais ce n’est pas très cher, Let’s Encrypt devient intéressant financièrement lorsque l’on ferait bien d’acheter un certificat wildcard (plein de sous domaines à sécuriser)





Ca viendra peut-être ?


votre avatar

Bah j’espère, mais comme dit par d’autres, c’est aussi les versions étendues qui seront intéressantes.

votre avatar

Excellente nouvelle. Sait-on ce que pensent les concurrents de Let’s Encrypt face à ce nouvel arrivant gratuit qui fait fureur ?

votre avatar

A-t-on des nouvelles d’OVH ?

votre avatar

Salut, vous pouvez aussi définir l’en-tête HSTS Strict-Transport-Security dans votre configuration, ça ne mange pas de pain et ça soulagera les redirections de votre côté ;)

votre avatar

On en reparle sous peu ;)

votre avatar

Quand je vois la procédure chez Gandi <img data-src=" />



Faut que je regarde si la concurrence propose du PaaS comme le Simple Hosting…

votre avatar

Ce serait bien qu’ils l’activent aussi sur les pages perso free :-)

votre avatar

Ce serait bien si 1&1 pouvait faire de même…

votre avatar







okeN a écrit :



Ce serait bien si 1&1 pouvait faire de même…





A part racketter ses clients, 1&1 n’est pas bon à grand chose.<img data-src=" />


votre avatar

phpnet a ajouté let’s encrypt le 23 mars dernier. Ce serait sympathique de ne pas oublier les hébergeurs plus petits mais sérieux qui font un effort. :) (Et je précise que je suis à la fois chez online et phpnet ainsi que OVH abandonnant ce dernier depuis des années progressivement toutefois)



Let’s Encrypt pour un certificat SSL gratuit et automatique -_-



Bonjour,



Dans votre panel client, nous avons ajouté une icône dans les “fonctionnalités supplémentaires” de votre Premium. Pour cela, cliquez sur le bouton “Installer un certificat SSL” puis sur le bouton “Ajouter un certificat SSL let’s encrypt”.

Cette nouvelle fonctionnalité vous permettra d’activer gratuitement en quelques clics le certificat SSL délivré par l’autorité de certification Let’s Encrypt. Le but de Let’s Encrypt est de fournir gratuitement des certificats SSL/TLS reconnus par presque tous les navigateurs, de manière simple et automatisée, afin de disposer d’une connexion HTTPS.



http://forum.phpnet.org/index.php/topic,12902.0.html



Maintenant, pour chacun des hébergeurs, il faudra voir les détails précis de l’activation et de la gestion.

votre avatar

pas grand chose car c’est pas vraiment la meme cible.&nbsp;LetsEncrypt ne fournit que des certificats DV (domain validated). Ce qui rapporte ce sont les&nbsp;OV (Organisation Validated) et, surtout les EV (Extended&nbsp;Validation) ceux qui font&nbsp;apparaître&nbsp;le ‘nom en vert’ dans les navigateurs &nbsp;(ex: twitter.com) (voir&nbsphttps://www.digicert.com/ssl-support/code-to-enable-green-bar.htm )

Online.net active Let’s Encrypt sur toutes ses offres mutualisées

  • Online.net : le certificat Let's Encrypt, c'est automatique

  • Quelques petits détails à connaître

Fermer