a la une - échanges cryptés

Crypter les échanges avec un site WordPress, gratuitement

Crypter les échanges entre un ordinateur et un site WordPress évite que des pirates interceptent des données sensibles, à commencer par l’identifiant / mot de passe utilisé pour se connecter.

Pour crypter, il faut installer un certificat, mais  certains hébergeurs installent automatiquement un certificat gratuit avec leurs offres mutualisées.
Ce type de certificat, partagé entre de multiples domaines internet, déclenche des alertes de sécurité pour les visiteurs du site. On ne peut donc basculer tout le site en HTTPS.
Une procédure simple permet d’utiliser les certificats mutualisés, mais elle nécessite un paramétrage du navigateur. Les gestionnaires du site (administrateurs, rédacteurs…) peuvent l’utiliser pour sécuriser leur accès au site.

ATTENTION : cette procédure améliore la sécurité par rapport à un échange HTTP, mais n’est pas aussi sécurisée qu’un véritable échange HTTPS, avec un certificat dont la validité est vérifiée à chaque échange.

Un bug dans l’affichage des « images à la une » quand l’administration est en SSL est apparu avec la version4.4.

Haut de page

Quand utiliser un certificat mutualisé ?

Cette procédure ne fonctionne que si votre hébergeur fournit un certificat mutualisé gratuit. Si aucun certificat n’est installé, par définition, il est impossible de crypter les échanges.

Pour savoir si un tel certificat est installé, tester gratuitement la qualité du certificat avec . Vous pouvez utiliser la procédure si vous obtenez des informations du type Certificate not valid for domain name et un nom de certificat correspondant à l’hébergement (ici, le domaine associé au certificat est « ssl6.ovh.net« ) :

Détecter un certificat mutualisé
Détecter un certificat mutualisé

Vérifiez dans la documentation de l’hébergeur que le certificat est bien celui attendu (exemple d’OVH) :

Exemple de certificat mutualisé
Exemple de certificat mutualisé
Haut de page

La procédure de connexion cryptée

La procédure :

Dans la barre d’adresse de Firefox, saisir « https:// » au lieu de « http:// » :

Firefox affiche une alerte de sécurité. Cliquer sur Je comprends les risques :

Choisir "Je comprends les risques"
Choisir « Je comprends les risques »

Cliquer sur Ajouter une exception :

Ajouter une exception pour un site dans Firefox
Ajouter une exception pour un site dans Firefox

Cliquer sur Confirmer l’exception de sécurité :

Confirmer une exception de sécurité avec Firefox
Confirmer une exception de sécurité avec Firefox

À partir de ce moment, les échanges sont cryptés, mais pas en vrai HTTPS car le certificat n’est pas validé. Firefox l’indique en affichant un triangle contenant un point d’exclamation dans la barre d’adresse :

Connexion cryptée mais certificat non validé
Connexion cryptée mais certificat non validé
Haut de page

Obtenir des informations sur la sécurité de la connexion

Il est possible d’obtenir des précisions sur la connexion en cliquant sur le triangle puis sur Plus d’informations :

Obtenir des informations sur la sécurité de la connexion
Obtenir des informations sur la sécurité de la connexion

Firefox nous indique avoir détecté deux types faille de sécurité :

  • le certificat utilisé n’est pas attaché au nom de domaine,
  • la page charge des éléments non sécurisés (des images notamment).

Cliquer sur Afficher le certificat :

Demander l'affichage du certificat
Demander l’affichage du certificat
Informations sur le certificat mutualisé
Informations sur le certificat mutualisé

À la prochaine connexion au site en HTTPS, Firefox n’affichera plus les avertissements de sécurité. Il sera donc possible de se connecter en cryptée et travailler de façon parfaitement fluide.

Mais attention, si vous utilisez Firefox sur un autre ordinateur, il vous faudra reprendre cette procédure qui ne s’applique :

  • qu’avec Firefox,
  • et pour le(s) site(s) déclaré(s) en exception.

———————————-

Très important : c’est le fait de saisir « https:// » et non « http:// » dans la barre d’adresse qui permet l’utilisation du cryptage. Automatiquement, WordPress crée les liens internes en HTTPS, ce qui permet de rester en mode crypté :

WordPress crée les liens internes conformément au protocole utilisé
WordPress crée les liens internes conformément au protocole utilisé

Si vous affichez le site en HTTP, les liens seront en HTTP.
Il faut bien voir que nous n’avons pas basculé le site en HTTPS, ce qui poserait des problèmes pour ceux qui n’accèdent pas par un Firefox avec le site ajouté aux exceptions.
Attention à l’aperçu d’article, qui bascule automatiquement en HTTP :

L'aperçu d'un article s'affiche en HTTP
L’aperçu d’un article s’affiche en HTTP

Rappel (voir article WordPress en HTTPS) : il est possible de forcer l’accès à l’administration et la connexion  au site en HTTPS. Pour cela, il suffit d’ajouter instruction suivante au fichier wp-config.php :

 define(‘FORCE_SSL_ADMIN’, true);

Périmètre d’application d’une exception de sécurité

Une exception de sécurité s’applique sur un domaine ou sous-domaine  et un certificat.

Si vous avez ajouté une exception au niveau d’un domaine, et que vous essayez d’accéder à un sous-domaine, Firefox affichera l’avertissement indiquant que la connexion n’est pas certifiée.

Ainsi  si l’exception s’applique sur « https://dfarnier.fr » :

  • les adresses du type « https://www.dfarnier.fr » ou « https//wordpress.dfarnier.fr » déclencheront une alerte de sécurité.
  • en revanche « htpps://dfarnier/category/fleurs » s’affichera sans alerte.

C’est l’intérêt de cette méthode : elle permet d’utiliser le certificat en ne diminuant le niveau de sécurité que du strict nécessaire.

Haut de page

Supprimer une exception de sécurité

Dans le menu général, cliquer sur Options :

Sélectionner les options Firefox
Sélectionner les options Firefox

Dans la page qui s’affiche cliquer successivement sur :

  • Avancé dans la colonne de gauche,
  • Certificats dans la ligne de menu en haut,
  • Afficher les certificats en bas de la page
Demander l'affichage des certificats
Demander l’affichage des certificats

Dans l’onglet Serveurs, cliquer sur le certificat correspondant à l’adresse de votre site (« 443 » est le numéro du port HTTPS) puis cliquer sur Supprimer :

Supprimer l’exception de sécurité associée au site
Supprimer l’exception de sécurité associée au site

Firefox demande une confirmation de la suppression :

Demande de confirmation d'une exception de sécurité
Demande de confirmation d’une exception de sécurité

Cliquer sur OK dans la fenêtre de confirmation, puis OK dans la fenêtre listant les certificats.

À partir de ce moment, Firefox avertira de nouveau de la non validité du certificat.

Haut de page

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.