Comment ajouter manuellement SSL à WordPress gratuitement avec Let's Encrypt ?

Vous cherchez à passer du HTTP au HTTPS et à installer un certificat SSL sur votre site WordPress ? Ensuite, lisez la suite pour savoir comment ajouter SSL à WordPress gratuitement. Chaque internaute partage chaque jour de nombreuses informations personnelles . Nous faisons tous. Lors de vos achats en ligne, de la création de comptes, de la connexion à différents sites Web, etc.

Si elles ne sont pas correctement cryptées, ces informations peuvent être obtenues par quelqu'un. C'est là que SSL vient à la rescousse. Il fournit la technologie de cryptage pour sécuriser la connexion entre le navigateur d'un utilisateur et le serveur Web.

Chaque site reçoit un certificat SSL unique à des fins d'identification. Si un serveur prétend être sur HTTPS et que son certificat ne correspond pas, la plupart des navigateurs modernes avertiront l'utilisateur lors de la connexion au site.

Auparavant, le seul moyen de sécuriser les sites avec SSL était d'utiliser un certificat SSL payant. Jusqu'à ce que Let's Encrypt soit disponible publiquement .

Qu'est-ce que Let's Encrypt ?

Let's Encrypt est une autorité de certification ouverte et gratuite qui fournit un certificat SSL au grand public. C'est un projet de l'Internet Security Research Group (ISRG). Let's Encrypt est sponsorisé par de nombreuses entreprises dont Google, Facebook, Sucuri, Mozilla, Cisco, etc.

Il n'y a pas de meilleur moment pour installer un certificat SSL sur vos sites WordPress. Surtout lorsque l'équipe de sécurité de Google Chrome a annoncé que son navigateur commencerait à étiqueter les connexions HTTP comme non sécurisées à partir de janvier 2017 :

À partir de janvier 2017 (Chrome 56), nous marquerons les sites HTTP qui transmettent des mots de passe ou des cartes de crédit comme non sécurisés, dans le cadre d'un plan à long terme visant à marquer tous les sites HTTP comme non sécurisés », a déclaré un membre de l'équipe de sécurité Chrome. Emilie Schechter. La première étape du plan consiste à afficher une étiquette « Non sécurisé » dans la barre d'adresse.

Les propriétaires de sites qui souhaitent éviter que leurs sites HTTP soient étiquetés comme non sécurisés n'ont pas beaucoup de temps pour sécuriser leurs sites.

Un autre avantage d'avoir SSL sur votre site est la possibilité d'utiliser HTTP/2 qui est essentiellement une évolution du protocole HTTP. Les sites Web avec HTTP/2 sont plus rapides car ils permettent de transférer plusieurs fichiers simultanément.

J'avais l'intention d'implémenter SSL sur tous mes sites pendant un certain temps. Le problème était que je ne savais pas comment implémenter le SSL gratuit de Let's Encrypt.

J'ai lu de nombreux tutoriels sur la façon d'ajouter Let's Encrypt SSL à WordPress. Mais ils me semblent tous compliqués. Enfin, après de nombreuses lectures, j'ai trouvé un moyen simple d'installer Let's Encrypt SSL.

Ma méthode se trouve ci-dessous. Il y a aussi d'autres moyens. Ce guide est destiné aux débutants et est basé sur mon expérience pour installer gratuitement SSL sur certains de mes sites WordPress à l'aide de Let's Encrypt.

Sans avoir besoin de SSH, d'un accès root, d'exécuter des commandes et d'autres processus que l'utilisateur moyen ne comprend pas (y compris moi) et que la plupart des guides sur la mise en œuvre de WordPress SSL mentionnent.

Cet article est assez long avec beaucoup d'informations, mais si vous êtes intéressé, avant de passer à la section sur la façon d'implémenter facilement Let's Encrypt sur votre ou vos sites WP, consultez les explications sur certains des termes ci-dessous.

Que sont HTTPS et SSL ?

Chaque jour, nous partageons nos informations personnelles avec différents sites Web. Qu'il s'agisse d'effectuer un achat ou simplement de se connecter. Pour protéger le transfert de données, une connexion sécurisée doit être créée. C'est à ce moment qu'interviennent SSL et HTTPS.

Vous avez peut-être remarqué que chaque fois que vous interagissez avec un site sécurisé (comme votre portail bancaire en ligne), l'adresse dans la barre de votre navigateur a https:// devant au lieu de l'habituel http H:// .

