Comme prévu, Infomaniak vient de mettre en place sa fonctionnalité permettant d'installer simplement un certificat Let's encrypt sur ses offres d'hébergement. Chacun peut ainsi disposer d'un accès HTTPS pour son site, à moindres frais.
Comme nous le disions dans un précédent article, plusieurs hébergeurs commencent à proposer l'activation simple d'un certificat SSL/TLS à travers Let's Encrypt. Gandi et OVH s'apprêtent à proposer une telle fonctionnalité et Infomaniak nous avait indiqué que la mise en place était imminente.
Infomaniak active la mise en place de Let's Encrypt sur ses offres
Et c'est désormais le cas. Si cela n'est pas encore évoqué clairement sur le site de l'hébergeur suisse, on trouve quelques détails dans une publication de sa base de connaissances. La société précise ainsi qu'« un certificat SSL gratuit peut uniquement être établi pour les domaines dont les DNS pointent sur un hébergement Web, Classic ou sur un Serveur Cloud. Les hébergements Starter offerts avec un nom de domaine ne sont pas pris en charge ». Dommage, surtout pour un certificat gratuit. Les offres concernées sont, elles, vendues à partir de 5,75 euros par mois.
L'ancienne interface d'administration ne propose par contre pas l'option, ceux qui veulent effectuer une migration doivent regarder par là pour connaître la procédure à suivre.
Nous avons donc commandé un hébergement afin de voir de quoi il en retourne. Et dans la pratique, la mise en place est effectivement assez simple. Il suffit de vous rendre dans la page de gestion de vos sites, puis de cliquer sur le domaine concerné. Dans le menu de gauche, l'option Certificat SSL vous sera proposée. Elle est indiquée comme un programme de test (beta) pour le moment.
Il vous suffit ensuite de cliquer sur Installer. Vous aurez alors trois possibilités proposées :
- Pas de chiffrement
- Certificat SSL gratuit
- Certificat SSL personnalisé
Ce dernier cas vous permettra d'installer un certificat obtenu auprès d'une autorité de certificat de votre choix, certaines en proposant gratuitement (voir notre analyse). Par défaut, un certificat autosigné sera activé, mais vous pourrez choisir d'importer le vôtre par la suite.
Renouvellement automatique, mais redirection manuelle
Dans le second cas, le certificat sera généré par Let's Encrypt et valable pour une durée de trois mois. Les conditions d'utilisation précisent d'ailleurs que « les certificats délivrés par Let's Encrypt sont valables 90 jours et renouvelés automatiquement avant leur échéance par Infomaniak ». Vous n'aurez donc rien à faire de ce côté-là. Vous pourrez changer à tout moment d'option concernant le chiffrement en demandant à changer d'offre.
Absente dans un premier temps, une redirection exploitant HSTS (HTTP Strict Transport Security) a été mise en place. Dans sa base de connaissances, l'hébergeur prévient contre quelques problèmes qui pourraient être rencontrés. Il faudra notamment faire attention aux cas de « mixed content », les navigateurs permettant désormais de détecter et corriger plus facilement ces problèmes, comme les dernières versions de Chrome par exemple.
Reste maintenant à voir comment les autres grands hébergeurs comme Gandi et OVH vont intégrer une telle procédure au sein de leurs offres et comment chacun compte se distinguer pour attirer des clients avides de mise en place aisée d'un accès sécurisé à leur site.
Commentaires (40)
#1
La newsletter de Dreamhost de ce mois-ci indique aussi la mise en place gratuite de Let’s Encrypt pour ceux que cela intéresse.
#2
Est-ce valable pour des sous domaines ?
Car Infomaniak permet de les créer en deux clics et j’en utilise deux sur mon site, j’apprécierais de pouvoir les conserver.
#3
Il va falloir que tous ces gens changent leur logo “SSL Secured”. SSL est définitivement mort en 2015 via le RFC 7568 " />
#4
#5
#6
Ça reste un abus de langage. " /> Comme dire certificat SSL au lieu de X.509.
#7
Et vive la Carte Kiwi :)
#8
Je reste dubitatif sur le nombre d’hébergeurs qui proposent une fonction qui est encore officiellement en béta…
#9
Dans la mesure où c’est explicitement indiqué, comme ici sur le console de gestion, je ne vois pas où est le problème.
Le but d’une bêta est de recueillir le plus de retours en vue d’une version finale stable. Dans le cas de Let’s Encrypt, les partenariats avec des hébergeurs qui proposent d’utiliser le service à leurs clients est une excellente source de retours.
#10
Certes, mais si on s’aperçoit qu’il y a un problème de sécurité, des milliers de sites pourraient être INpactés. Tu vas me dire que c’est tant pis pour ceux qui seront touchés parce qu’ils utilisent un service en béta, mais n’empêche. C’est proposé par des hébergeurs tiers, donc pas sûr que l’info soit connu par tous les utilisateurs. Un hébergeur peu scrupuleux pourrait tout-à-fait faire de grosses pubs “chez nous le HTTPS est offert !!!” et les clients pas au courant du statut de béta (avec par exemple le renouvellement à refaire dans 3 mois et non un an).
J’aurais préféré que Let’s encrypt fasse un béta fermée, avec (par exemple) un nombre d’hébergeurs restreint et des utilisateurs volontaires pour ce test, et ensuite sortir la finale dans 6 mois pour tout le monde. C’est comme ça que je conçois le béta test, évidemment qu’il faut des retours pour finaliser le service, mais pas sûr que ce soit de cette façon.
