En quelques années, Google a réussi le tour de force de faire de la sécurité des sites web, un critère comptant dans le référencement. En même temps, lorsqu'un moteur de recherche compte 92% du volume des recherches et que son navigateur web occupe une position de leader, c'est assez facile pour lui d'inciter les propriétaires de sites à adopter le protocole HTTPS.
Le protocole HTTPS
Que dit Google à propos du protocole HTTPS ?
Google avait annoncé sur son blog en aout 2014 que le protocole HTTPS devenait un signal pour le classement des sites par le moteur de recherche.
Et pour monter l'exemple, le géant de Mountain View a passé l'ensemble des sites de sa galaxie en mode HTTPS.
Poursuivant dans sa logique, Google a annoncé en septembre 2016 que la prochaine version de son navigateur Chrome (56) allait signaler les sites non sécurisés à partir de janvier 2017.
Source : Chromium Blog
On voit donc clairement que la volonté de Google est de promouvoir un web sécurisé en incitant fortement tous les sites web à migrer vers le protocole sécurisé HTTPS.
Qu'est ce que le protocole HTTPS ?
Voici la définition contenue dans le glossaire du web :
HTTPS est l'acronyme de HyperText Transfer Protocol Secure, que l'on peut traduire par "protocole de transfert hypertexte sécurisé". C'est la combinaison du protocole HTTP avec une couche de chiffrement de type TLS (Transport Layer Security) – anciennement SSL (Secure Socket Layer).
Comment fonctionne le protocole HTTPS ?
Le protocole HTTPS permet à l'internaute de vérifier l'identité du site web sur lequel il navigue, grâce à un certificat d'authentification émis par une autorité réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet).
Ce type de protocole garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (principalement des informations saisies dans les formulaires) et reçues du serveur. Il peut également permettre de valider l'identité de l'internaute, à condition que ce dernier utilise également un certificat d'authentification client.
Joomla et le protocole HTTPS
1 - Actions préalables à mener sur le serveur de votre site Web
Pour commencer, on suppose que vous avez déjà installé un certificat SSL et activé le protocole HTTPS sur le serveur où est hébergé votre site Web.
Dans le cas contraire, vous devez acheter un certificat SSL (Secure Socket Layer) ou TLS (Transport Layer Security) auprès de votre hébergeur ou auprès d'un revendeur de certificat. Bien que le cryptage SSL ne protège pas le site en lui-même car il ne chiffre que le trafic vers et depuis le serveur, il peut empêcher l'espionnage et protège les données sensibles de votre site Joomla.
2 - Configuration de Joomla
Ouvrez le panneau d'administration de votre site Joomla
Ouvrez ensuite "Système", puis "Configuration globale".
Dans l'onglet "Serveur", vous avez le paramètre "Forcer HTTPS" qui vous propose 3 choix :
- Aucun : par défaut, HTTPS n'est pas activé
- Administration : HTTPS ne sera activé que sur la partie administration du site
- Administration et site : HTTPS sera activé sur l'ensemble du site.
Choisissez la dernière option, puis enregistrez.
Si le protocole HTTPS n'est pas activé pour votre nom de domaine auprès de votre hébergeur, cela va immédiatement générer une erreur en sauvegardant.
3 - Rediriger le trafic
Si un internaute arrive sur une page de votre site via le protocole HTTP, il ne sera pas automatiquement redirigé vers la page HTTPS correspondante. Pour cela, il convient de modifier le fichier configuration.php présent à la racine de votre site.
Ouvrez le fichier configuration.php avec votre éditeur de texte.
Repérez la ligne suivante :public $live_site = '';
Remplacez la par :public $live_site = 'https://www.mon-site-web.fr';
Enregistrez votre saisie et renvoyer le fichier configuration.php sur votre serveur.
Ouvrez ensuite le fichier .HTACCESS présent à la racine de votre site et copiez/collez ces lignes à la fin du fichier :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Enregistrez votre saisie et renvoyer le fichier .HTACCESS sur votre serveur.
Maintenant, rafraichissez votre page et vous devriez voir apparaitre un cadenas dans la barre de votre navigateur vous confirmant l'activation du protocole HTTPS :
Pour aller plus loin
Je vous invite à lire les recommandations de Google en la matière qui sont un complément indispensable à cet article : https://support.google.com/webmasters/answer/6073543?hl=fr.
Conclusion
Votre site est maintenant sous protocole sécurisé et cela vous permet de prendre un avantage certain sur beaucoup de sites qui n'ont pas encore opté pour ce protocole.
N'attendez pas d'être dans l'urgence pour implémenter le protocole HTTPS sur votre site Joomla!, d'autant que la procédure décrite ci-dessus est assez simple à mettre en oeuvre.