En plus de cela, la plupart des navigateurs modernes afficheront un petit cadenas dans la barre du navigateur lorsque vous serez connecté à un tel site.

HTTPS ou Secure HTTP est une méthode de cryptage. Il sécurise la connexion entre le navigateur des utilisateurs et votre serveur. Cela rend plus difficile pour les pirates d'écouter la connexion.

Pourquoi voudriez-vous passer de HTTP à HTTPS et installer un certificat SSL ? Le protocole établit la connexion entre les deux, où une fois la relation établie avec succès, seules les informations cryptées seront transférées.

Cela signifie que toutes les informations en texte brut qui pourraient être lues par n'importe quel idiot seront échangées avec des lettres aléatoires et des chaînes de chiffres qui ne sont pas lisibles par les humains.

Si un pirate parvient à interférer avec l'échange d'informations, le cryptage rend beaucoup plus difficile la compréhension de celui-ci.

Normes de cryptage

SSL et HTTPS sont livrés avec des normes de cryptage différentes. Le plus ancien s'appelle SHA , et il n'est plus utilisé. Son successeur SHA1 , bien qu'encore en circulation, est actuellement obsolète.

Google Chrome, par exemple, a commencé à émettre des avertissements pour les sites fonctionnant sur cette norme au début de 2016.

La norme de cryptage actuelle pour les protocoles SSL est SHA2 . Cependant, à un moment donné, il cédera la place à SHA3 qui est actuellement en développement.

REMARQUE : SSL n'est en fait plus le nom correct du certificat. La technologie a été améliorée à la fin des années 90 et son nom est devenu TLS (Transport Layer Security). Cependant, l'acronyme SSL est resté et est manifestement utilisé à ce jour. Donc, je vais aussi l'utiliser principalement dans ce post.

Pourquoi avez-vous besoin de HTTPS et SSL ?

Si vous exploitez un site Web de commerce électronique, vous avez certainement besoin d'un certificat SSL (Secure Sockets Layer). Surtout si vous collectez des informations de paiement. La plupart des fournisseurs de paiement comme Stripe, PayPal Pro, Authorize.net, etc. vous demanderont d'avoir une connexion sécurisée utilisant SSL.

Google a déclaré qu'ils utilisaient HTTPS et SSL comme signal de classement dans leurs résultats de recherche. Cela signifie que l'utilisation de SSL contribuera à améliorer le référencement de votre site.

De plus, en implémentant SSL, vous pouvez utiliser HHTP/2 qui, comme je l'ai déjà mentionné, permet de transférer plusieurs fichiers simultanément, améliorant ainsi le temps de chargement de votre site.

En utilisant SSL, vous pouvez non seulement protéger les données sensibles telles que les adresses e-mail, les informations de carte de crédit, les mots de passe, etc., contre d'éventuelles attaques de pirates informatiques, mais également améliorer le classement et la vitesse de votre site.

Avant, les certificats SSL étaient chers. De 10 $ par année à 200 $. Mais grâce au projet Let's Encrypt, il est désormais possible d'activer gratuitement un nombre illimité de certificats.

Pourquoi le site WooCommerce a-t-il besoin de SSL/TLS ?

Le problème de sécurité est très important dans tout site Web, en particulier pour les boutiques en ligne. Il y a beaucoup d' interactions entre un client et un serveur dans un site de commerce électronique. Votre client doit fournir ses informations personnelles telles que les numéros de carte de crédit pour terminer le processus de paiement.

Par conséquent, vous devez sécuriser toutes leurs informations privées. Cela vous aide également à renforcer la confiance des clients - la clé la plus importante pour un site de commerce électronique réussi. Personne ne veut acheter des produits dans une boutique en ligne non sécurisée où les pirates peuvent voler leurs informations.

En utilisant SSL, les données sont immédiatement cryptées , empêchant les pirates de lire les données en transit. Tout site Web WooCommerce utilisant le mode de paiement PayPal Standard aura besoin d'un SSL pour plus de sécurité, donc avoir SSL est l'exigence pour votre site WooCommerce au cas où vous utiliseriez PayPal pour payer, et de nombreuses autres passerelles de paiement.

Pourquoi Chiffrer ?