#11
En l’état, dans le cas qui concerne Informaniak, les clients sont :
Tout comme les certificats sont basés sur la confiance (vu qu’on parle “d’autorité de confiance” car les navigateurs modernes rejettent les certificats auto signés avec un gros message anxiogène comme il faut), ici il faut avoir confiance dans son hébergeur et dans l’autorité Let’s Encrypt.
De base, un hébergeur peu scrupuleux ne fait pas long feu. J’en ai connu personnellement un pour avoir été client chez lui et ça a vite mal fini. (Ca doit être l’une des dernière fois de ma vie que j’ai uniquement regardé le prix comme critère de sélection.)
Là on parle quand même de trois hébergeurs connus, et reconnus.
#12
#13
Il y’a déjà eu une béta fermé.
Et la beta ouverte est plus pour un test de charge des serveurs je pense.
Ce n’est pas le certificat qui est en beta mais le délivrement du certificat donc non ce serait dommage de ne pas proposer cela immédiatement car c’est toujours mieux que d’être en http. Ensuite la durée de vie du certificat est courte par rapport aux autres services.
Après il est certain que les hébergeurs doivent indiquer que le service est toujours en beta.
#14
Mwé pas convaincu par mettre en prod un truc beta perso.
Encore moins chez ovh.
#15
Si tu mets un truc en bêta dans un autre truc en bêta forcément… " />
" />
#16
#17
#18
#19
#20
#21
Cool NXI va pouvoir passer en https pour tous ses visiteurs !
#22
Il faut naviguer pas Lynx. " />
#23
Visiblement, Vivaldi est inconscient des certificats révoqués. (ça peut valoir le coup de faire remonter ça aux devs)
Mais il affiche tout de même une indication de sécurité insuffisante. Je crois me souvenir que dans les dernières versions ils ont commencé à mettre plus de granularité dans le contrôle de sécurité des sites, plutôt que de dire “oui tout vert” et “non tout rouge”.
Firefox et Opera (sous Chromium, lui aussi) interdisent direct l’accès. Vu qu’Opera et Vivaldi ont la même base, ce doit être une config de Chromium qui n’a pas été bien faite je suppose.
Personnellement j’aurai une préférence pour l’entre-deux : un avertissement et me laisser en toute conscience (ou inconscience) choisir d’aller sur le site ou non. Ce doit être parce que je préfère l’éducation au dogme.
Néanmoins vu ce comportement, je rejoins ton avis sur le fait qu’une révocation de certificat peut-être plus radicale comme blocage.
Edit : visiblement ce doit être ma config du navigateur car sur une autre instance sous WIndows il bloque l’accès.
#24
“HTTPS devient enfin la norme”
" />
#25
En étant abonné, on peut activer le HTTPS…
#26
En étant abonné, on peut activer le HTTPS…
Ce qui pose la question: pourquoi seulement aux abonnés ?
#27
#28
#29
http://www.nextinpact.com/blog/97836-lequipe-next-inpact-vous-souhaite-bonne-annee-2016.htm
#30
http://www.nextinpact.com/news/96853-vous-pouvez-desormais-acceder-a-next-inpact-via-https.htm
http://www.nextinpact.com/blog/97836-lequipe-next-inpact-vous-souhaite-bonne-ann…
#31
Vrai/Faux problème: votre site peut être en HTTPS et inclure une ressource accessible seulement en HTTP.
C’est au browser de se débrouiller avec ce “Mixed content”. Et ca restera le cas tant que vous inclurez des ressources qui sont sur autre domaine que le votre (ce qui semble être la norme du web actuel).
#32
#33
Ce n’est pas un faux problème et on a déjà dit ce que l’on comptait faire (mais oui, en mode yakafokon, ça va vite ;))
#34
Il me semble que les navigateurs affichent des “warnings” s’il y a du contenu non sécurisé sur des pages sécurisées non ?
#35
#36
#37
#38
Ouai enfin la seule régie de pub qui apparaît dans les requêtes de cette page est ads.horyzon-media.com qui est chargé en https par https everywhere, la moitié des contenus de cdn.nextinpact.com et cdn2.nextinpact.com sont aussi chargés en https, ça me porterait a croire que ça ne bloque que au niveau de www.nextinpact.com.
édit: mais je comprends “l’inquiétude” si dans un futur plus ou moins proche nextinpact veut utiliser une régie qui ne supporte pas https
#39
Oui, surement. Et on peut configurer le browser pour accepter le Mixed content sur nxi.com
Tout comme mon browser (comme beaucoup d’autre) n’affiche pas les pubs depuis que j’ai installé AdBlock. Mais c’est également configurable pour accepter les pubs sur nxi.com.
Tout comme mon browser n’affiche pas les popups, les trackers, le javascript, les videos flash/mp4/webm ou whatever depuis que j’ai installé l’extension xyz ou coher l’option abc dans la config. Comme beaucoup d’autre. Mais c’est également configurable pour accepter cela sur nxi.com.
etc.
C’est pour cela que je trouve un faux problème de se poser seulement la question de l’universalité de l’affichage des éléments du site seulement pour le cas particulier “horizon-media + HTTPS”
#40
Pour information, HSTS est désormais activé par défaut lors de la mise en place d’un certificat SSL chez Infomaniak.