DrGoulu.com passe en HTTPS 7


Ca fait un moment que je pensais le faire, et je craignais que ce soit compliqué. Mais hier soir je me suis lancé, et en un peu plus d’une heure ce site est passé sous HTTPS

Pourquoi ?

Les révélations de Snowden* et les piratages de plus en plus massifs ont fini de convaincre la plupart des géants du web, mais aussi des petits nains comme vous (?) et moi: internet sera encrypté, ou ne sera plus. Pour encourager la sécurisation du web, Google Chrome va très bientôt marquer comme “Not secure” les sites encore en HTTP  ainsi : . Google va probablement aussi les défavoriser dans les résultats du moteur de recherche le plus utilisé du système solaire et environs. Rien que pour ça, il faut convertir les sites à HTTPS.

pas cool, et surtout pas “smart” du tout.

J’espère aussi être débarrassé de la nuisance que représente le “SmartScreen” de Microsoft sur Internet Explorer. Il semblerait qu’il suffise à quelques personnes mal intentionnées de cocher “Report this website as unsafe” dans IE pour que mon tout beau site tout propre affiche la page ci-contre, fort dissuasive. Il aurait apparemment suffi que suffisamment de gentils lecteurs cliquent “Report that this site does not contain threats”, mais il faut évidemment cliquer sur “More information” d’abord pour le voir… On m’a informé 3x de ceci, et à chaque fois j’ai du remplir un gros formulaire, tellement caché sur le monstrueux site de Microsoft que je ne le retrouve plus, pour dire que j’étais un gentil. Hier c’était la fois de trop : ma propre maman m’a suspecté de phishing ! 😉 Alors j’ai commencé par me dire “tant pis pour les 7% de laggards qui utilisent encore IE”, puis “y’en a peut-être que 7% parce que les autres ont eu peur à cause de SmartScreen” puis “peut-être qu’en HTTPS ça ira mieux, on y va!”

Comment

Il y a peu de temps encore, obtenir un certificat électronique (SSL) était cher et compliqué car il fallait prouver son identité réelle à un organisme distant et très virtuel. Puis mon excellent hébergeur Infomaniak a annoncé qu’ils offraient des certificats gratuitement à leurs clients, authentifiés par leurs factures, via l’initiative Let’s Encrypt. Concrètement il m’a suffi de cocher une case de l’interface d’administration et un certificat a été installé en quelques secondes.

Ensuite il faut reconfigurer le site pour qu’il utilise HTTPS plutôt qu’HTTP. Suivant ces instructions , j’ai installé le plugin WordPress Really Simple SSL, et constaté qu’il était bien nommé: rien à configurer, presque tout roulait après quelques minutes. Mais seulement “presque”.

D’abord, mon site n’affichait pas le joli cadenas vert mais une info comme quoi mes pages avaient  du “contenu hybride”, à savoir que certains objets provenaient de la version HTTP non sécurisée de drgoulu.com. A l’aide du génial inspecteur Chrome, j’ai rapidement identifié que le coupable était… mon image de bannière ! En effet, j’avais bêtement mis “https://www.drgoulu.com/wp-content/uploads/2013/04/drgbanner.png” comme background dans la feuille de style CSS du “thème” de ce site. Un petit coup d’éditeur après c’était résolu : le cadenas vert était là !

Puis je me suis aperçu que le widget de Scoop.it qui affiche les derniers articles de mes camarades du Café des Sciences dans la colonne de droite avait purement et simplement disparu. En découvrant que le code du widget fourni par scoop.it était dorénavant

<iframe src='//www.scoop.it/embed-topic/803493.html?maxwidth=300'  width='300' height='300' frameBorder='0' scrolling='no'></iframe>

j’ai appris quelque chose : il n’est pas/plus obligatoire de spécifier http: ou https: dans une url ! On peut utiliser  une “PRURL”. C’est actuellement âprement discuté dans les “milieux autorisés”, mais en attedant mieux ça a l’intérêt de marcher.

