Discussion :

[userparis]

Salut

je réalise actuellement mon site web professionnel en .net C# MVC et je veux le sécuriser. Je souhaite donc utiliser HTTPS et SSL, je ne sais pas du tout comment ça se matérialise dans le code je cherche donc des explications simple et des tutoriel pour pouvoir coder du SSL. Mon site permettra d'échanger des fichiers entre le serveur et le client il faut donc impérativement que ce soit pas connexion sécurisée.

Merci de votre aide.

[theMonz31]

bonjour

pour Https, c'est juste une histoire de certificat, donc, rien à faire au niveau du code...

pour SSL, je ne sais pas !

[theMonz31]

et pour compléter :

http://weblogs.asp.net/scottgu/tip-t...d-certificates

[DotNetMatt]

HTTPS c'est juste le protocole sécurisé, qui utilise TLS (le successeur de SSL). Pour rappel, SSL a été abandonne en 2014 à cause de la vulnérabilité POODLE. Donc aujourd'hui il faut utiliser TLS 1.2 au minimum. La 1.3 est sortie en Avril 2015 mais elle est encore en brouillon...

Comme dit précédemment, ca repose sur des certificats. Il faut donc que tu en achètes un (il y a plusieurs types de certificat, à toi de voir en fonction de tes besoins (force de la clé, nombre de domaines, sous-domaines, etc.) et de l'assurance fournie). Il ne faut pas utiliser un self-signed certificat pour de la prod car ce n'est pas très efficace pour la protection et les utilisateurs recevront des messages de sécurité intempestifs, comme indiqué sur le lien fourni par theMonz31.

Une fois que tu as ton certificat, il suffit de configurer IIS au niveau du binding pour qu'il utilise ce certificat. Il n'y a rien à faire du côté de ton site Web, si ce n'est utiliser HTTPS pour tous les liens externes que tu peux avoir, par exemple un lien vers jQuery en CDN:

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

<script src="http://ajax.aspnetcdn.com/ajax/jquery/jquery-1.9.0.js"></script>

deviendra:

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

<script src="//ajax.aspnetcdn.com/ajax/jquery/jquery-1.9.0.js"></script>

En enlevant le "http:" ce sera automatiquement remplacé par "http:" ou "https:" en fonction du contexte. Si tu ne fais pas ca et que tu continues à utiliser du HTTP, l'utilisateur aura un message du genre "Seul le contenu sécurisé a été chargé"...

[userparis]

slt et merci a vous deux pour vs réponses.

En tout cas c'est bien il n'y a pas grand chose a faire niveau code a part changer toutes les liens.

Je suis suppose que pour les ActionLink (C# mvc razor) cela sera géré automatiquement ?

Sinon je n'ai pas eu le temps encore de voir le lien ci-dessus mais sur quel site peut-on voir et acheter les type de certificats ?

Merci encore
A +

[DotNetMatt]

Je suis suppose que pour les ActionLink (C# mvc razor) cela sera géré automatiquement ?

Non il te faudra définir que tu veux du HTTPS dans les paramètres de l'ActionLink: https://msdn.microsoft.com/en-us/library/dd460522.aspx

Sinon je n'ai pas eu le temps encore de voir le lien ci-dessus mais sur quel site peut-on voir et acheter les type de certificats ?

Il existe 5 fournisseurs (aussi appelés CA - Certificate Authority):

• Comodo
• Symantec (anciennement VeriSign)
• GoDaddy
• GlobalSign
• DigiCert

Seules ces entreprises sont habilitées à créer des certificats. Donc tu peux en acheter un directement chez l'un d'eux, ou bien passer par ton hébergeur, qui se chargera ensuite de commander le certificat auprès d'un CA. Cela peut être pratique si tu veux centraliser tes factures chez ton hébergeur.

[userparis]

ok merci