Let's Encrypt est une autorité de certification gratuite, automatisée, sans IP dédiée et ouverte, et de nombreuses entreprises la prennent en charge. De plus, de nombreuses sociétés d'hébergement, fournisseurs de CDN et autres ont implémenté Let's Encrypt, il est donc encore plus facile de l'appliquer à votre site.

Les principales fonctionnalités de Let's Encrypt sont :

• C'est gratuit - Vous pouvez l'installer gratuitement sur tous vos domaines.
• Sécurisé – Utilise les normes de sécurité les plus élevées pour l'échange d'informations.
• Transparent – Tous les certificats émis ou révoqués seront enregistrés et accessibles au public pour que quiconque puisse les inspecter (cela peut également être considéré comme un inconvénient).
• Pas d'IP dédiée - Vous n'avez pas besoin de dépenser de l'argent pour une IP dédiée.
• Compatibilité – Compatible avec tous les navigateurs.
• Hébergement partagé – Peut être utilisé sur un hébergement partagé et pas seulement dédié ou VPS (consultez les meilleurs fournisseurs d'hébergement WordPress abordables).

Le seul inconvénient de Let's Encrypt est qu'il doit être renouvelé tous les 90 jours. Mais ce processus peut être automatisé sans votre intervention manuelle.

Comment ajouter SSL à WordPress ?

Alors que Let's Encrypt devient populaire, de nombreuses sociétés d' hébergement WordPress ont déjà commencé à proposer une configuration SSL simple et intégrée de Let's Encrypt.

Le moyen le plus simple d'ajouter le SSL gratuit de Let's Encrypt à WordPress est de vous inscrire auprès d'une société d'hébergement qui offre une intégration intégrée. Malheureusement, toutes les sociétés d'hébergement ne prennent pas en charge Let's Encrypt. Voici la liste complète des entreprises d'hébergement qui prennent en charge Let's Encrypt.

#1 Vos offres d'hébergement Let's Encrypt Integration (EASIEST)

Il est facile de configurer Let's Encrypt pour votre site si votre hébergeur propose l'intégration. Il n'a même pas besoin d'être fournisseur d'hébergement.

La plupart des services CDN offrent l'intégration gratuite de Let's Encrypt avec leur service. Un exemple de ces fournisseurs de CDN est KeyCDN, MaxCDN, CDNSun ou Incapsula (consultez la revue Incapsula) qui offre un certificat SSL gratuitement avec des forfaits payants.

Dans ce cas, vous n'avez pas non plus à vous soucier du renouvellement du certificat car il sera automatiquement effectué pour vous. Je vais expliquer sur l'exemple de Siteground.

Connectez-vous à votre tableau de bord cPanel (qu'est-ce que cPanel) et faites défiler jusqu'à la section sécurité. Là, vous devrez cliquer sur l'icône Let's Encrypt.

Cela vous amènera à la page d'installation de Let's Encrypt. Vous devrez sélectionner le nom de domaine où vous souhaitez utiliser SSL.

Vous pouvez maintenant cliquer sur le bouton d'installation. Let's encrypt émettra un certificat SSL unique pour votre site Web. Une fois terminé, vous verrez un message de réussite.

C'est tout. Vous avez intégré avec succès le SSL gratuit de Let's Encrypt à votre site WordPress. Ici, vous n'avez rien d'autre à faire.

Cependant, votre site WordPress n'est pas encore prêt à être utilisé. Vous devrez d'abord mettre à jour vos URL WordPress, puis résoudre le problème de contenu non sécurisé, le cas échéant. Vous pouvez tout découvrir ci-dessous.

#2 Ajout gratuit Let's Encrypt SSL si votre hébergement n'offre pas d'intégration

Si votre hébergeur ne fournit pas d'intégration comme SiteGround, DreamHost et d'autres sociétés d'hébergement qui proposent Let's Encrypt, vous devrez suivre une procédure un peu longue.

Mais pas besoin de commencer à paniquer. Je vais vous montrer un moyen simple de continuer à ajouter SSL au site Web WordPress si votre hébergement ou votre CDN n'offre pas d'intégration.

Cette méthode diffère d'un hébergeur à l'autre. La plupart des hébergeurs ont un document de support expliquant le processus. Vous pouvez également contacter leur personnel d'assistance pour obtenir des instructions détaillées ou leur demander de le faire pour vous.

Certaines sociétés d'hébergement installeront un certificat SSL pour vous . Il vous suffit de leur fournir une clé privée, un certificat et une autorité de certification. C'est ce que j'ai fait avec Half Dollar Hosting. Je viens de les contacter et ils l'ont fait pour moi car ils ne permettent pas que vous l'installiez vous-même.