Enfin j’ai remarqué que tous les commentaires avaient disparu du bas des articles ! Pas de panique, c’est juste Disqus qui a perdu le fil puisque les URL de toutes les pages ont changé. En suivant leurs instructions je me suis dit qu’ils auraient quand même pu se fendre d’un truc simple pour passer de HTTP à HTTPS… Mais comme ils ne l’ont pas fait, j’ai téléchargé le “URL map CSV” contenant l’url des 734 pages de ce site sur lesquelles il y a des commentaires, je l’ai ouvert dans Google Sheets car je n’ai pas et n’achèterai plus jamais de licence MS Excel, j’ai copié/collé la première colonne dans la seconde, et cherché/remplacé tous les “http:” par “https:” dans celle-ci, exporté en csv, uploadé sur le site Disqus, et après quelques minutes les commentaires ont réapparu.

Combien

Il y a encore un petit problème à traiter par ceux qui utilisent  Google Analytics ou similaire. ( Je le fais plus par curiosité que par nécessité.) Les données ne seront plus collectées si on change l’adresse de base du site : il faut reconfigurer sa “propriété” dans Analytics en définissant la nouvelle adresse de base https:// …

Voilà, tout est donc bien encrypté dans le meilleur des monde paranoïaque. Mais dans un prochain épisode je vous montrerai que le sentiment de sécurité que vous inspire le petit cadenas vert peut être fort illusoire …

Note * : ayant vu le film sur Snowden et quelques uns de ses interviews notamment le “Pardonnez moi” avec Darius Rochebin, je pense que ce type remarquable entrera dans l’Histoire. Il est de la trempe d’un Nelson Mandela, prêt à se sacrifier, et probablement à passer de nombreuses années en prison pour des principes fondamentaux. Peut-être qu’il sera Président, un jour …

Références

  1. Emily Schechter “Moving towards a more secure web“, September 8, 2016, Google Chrome Security Team
  2. Christophe Kasse “Le point sur les certificats SSL, obligatoires en 2017“, 28 novembre 2016 sur WPChannel
  3. 2017, l’année pour sécuriser vos sites avec un certificat SSL” sur Infomaniak.com
  • Benoît

    bonjour,
    Intéressant, vos explications sur la méthode.

    C’est plutôt la cause qui me fait réagir.
    Il me dérange un peu que Google privilégie les pages en https dans ses résultats. En quoi un https répondrait mieux à une recherche ?
    “Pour encourager la sécurisation du web” : Si c’est pour inciter les webmasters à passer en “sécurisé”, je trouve que Google sort de son rôle en essayant de changer le monde (bon d’accord, ils le font déjà depuis longtemps.)

    Il y a en tout cas certains aspects négatifs au https.
    -Un gros inconvénient du HTTPS est que les sites de traduction (ou autres services d’intermédiation) ne le gèrent pas. J’ai perdu un informateur allemand le jour où ils sont passés en https.

    -Le https n’est-il pas un excès de chiffrement ? Tous les échanges méritent-ils d’être chiffrés ? Pour certains, c’est pour noyer la NSA sous le chiffrement. En tout cas, ce n’est pas bon pour la planète, tous ces calculs supplémentaires (chiffrement côté serveurs et déchiffrement côté PC et l’inverse) pour lesquels il faut des machines plus puissantes à fabriquer et à refroidir.

    -Enfin le terme « Not secure » est très peu précis. Selon ma compréhension (je ne suis pas très sûr de cela), https permet uniquement de savoir que l’information n’a pas été modifiée, mais ne permet pas de savoir si la source d’information est fiable, ce qui est à mon avis bien plus important. Par ailleurs, ça n’empêche pas non plus les écoutes, il me semble. Et cela ne permet pas bien de savoir à qui on parle donc ça n’empêche pas une intrusion ou un virus.
    Donc pour la majeur partie des utilisateurs, le petit cadenas est un leurre (aie confiance, comme dit le serpent.)

    Tout ça pour dire que je n’ai pas été convaincu. Il serait utile d’expliquer pourquoi “internet sera encrypté, ou ne sera plus.” Mais cela est probablement l’objet d’un prochain billet. Non ? J’y apprendrai plein de choses, encore.

    Je reviendrai pour les autres billets.

