Depuis quelques jours, les certificats SSL Let's Encrypt sont disponibles sur tous nos serveurs, et à travers cet article nous allons vous expliquer comment les activer correctement sur vos noms de domaine.
- Qu'est ce qu'un certificat SSL ?
- Qu'est ce que Let's Encrypt ?
- Quelle différence avec un autre certificat SSL ?
- Comment activer un certificat SSL sur mon nom de domaine ?
- Quelles opérations dois-je effectuer après l'activation de Let's Encrypt ?
Qu'est ce qu'un certificat SSL?
Un certificat SSL est un système qui va changer le protocole d'accès à votre site web, de HTTP à HTTPS, afin de sécuriser toutes les requêtes qui passent par votre site, notamment les informations de connexion, d'inscription, d'achat..
Vous pouvez retrouver une présentation complète des certificats SSL et du HTTPS sur le site de WPFormation : Certificats SSL
Vous verrez ainsi les points suivants :
- Qu'est ce qu'un certificat SSL
- Qu'est ce que SSL et HTTPS, et la différence entre les deux
Qu'est ce que Let's Encrypt?
Let's Encrypt est une nouvelle autorité de certification, créée en 2015, et sponsorisée par les géants du web comme : Mozilla, Cisco, OVH, Facebook, Free, et bien d'autres..
A la différence des autres, elle propose un système accessible à tous, qui permet d'installer un certificat SSL totalement gratuit, et qui doit être renouvelé tous les 3 mois !
Let's Encrypt protège actuellement plus d'un million de sites web !
Quelle différence avec un autre certificat SSL?
Un certificat SSL est valable 1 an au minimum, et vous offre généralement une garantie de 10 000 $ au minimum, pour les certificats les plus simples.
La garantie sert à vous protéger. Si l'autorité de certification émet un certificat à un site frauduleux et qu'un utilisateur perd de l'argent du fait de la confiance qu'il place en ce certificat incorrect, alors la garantie le couvre. Il y a donc dans ce cas une assurance pour le rembourser à hauteur de la garantie, si l'erreur est de la responsabilité de l'autorité de certification.
Contrairement aux certificats classiques, Let's Encrypt possède deux particularités :
- Il ne propose aucune garantie
- Il n'est valable que 3 mois, vous devez donc le renouveler quatre fois par an, mais chez nous le renouvellement est automatique, vous n'avez donc pas à vous soucier de cela !
Si vous voulez l'installer sur un petit blog personnel, un site vitrine.. cela ne pose aucun problème.
Cependant si vous souhaitez l'installer sur un site sur lequel vous vendez des produits, notamment avec Woocommerce, nous vous le déconseillons, préférez un certificat payant !
Comment activer un certificat SSL sur mon nom de domaine?
Vous avez trois possibilités pour activer un certificat SSL sur votre WordPress :
- Suivre le présent article afin d'activer le certificat SSL Let's Encrypt gratuitement.
- Nous pouvons nous occuper entièrement de l'installation du certificat SSL Let's Encrypt sur votre WordPress, vous devez souscrire à l'offre suivante : Installation Let's Encrypt
- Nous vous installons un certificat SSL COMODO payant, vous devez souscrire à l'offre suivante : https://www.wpserveur.net/produit/certificat-installation-ssl/
Installation du certificat SSL Let's Encrypt
Avant de commencer, vous devez vérifier que le nom de domaine utilisé pointe bien sur l'adresse IP du serveur sur lequel vous êtes hébergé(e) !
(Pour visualiser votre IP, vous devez être connecté)
Si vous avez une adresse IP dédiée, vous devez alors plutôt
faire pointer votre nom de domaine sur celle-ci.
Par exemple si votre nom de domaine est mondomaine.com et que vous utilisez les WWW, vérifiez que mondomaine.com et www.mondomaine.com pointent bien sur nos serveurs.
Aussi si vous utilisez un sous-domaine, comme blog.mondomaine.com, vérifiez que blog.mondomaine.com pointe sur nos serveurs.
Pour vérifiez cela, vous pouvez utiliser l'outil https://www.whatsmydns.net/ comme ci-dessous :
Veillez à attendre que les DNS soit propagés sur l'ensemble des pays afin de pouvoir générer le certificat Let's Encrypt sans erreur.
Ici, le nom de domaine pointe bien, avec et sans www sur nos serveurs, nous pouvons donc passer à l'étape suivante : Vider le cache et désactiver le plugin de cache.
Attention, si vous utilisez CloudFlare, nous vous recommandons de ne plus l'utiliser pour éviter des conflits ou autres problèmes sur votre site web (Redirections nons souhaitées etc..)