Vous devez leur fournir un certificat pour chaque domaine. Et dans le cas de Let's Encrypt, vous devez les recontacter tous les 90 jours pour renouveler le certificat pour chaque site.

Installer un certificat SSL sur votre serveur manuellement à l'aide de cPanel

Allez d'abord sur SSL gratuitement. Ne vous inquiétez pas, son utilisation est sûre et ils émettent des certificats en coopération avec Let's Encrypt. Entrez votre nom de domaine avec www ou sans. SSL For Free ajoutera également une autre version au certificat, donc cela n'a pas d'importance. J'utilise par défaut www avec tous mes sites donc je le mets toujours comme primaire.

Cliquez ensuite sur le bouton Créer un certificat SSL gratuit . Il vous sera ensuite demandé de vérifier que vous possédez le domaine auquel vous souhaitez ajouter le certificat. Vous pouvez choisir entre la vérification FTP automatique et la vérification manuelle .

Si vous sélectionnez Vérification FTP automatique, vous devrez entrer vos informations FTP pour le compte du serveur du domaine, comme l'utilisateur, le mot de passe… et la vérification sera effectuée automatiquement pour vous. Je préfère utiliser la vérification manuelle, je vais donc montrer les étapes pour le manuel.

Les étapes à suivre dans ce cas sont expliquées sur le site afin que vous ne puissiez pas vous tromper. Vous téléchargez des fichiers, vous connectez à votre cPanel, accédez à votre dossier de domaine et créez de nouveaux dossiers en suivant les étapes de la page. Vous téléchargez ensuite les fichiers téléchargés dans le dossier « acme-challenge ».

Après avoir vérifié que tout a été fait correctement, cliquez sur le bouton Télécharger le certificat SSL . Je ne coche jamais J'ai mon propre CSR. Dans ce cas, vous en recevrez un.

Vous obtiendrez maintenant une clé privée, un certificat et une autorité de certification. Cliquez pour les télécharger et vous obtiendrez un fichier .zip. Ce fichier que vous fournissez à votre hébergeur s'il l'installe pour vous, ou l'extrayez si vous allez installer le certificat par vous-même.

Vous pouvez également activer l'option d'être averti lorsque votre certificat est sur le point d'expirer. En cas d'oubli, le certificat Let's Encrypt est valable 90 jours. Après cela, vous devez le renouveler en suivant les mêmes étapes.

Maintenant, après avoir acquis un certificat. Il est temps de l'installer sur le serveur. Suivez les étapes ci-dessous pour installer le SSL pour votre site :

1. Connectez-vous à votre compte cPanel

2. Localisez et cliquez sur SSL/TLS Manager dans la section Sécurité

3. Cliquez sur « Gérer les sites SSL » dans le menu Installer et gérer SSL pour votre site Web (HTTPS) . Si vous n'avez pas l'option Gérer les sites SSL , essayez de contacter votre fournisseur d'hébergement et demandez-lui s'il peut installer le certificat pour vous.

4. Copiez le code de certificat que vous avez reçu, y compris —–BEGIN CERTIFICATE—– et —–END CERTIFICATE—– et collez-le dans le champ « Certificat : (CRT) ».

Vous pouvez cliquer sur le bouton Remplissage automatique par certificat , qui apparaît à côté du certificat saisi. Le système tentera de récupérer le nom de domaine et la clé privée.

Vous pouvez également choisir le domaine dans la liste déroulante et saisir manuellement le certificat et la clé privée dans les cases correspondantes. N'oubliez pas d'inclure les en-têtes et les pieds de page Begin/End pour le certificat et la clé.

REMARQUE: les images ci - dessous sont juste un exemple. Vous n'aurez pas les mêmes informations, émetteur, certificat, etc.

Copiez et collez le CA Bundle dans la zone sous Certificate Authority Bundle (CABUNDLE). Si vous souhaitez utiliser ce certificat pour les services de messagerie, cochez la case « Activer SNI pour les services de messagerie ».

Dans ce cas, vous pourrez utiliser votre domaine, sur lequel le certificat SSL a été installé, comme nom d'hôte du serveur de messagerie configurant vos clients de messagerie pour qu'ils fonctionnent via des ports sécurisés.

