Je vous annonce que mon site est désormais accessible en HTTPS.

Le lien est là, tout simplement : https://lehollandaisvolant.net/


Attention : notez que vous aurez une alerte de la part du navigateur ! Firefox affichera ça par exemple :

firefox https alert
Ce n’est pas grave et c’est « normal ».

Le HTTPS a deux utilités distinctes :

  • chiffrer les informations qui passent entre votre navigateur et le site web ;
  • faire en sorte que le site visité est bien le site que vous voulez visiter.

La première, c’est simple : les données seront chiffrées en affichant la page : quelqu’un qui écoute vos transmissions réseau ne verra pas le contenu des pages (donc pas non plus d’éventuels mots de passe). Ceci est le but recherché ici.
La seconde permet quand vous affichez un site, par exemple celui de votre banque, de certifier que vous êtes bien sur le site de votre banque et non sur un site piraté qui essayes de se faire passer pour votre banque.

Cette seconde utilité du HTTPS est plus compliquée à mettre en place : il faut qu’une autorité de certification signe le certificat HTTPS de mon site. Ceci est souvent payant. Comme beaucoup, je laisse donc ça de côté et c’est ce qui provoque l’affichage de l’erreur (je l’ai signé moi-même, d’où l’erreur du « certificat auto-signé »).

Pour dire à votre navigateur que c’est OK et qu’il vous laisse visiter mon site en HTTPS, cliquez sur « je comprends les risques » puis « ajouter une exception » :

firefox erreur https
Enfin, sur la fenêtre qui s’affiche, vérifiez que la case « conserver cette exception de façon permanente » est cochée puis cliquez sur « confirmer l’exception de sécurité ».

Ceci n’est à faire qu’une seule fois, après vous pourrez surfer de façon normale sur mon site, en HTTPS.
La version HTTP normale du site sera toujours accessible.

Mes autres sites utilisent le même certificat, sont donc également accessibles en HTTPS, mais afficheront également la même erreur. Il faudra donc confirmer là aussi l’exception de sécurité.

(Notez que vos lecteurs RSS et les autres logiciels ou applications qui accèdent à mes sites peuvent ne pas reconnaître les erreurs HTTPS : si ça pose problème, restez en HTTP ou corrigez l’erreur de votre côté.)

2 commentaires

gravatar
Geek Nik a dit :
1) A l'heure de mon commentaire pas d'alerte (SeaMonkey/2.33.1)
2) Si auto certificat, c'est résistant à l’écoute par les boites noirs ?
gravatar
Le Hollandais Volant a dit :
@Geek Nik : il n'y a plus d'alerte, car désormais j'utilise Letsencrypt, un service de signature de certificats gratuit, poussé entre autres par Mozilla.

Ce n'est donc plus une auto-certificat.

Un auto-certificat n'est pas signé correctement mais utilise le chiffrement : c'est donc anti-boite noire (à condition que ces dernière ne soient pas trop puissantes au point de déchiffrer à la volée tout ce qu'ils trouvent).

Les commentaires sont fermés pour cet article