Discussion :

[boteha]

Bonjour,

SSL, j'ai pris l'offre payante à HT 49.99 (disons 50...) .

Selon la doc OVH ;
Sur les navigateurs, le certificat SSL D'OVH active le protocole « https » et affiche un cadenas dans la barre d’adresses, montrant à vos visiteurs que toute transaction est chiffrée et confidentielle, et que l’adresse de votre site est authentifiée. Vos visiteurs sont rassurés et peuvent effectuer leurs actions sensibles.

Si je tape "monsite.com ou http://www.monsite.com", je reste en http sans cadenas.

Si je tape " https://www.monsite.com", j'ai un cadenas.

1)
Si l'actrivation d'https n'est pas automatique, je ne vois pas l'intérêt.

2)
Si je clique sur le cadenas avec Firefox sous XP, j'ai un message :

"Ce site web ne fournit pas d'informations sur son propriétaire."

Sympa pour sécuriser le client.

3)
Plus grave, avec un Mac sous tiger, il apparaît un message d'alerte comme quoi la racine du serveur est inconnue et comme quoi il y a risque que le site consulté ne soit pas monsite.com mais se fasse passer pour...

Super-sympa pour sécuriser le client.

Je ne vois aucun rapport entre l'annonce d'OVH et la réalité.
Questions posés au support d'OVH et depuis 4 ou 5 jours sans réponse.

[ABCIWEB]

Pour les mutualisés Ovh (à partir du premier prix ~30 €/an y compris le nom de domaine) on a deux façons d’avoir accès au https sans supplément de prix car on peut partager un certificat commun au groupe d’ordinateurs mutualisés.

Concrètement pour un de mes sites nommé “maconneriemarpillat.com” :

- Si je fais un lien vers le formulaire d’authentification “pass_admin.php” avec https://www.maconneriemarpillat.com/pass_admin.php le navigateur envoie un message d’alerte car le certificat renvoyé ne correspond pas au nom de domaine (mais je peux l’utiliser en acceptant une exception dans le navigateur).

- Ovh nous propose donc pour chaque nom de domaine un lien qui correspondra au certificat mutualisé (du cluster) soit dans mon cas "https://ssl15.ovh.net/~maconners/"
et donc cette fois-ci pas d'alerte pour le lien https://ssl15.ovh.net/~maconners/pass_admin.php

Pour connaître l'adresse https qui correspond au certificat de ton site dans le cluster, rends-toi dans ton administration ovh rubrique hébergement->synthèse puis c'est indiqué dans la sous rubrique "serveur web".

Etant donné que les adresses URL https ne contiennent pas le nom de domaine, évidemment c'est plus réservé pour un usage administrateur ou ponctuel comme une page de téléchargement ou autre, ce qu'ils appellent des 'actions sensibles'.
A éviter pour un usage général sinon google ne pourra pas te référencer sur le nom de domaine. Il faut prendre un serveur dédié ou peut-être un vps si tu veux un https avec une adresse à ton nom de domaine qui ne renvoie pas de message d'alerte.

Sinon c'est quoi ton offre à 50 € ?

[boteha]

Bonjour,

L'offre à 50 euros est celle qui te permet d'avoir une adresse valide en https, même sur le mutu.

https://www.monsite.com

Cela évite de passer par le cluster.

Je pensais que la redirection était automatique au niveau d'OVH mais ils disent qu'il faut passer par le .htaccess.

Pas de souci, pas de risque pour le référencement ?

[ABCIWEB]

Normal que ce soit pas automatique, tout le monde n'a pas besoin d'une connexion sécurisée sur tout le site.

Tu peux me donner un lien vers la formule de l'offre que tu utilise ? (j'arrive pas à la trouver)

[boteha]

Bonjour,

Voilà le lien vers l'offre OVH, le prix s'affiche en haut :

Doc OVH

Autrement, le "support" OVH conseille ce modrewrite :

Rewritecond %{HTTP_HOST} ^touslescables.com$
Rewriterule ^(.*) https://ssl3.ovh.net/~touslescr/$1 [QSA,L,R=301]

Je réponds :
Pourquoi pas un rewrite tout simple qui remplace http par htpps sans toucher au reste ?
Vous êtes en train de me conseiller une rule qui fera que si un client tape touslescables.com il voit s'afficher https://ssl3.ovh.net/~touslescr/
OVH poursuit :
Non il ne verra pas cela, il sera redirigé vers la page sécurisée de votre site avec le https et le cadenas.

[ABCIWEB]

Et bien ça à l'air de fonctionner puisque quand je rentre https://www.touslescables.com/ le navigateur ne m'affiche pas de message d'alerte... ? Où est le problème ?

[boteha]

Bonjour,

Et bien ça à l'air de fonctionner puisque quand je rentre https://www.touslescables.com/ le navigateur ne m'affiche pas de message d'alerte... ? Où est le problème ?

Ca dépend des navigateurs.

Avec la plupart des navigateurs récents, pas de souci.
Comme expliqué plus haut, avec Fierfox sur XP : "Ce site web ne fournit pas d'informations sur son propriétaire."
Et avec un Mac sous Tiger c'est l'alerte générale.

Le truc c'est que l'identiité du détenteur du site n'est pas contenu dans le certificat OVH.

[ABCIWEB]

Pour limiter ce pb tu pourrais peut-être réserver le https à des pages sensibles, administration etc... Ou alors il va falloir se tourner vers un serveur dédié. Mais as-tu vraiment besoin du https sur toutes tes pages ? Concernant les visiteurs, la plupart des sites ne le proposent qu'en phase de règlement...

[boteha]

Bonjour,
Tu as raison, c'est une possibilité à laquelle je réféchis.

Le paiement est déjà en https bien sûr, mais c'est fait par Cyberplus (version SystemPay).
J'en profite pour faire une pub à Systempay, c'est très recommandable, le support répond tous les jours, même fériés.

Cela dit, de plus en plus de sites sont 100 % https.
Les alertes sont limitées aux anciens navigateurs.

Ce rewrite me paraît clean, je suppose que cela ne fera pas perdre mon référencement...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Rewritecond %{HTTP_HOST} ^touslescables.com$
Rewriterule ^(.*) https://www.touslescables.com/$1 [QSA,L,R=301]