Cette option n'est disponible qu'à partir de cPanel 11.48. Si vous avez une ancienne version de cPanel, vous ne pouvez pas utiliser votre certificat pour le courrier.

5. Cliquez sur le bouton ' Installer le certificat '

Toutes nos félicitations! Le certificat est maintenant installé sur le serveur de votre site. Le site devrait maintenant être accessible via https://.

Testez votre certificat et vérifiez votre site en utilisant https dans le navigateur pour voir s'il s'affichera correctement.

Mise à jour des URL WordPress après la configuration de SSL à l'aide du plugin

Après avoir configuré le certificat SSL gratuit avec Let's Encrypt, l'étape suivante consiste à déplacer votre URL WordPress d'utiliser HTTP à HTTPS. Un site standard sans certificat SSL utilise le protocole HTTP. Ceci est généralement mis en évidence avec le préfixe http dans les adresses Web, comme ceci : http://www.example.com

Les sites Web sécurisés avec des certificats SSL utilisent le protocole HTTPS. Cela signifie que leurs adresses ressemblent à ceci : https://www.example.com. Sans modifier les URL de votre site WordPress, vous n'utiliserez pas SSL et votre site ne sera pas sécurisé pour la collecte de données sensibles.

1. Mise à jour des URL WordPress vers HTTPS pour le tout nouveau site Web WordPress

Si vous travaillez sur un tout nouveau site Web, vous pouvez simplement accéder à votre zone d'administration WordPress et cliquer sur les paramètres. Là, vous devrez mettre à jour les champs URL WordPress et URL du site pour utiliser https.

N'oubliez pas d'enregistrer vos modifications.

2. Mise à jour des URL WordPress vers HTTPS pour le site WordPress existant

Si votre site est en ligne depuis un certain temps, il est probable qu'il soit indexé par les moteurs de recherche. D'autres personnes peuvent y avoir lié en utilisant HTTP dans l'URL. Vous devez vous assurer que tout le trafic est redirigé vers l'URL https.

Il vous suffit d'installer et d'activer le plugin SSL Really Simple. Ce plugin détectera automatiquement votre certificat SSL et configurera votre site Web pour l'utiliser. Dans la plupart des cas, vous n'aurez plus à apporter de modifications. Le plugin résoudra également le problème de contenu non sécurisé.

3. Mise à jour des URL WordPress après l'ajout de SSL au site Web WordPress existant sans plug-in

Si vous voulez forcer tout votre site web à passer par https, mais sans utiliser de plugin, vous pouvez ajouter ces règles à votre fichier .htaccess :

Problème possible d'erreur de mélange de contenu après l'installation de SSL

Lorsque vous installez un certificat SSL sur un nouveau domaine, toutes les pages et toutes les ressources telles que les images, sont servies automatiquement avec le protocole HTTPS.

Mais si le certificat est activé sur un domaine déjà utilisé, vous pouvez rencontrer des problèmes de mixage de contenu . Cela signifie que vous avez du contenu qui est servi avec HTTPS et du contenu qui est servi avec HTTP.

Un contenu mixte se produit lorsque des parties de votre contenu continuent d'être livrées via HTTP tandis que le reste de votre site est passé au HTTPS plus sécurisé.

Dans ce cas, les navigateurs modernes afficheront un avertissement, amenant vos utilisateurs à considérer votre site comme non sécurisé.

Utilisez l'outil gratuit SSL Check pour analyser l'ensemble de votre site à la recherche d'images, de scripts, de fichiers CSS et autres non sécurisés. Avec ces informations, vous pouvez alors prendre des mesures correctives. Une alternative à la vérification des pages singulières est Why No Padlock ?.

Vous pouvez également rechercher le symbole du cadenas dans la barre de votre navigateur lorsque vous naviguez sur votre site. Il affichera un avertissement lorsque vous visiterez une partie contenant un contenu mixte.

Si vous rencontrez une telle page, vous pouvez découvrir le coupable en consultant la console dans les outils de développement Chrome ou Firefox. Cet article répertorie les différentes méthodes pour résoudre le problème de mixage de contenu.

Résolution d'une erreur de contenu de mix à l'aide de CloudFlare

Si votre site est sur CloudFlare, vous pouvez utiliser les réécritures HTTPS automatiques de CloudFlare . Les réécritures HTTPS automatiques sont une fonctionnalité qui réécrit les liens vers les ressources non chiffrées de HTTP vers HTTPS.