    Benoît

    • Oui “Not Secure” est équivoque et c’est bien le problème : ce terme en rouge va faire peur aux visiteurs lambda, même s’ils ne courent aucun risque sur un site HTTP propre. Avec ça Google force clairement la main aux propriétaires de sites, c’est un fait. Leur “justification” peut se trouver dans cette présentation (pas terrible) de Google sur leur politique “HTTPS Evrywhere” ici: https://www.youtube.com/watch?v=cBhZ6S0PFCY

      Intéressante, votre remarque sur la traduction, je n’y avais pas pensé … Je vais essayer de ré installer un plugin de traduction côté serveur (les anciens étaient mauvais), mais je viens de tester https://chrome.google.com/webstore/detail/google-translate/aapbdbdomjkkjkaonfhkkikfgjllcleb côté client et ça marche bien aussi.

      HTTPS ne permet en effet pas de s’assurer que la source est “fiable”, mais en principe un certificat n’est délivré qu’à une personne (physique ou “morale”=entreprise) clairement identifiée, donc on peut, toujours en principe, savoir “à qui on parle” en fouinant dans le certificat.

      Effectivement le petit cadenas PEUT être une leurre, d’ailleurs mon article se termine par “dans un prochain épisode je vous montrerai que le sentiment de sécurité que vous inspire le petit cadenas vert peut être fort illusoire …” . Et comme je ne sais pas quand j’aurai le temps de finir cet article, je vous donne en exclu le lien qui tue : https://en.wikipedia.org/wiki/Zscaler#SSL_traffic_considerations . Il se trouve que je suis actuellement derrière ce proxy web, que le cadenas de https://www.drgoulu.com est bien vert, mais que si je vais examiner le certificat , je vois que c’est celui de ZScaler, pas le mien ! Donc oui, on peut écouter, mais c’est nettement moins facile que sur un Wifi ouvert par exemple …

      AMHA, le cadenas vert n’est qu’une première étape. Il pourrait afficher le propriétaire du certificat par simple survol, et devenir rouge si ce propriétaire ne correspond pas à celui du site (via whois par exemple). A plus long terme il pourrait y avoir “Diffie-Hellman Everywhere” un jour …

      La vie est un éternel compromis, et en lisant d’autres de mes articles vous constaterez que je suis très peu sensible au “bon pour la planète”. Ou pour être plus précis dans le cas particulier, puisqu’on nous dit être capable de produire de l’électricité propre au prix du charbon, je suis tout à fait près à consacrer quelques décimètres carrés de panneaux photovoltaïques (= ~le même nombre de watts) à garantir ma sphère privée 🙂

      Autrement dit encore, je pense que le thème politique de la protection des données privées va devenir au moins aussi important que celui de l’écologisme.

  • Micrologie

    C’est grave docteur ? Etant une pauvre bille du web (comme tant d’autres), votre billet m’inquiète… j’ai un tout petit blog sous wordpress, encore au biberon, et j’aimerais votre avis sur l’urgence et l’extrême nécessité à mettre en oeuvre toutes ces manip. (cela dit, s’il faut vraiment le faire, un grand merci pour ce billet, super clair !)

    • Pas de réel souci à vous faire pour l’instant, ça peut attendre. Mais tôt ou tard il faudra y passer, et le but de mon article est de montrer que ce n’est pas si compliqué que ça (surtout avec un bon hébergeur).
      Sympa votre site ! Ajouté à ceux que je suis 🙂

      • Micrologie

        Merci doc’

  • Gokudera ElPsyCongroo

    Super ce site vraiment. D’autres probablement auraient seulement tweeté “passé en https” ou même n’auraient pas considéré que ça valait la peine d’en parler, mais vous, vous entrez dans le détail, donnez de nombreux liens, c’est la précision que j’aime dans un site, merci. Pendant qu’on parle de points structurels serait-il possible de mettre des liens vers les notes et références, pour éviter de descendre dans la page et remonter en perdant parfois notre emplacement dans la lecture ?

    • De rien, merci à vous pour les fleurs, et aussi pour la suggestion. En fait ça fait un moment que je veux rendre mes références plus “navigables”, et suite à votre commentaire j’ai réessayé quelques uns de ces plugins https://fr.wordpress.org/plugins-wp/tags/footnotes/ , mais je n’ai toujours pas trouvé mon bonheur. Soit :
      – le style est trop différent de celui du site et difficilement customisable
      – on ne peut pas placer les références où on veut (et elles viennent après les related posts et boutons de partage)
      – on ne peut pas mettre ce qu’on veut dans la référence, par exemple un tag OpenBook ou Altmetric …
      Donc dès que je trouve LA solution ou quelques heures pour l’implanter moi-même, je le fais, promis.