Avant d'activer le certificat SSL Let's Encrypt, il vous reste une dernière étape, si vous utilisez un plugin de cache (WP-Rocket, W3 Total Cache, WP Fastest Cache ou autre), vous devez vous rendre dans votre administration WordPress pour vider ce cache, et désactiver ce plugin, afin d'éviter tout problème lors de l'activation de Let's Encrypt, et après.
Une fois cela effectué, vous pouvez alors passer à l'étape suivante : Activer le certificat SSL Let's Encrypt.
Rendez-vous dans votre console WPServeur (Pour l'adresse de votre console, rendez-vous sur https://www.wpserveur.net/mon-compte/), et cliquez sur le bouton Gérer mon WordPress.
Vous allez donc arriver sur la page où vous pourrez activer votre certificat SSL Let's Encrypt.
Si vous voyez une icône rouge, alors aucun certificat SSL n'est installé.
Maintenant, cliquez sur le bouton bleu "Générer un certificat Let's Encrypt", et patientez le temps que la procédure soit terminée. La génération prend plus ou moins de temps selon la taille de votre site, mais cela ne dépasse pas une minute en général.
A la fin de la génération du certificat, vous recevrez un message de confirmation, vous pourrez alors passer à la dernière étape ci-dessous, effectuer les opérations nécessaires après l'activation de Let's Encrypt.
Quelles opérations dois-je effectuer après l'activation de Let's Encrypt?
Voici quelques opérations à effectuer après l'activation d'un certificat SSL sur votre nom de domaine :
- Vérifier que toutes les URLs sont bien en HTTPS et éviter les erreurs d'affichage dues à du "Mixed content".
- Corriger les URLs dans le fichier robots.txt
- Déclarer votre site en HTTPS à Google Search et renvoyer votre sitemaps
- Modifier votre code Google Analytics
Vérification des URLs sur votre site
Une fois que vous aurez activé Let's Encrypt sur votre nom de domaine, vous risquez d'avoir des erreurs dans les URLs de votre site, certaines seront toujours en HTTP au lieu de HTTPS, votre site ne s'affichera peut-être pas correctement, vous devrez donc corriger les URLs.
Pour vérifier cela, rendez-vous sur votre site, et appuyez sur la touche F12 de votre clavier (fonctionne sous Chrome et Firefox), et dans le fenêtre qui s'ouvre, allez dans l'onglet "Console". Vous risquez alors de voir des erreurs comme ci-dessous (Mixed content) :
Pour corriger cela vous avez deux solutions :
- Utiliser un plugin (Really Simple SSL, la méthode la plus simple)
- Utiliser un outil qui remplacera automatiquement les liens dans votre base de données (SRDB)
Puis vous devrez
Utilisation du plugin Really Simple SSL
Installez le plugin Really Simple SSL, comme n'importe quel autre plugin : https://fr.wordpress.org/plugins/really-simple-ssl/
Une fois ce plugin installé et activé, vous verrez une nouvelle boîte en haut de la page avec un bouton bleu "Go ahead, activate SSL!". Cliquez sur ce bouton pour finaliser l'installation et remplacer automatiquement les URLs de HTTP à HTTPS.
Utilisation de l'outil SRDB
Vous pouvez suivre les indications sur le lien suivant : https://www.wpserveur.net/docs/wordpress/changer-vos-liens-facilement-avec-srdb/
Corriger les URLs du fichier robots.txt
Si vous avez mis des URLs de votre site dans votre fichier robots.txt, notamment pour indiquer l'adresse de votre sitemap aux moteurs de recherche, vous devrez alors changer les URLs HTTP à HTTPS.
Connectez-vous en FTP en modifiez les URLs si nécessaire. (Voir l'article Gestion de votre FTP )
Déclarer votre site en HTTPS à Google Search, et renvoyer votre sitemap
Si vous aviez bien ajouté votre site sur Google Search (Google Webmaster Tools), vous l'aviez certainement enregistré en HTTP au lieu de HTTPS, vous devez donc maintenant mettre à jour cette information afin de prendre en compte le HTTPS.
Pour en savoir plus, vous pouvez lire l'article suivant : Google Search (Google Webmaster Tools)
Mettre à jour votre code Google Analytics
Tout comme pour votre compte Google Search (Google Webmaster Tools), vous devez mettre à jour votre code Google Analytics, pour prendre en compte le HTTPS.
Pour en savoir plus, vous pouvez lire l'article suivant : Google Analytics