Avant que la réécriture ne soit appliquée et servie dans le code HTML envoyé à vos visiteurs Web, un ensemble de règles est vérifié pour s'assurer que les références sont accessibles via HTTPS.

Si vous vous connectez à votre site via HTTPS et que l'icône de verrouillage n'est pas présente ou comporte un triangle d'avertissement jaune, votre site peut contenir des références à des ressources HTTP (« contenu mixte »).

Le contenu mixte est souvent dû à des facteurs qui ne sont pas sous votre contrôle. Il peut s'agir de contenu tiers intégré ou de systèmes de gestion de contenu complexes.

En réécrivant les URL de « http » en « https », les réécritures HTTPS automatiques simplifient la tâche de rendre l'ensemble de votre site Web disponible via HTTPS, en aidant à éliminer les erreurs de contenu mixte et en garantissant que toutes les données chargées par votre site Web sont protégées.

Réparer les éléments non sécurisés sur votre site

Installez le plug-in SSL Insecure Content Fixer. Il gérera tous les éléments inclus et corrigera les ressources non https si elles existent. Assurez-vous de vérifier les paramètres des plugins si cela ne fonctionne pas immédiatement.

Que se passe-t-il si le certificat expire ?

Lorsque votre certificat expire, les visiteurs reçoivent un avertissement à ce sujet et sont déconseillés d'entrer sur votre site. Vous ne devriez pas laisser cela se produire. Assurez- vous toujours que votre certificat est renouvelé à temps . Le même avertissement peut également être donné pour les certificats auto-signés qui n'ont pas été validés par une autorité extérieure.

Mettre à jour les paramètres de Google Analytics après le passage à HTTPS

Si Google Analytics est installé sur votre site WordPress, vous devez mettre à jour ses paramètres et ajouter votre nouvelle URL avec https. Connectez-vous à votre tableau de bord Google Analytics et cliquez sur « Admin » dans le menu du haut. Ensuite, vous devez cliquer sur les paramètres de propriété sous votre site Web.

Là, vous verrez l'option URL par défaut. Cliquez sur HTTP puis sélectionnez https. N'oubliez pas de cliquer sur le bouton Enregistrer pour enregistrer vos paramètres. Ajoutez également https://www et sans www à vos outils de webmaster Google pour votre site.

Définir SSL sur certaines pages uniquement

Si, pour une raison quelconque, vous souhaitez uniquement ajouter SSL à des pages spécifiques de votre site, vous aurez besoin du plugin appelé WordPress HTTPS (SSL).

Malgré le fait que ce plugin n'a pas été mis à jour depuis un certain temps, il fonctionne toujours très bien. Lors de l'activation, le plugin ajoutera un nouvel élément de menu intitulé HTTPS dans votre administrateur WordPress. Vous pouvez cliquer dessus pour visiter la page des paramètres du plugin.

La première option de la page de configuration vous demande d'entrer votre hôte SSL. Il s'agit principalement de votre nom de domaine. Cependant, si vous configurez le site sur un sous-domaine et que le certificat SSL que vous avez obtenu correspond à votre nom de domaine principal, vous entrerez dans le domaine racine.

Si vous utilisez un certificat SSL partagé fourni par votre hébergeur , vous devrez alors saisir les informations d'hôte qu'il a fournies au lieu de votre nom de domaine.

Le paramètre Forcer l'administration SSL force WordPress à utiliser les HTTP sur toutes les pages de la zone d'administration. Vous devez cocher cette case pour vous assurer que tout le trafic vers votre zone d'administration WordPress est sécurisé.

L'option suivante consiste à utiliser Force SSL Exclusivement . Cocher cette case n'utilisera SSL que sur les pages où vous avez coché l'option Forcer SSL. Tout le reste du trafic ira à l'URL HTTP standard.

Cela fonctionne si vous souhaitez uniquement utiliser SSL sur des pages spécifiques comme un panier, un paiement, des pages de compte d'utilisateur, etc. Cliquez sur le bouton Enregistrer les modifications pour enregistrer les paramètres de votre plug-in.

Si vous souhaitez utiliser HTTPS uniquement pour des pages spécifiques, vous devez modifier ces pages et cocher la case Forcer SSL . Une fois cela fait, visitez votre page pour vous assurer que vous avez un cadenas vert dans Chrome et les autres navigateurs.

Comment configurer Let's Encrypt With CloudFlare ?

Si vous utilisez CloudFlare avec votre site, vous connaissez probablement CloudFlare Flexible SSL ou comme ils l'appellent Universal SSL. Universal SSL est simplement le nom du service SSL gratuit CloudFlare.

En 2014, CloudFlare a annoncé le SSL universel gratuit pour tous ses utilisateurs. Cela semble assez génial, surtout en sachant que vous pouvez l'utiliser dans leur package gratuit.

Mais beaucoup ne comprennent pas exactement comment fonctionne CloudFlare Flexible SSL. L'option SSL flexible fournit uniquement un trafic sécurisé entre l'utilisateur et le réseau CloudFlares .

Pas entre CloudFlare et votre site Web. Ce qui signifie que le trafic de l'utilisateur est exposé sur Internet en tant que trafic HTTP normal.

Le SSL flexible n'est pas recommandé si vous avez des informations sensibles sur votre site Web. Cette option ne doit être utilisée qu'en dernier recours si vous n'êtes pas en mesure de configurer SSL sur votre propre serveur Web. Cette option est beaucoup moins sécurisée que l'option Full SSL indiquée ci-dessous. – CloudFlare

Alors quel est le problème avec ça ? Eh bien, le propriétaire du site Web peut le savoir ou ne pas le savoir. Ils peuvent l'accepter et choisir d'utiliser le SSL flexible. C'est eux qui choisissent de prendre le risque.

Mais qu'en est-il des utilisateurs du site Web ? Les utilisateurs du site Web ne sauront pas la différence. Ils verront HTTPS.

Pensez qu'il s'agit d'un certificat valide et utilisez volontiers le site Web, fournissez des informations personnelles, des coordonnées bancaires, etc. sans savoir qu'ils passent en fait par HTTP non sécurisé.

Donc, si vous utilisez Flexible SSL de CloudFlare, ne modifiez pas votre site en URL HTTPS. Il suffit de le laisser tel quel par défaut ou de le remplacer par Full Strict après l'installation de Let's Encrypt.

Le mode SSL flexible de CloudFlare est le mode par défaut pour les sites CloudFlare sur le plan gratuit. Pour profiter de notre mode SSL Full et Strict, qui crypte la connexion entre CloudFlare et le serveur d'origine, il est nécessaire d'installer un certificat sur le serveur d'origine .

Lorsque vous installez le certificat SSL Let's Encrypt sur votre site, accédez aux paramètres CloudFlare Crypto de votre site sur lequel vous avez installé le certificat et modifiez le paramètre SSL sur Complet (strict) .

Vous bénéficiez désormais de l'avantage supplémentaire d'une connexion authentifiée et cryptée à votre serveur d'origine.

Vous pouvez également, au lieu de Let's Encrypt, installer le certificat d'origine CloudFlare. Les certificats d'origine Cloudflare sont des certificats TLS gratuits émis par Cloudflare qui peuvent être installés sur votre serveur d'origine pour faciliter le chiffrement de bout en bout pour vos visiteurs à l'aide de HTTPS.

Vous pouvez trouver cette option dans CloudFlare sous l'onglet Crypto. Par défaut, les certificats nouvellement générés sont valables 15 ans. Vous pouvez également le raccourcir.

Le certificat d'origine CloudFlare n'est pas encore approuvé par les navigateurs. Mais sera approuvé par CloudFlare , permettant à la connexion principale d'être à la fois cryptée et authentifiée.

Cela protège également votre site si l'une des autorités de certification de confiance publique est compromise par des attaquants et utilisée pour émettre des certificats illégitimes.

REMARQUE : lors de la pause de CloudFlare ou de zones individuelles grisées, sachez que vous et vos visiteurs pouvez recevoir des erreurs dans leurs navigateurs pour votre site avec le certificat d'origine CloudFlare jusqu'à ce que vous les oranges à nouveau (proxy inverse).

Chrome et les autres navigateurs ne feront pas confiance aux certificats d'origine CloudFlare. Ceux-ci sont uniquement destinés à être utilisés par les serveurs d'origine qui se trouvent derrière le service de CloudFlare.

Mais des certificats racine sont également disponibles. Les ajouter à vos magasins de confiance TLS locaux vous permettra de valider directement, sans passer par CloudFlare.

CloudFlare Flexible SSL vs Full SSL vs Full SSL Strict

Ne choisissez « Flexible » que si votre serveur Web d'origine ne peut pas accepter les connexions sécurisées (HTTPS). Sélectionnez « Complet » si vous disposez d'un certificat SSL auto-signé, et choisissez « Complet (strict) » si vous disposez d'un certificat SSL valide.

Off : Aucune connexion sécurisée entre votre visiteur et CloudFlare, et aucune connexion sécurisée entre CloudFlare et votre serveur Web non plus.

Cela signifie que les visiteurs ne peuvent voir votre site Web que via HTTP, et tout visiteur tentant de se connecter via HTTPS se verra renvoyer une redirection HTTP 301 vers la version HTTP simple de votre site.

SSL flexible : connexion sécurisée entre votre visiteur et CloudFlare, mais pas de connexion sécurisée entre CloudFlare et votre serveur Web. Vous n'avez pas besoin d'avoir un certificat SSL sur votre serveur Web, mais vos visiteurs voient toujours le site comme étant compatible HTTPS.

Cette option n'est pas recommandée si vous avez des informations sensibles sur votre site Web. Il ne doit être utilisé qu'en dernier recours si vous n'êtes pas en mesure de configurer SSL sur votre propre serveur Web. Elle est moins sécurisée que toute autre option (même « Désactivée ») et pourrait même vous causer des problèmes lorsque vous décidez de vous en éloigner.

Full SSL : Connexion sécurisée entre votre visiteur et CloudFlare, et connexion sécurisée (mais non authentifiée) entre CloudFlare et votre serveur web. Vous devrez avoir configuré votre serveur pour répondre aux connexions HTTPS, avec au moins un certificat auto-signé.

Full SSL (Strict) : Connexion sécurisée entre le visiteur et CloudFlare, et connexion sécurisée et authentifiée entre CloudFlare et votre serveur web.

Votre serveur devra être configuré pour répondre aux connexions HTTPS, avec un certificat SSL valide. Ce certificat doit être signé par une autorité de certification, avoir une date d'expiration dans le futur et répondre à la demande de nom de domaine (nom d'hôte).

J'ai un certificat installé sur le serveur. Pourquoi est-ce que je vois un certificat CloudFlare ?

Lorsque vous utilisez CloudFlare, ils décryptent les données sur leur périphérie pour mettre en cache et filtrer tout mauvais trafic. Selon les paramètres SSL, ils peuvent le recrypter ou l'envoyer en texte brut.

Étant donné que chaque certificat a besoin d'une adresse IP dédiée , ils ajoutent votre nom de domaine et votre domaine générique (*.domain.com) dans le SAN (Subject Alt Name) au certificat.

Si vous utilisez le plan gratuit CloudFlare et que vous avez installé un certificat tiers (comme Let's Encrypt), lors de la vérification du certificat de votre site, il affichera toujours le certificat CloudFlare.

Si vous ne voulez pas que le nom de CloudFlare s'affiche lorsqu'un visiteur vérifie le certificat, vous avez besoin du plan CloudFlare Business/Enterprise. En d'autres termes, vous devez payer.

Les clients de ces plans peuvent télécharger leur propre clé et certificat SSL, et le nom de CloudFlare ne sera pas affiché.

Comment transférer un certificat SSL ?

Vous déménagez sur un nouveau serveur mais vous avez encore du temps sur votre ancien certificat ? Vous pourrez peut-être déplacer votre certificat vers le nouveau serveur. Lors du déplacement d'un SSL, le certificat doit être pour le même nom de domaine sur le nouveau serveur.

Comment ajouter manuellement SSL à WordPress Free Final Words

De nos jours, HTTPS est une nécessité. Il augmente la confidentialité de vos utilisateurs, vous permet d'utiliser de nouvelles fonctionnalités de navigateur et vous permet de conserver l'accès aux fonctionnalités existantes.

Comme vous l'avez vu, avec Let's Encrypt, l' obtention d'un certificat SSL est simple et peut être gratuite . Nous ne sommes qu'au début d'une petite mais importante révolution dans la sécurité des réseaux Internet.

Si vous utilisez un site Web WordPress qui traite des données sensibles, SSL est indispensable. Sans cryptage du trafic, le risque que les informations de votre client soient interceptées est tout simplement trop élevé.

En plus d'être un fournisseur de services responsable, la couche de sécurité supplémentaire est également un signal positif pour les moteurs de recherche . So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.