Passer ses sites en HTTPS en un temps record avec let’s encrypt

Voilà un an que let’s encrypt a révolutionné le monde des certifications SSL/TLS en rendant la chose gratuite et très simple à mettre en place.

Avec ma culture du “Quand c’est gratuit, c’est toi le produit”, j’ai d’abord été méfiant avant de m’y jeter à mon tour il y a quelques jours.

Plusieurs personnes de mon entourage avaient déjà cédé aux chants des sirènes dès la sortie de let’s encrypt. Moi c’est presque un an après que j’arrive, un peu poussé au cul par Google qui a annoncé qu’à partir de janvier 2017 les utilisateurs surfant sur des sites n’étant pas passés au https:// se verront afficher un message de sécurité. Puis comme il parait que pour le #SEO c’est un peu mieux, je me suis dit qu’il était temps de franchir le pas.

Depuis ce temps, de nombreux tutos ont fleuri sur le net, répondant à  plein de problématique différentes, bref j’ai pu me lancer dans l’aventure les yeux fermés. Ou presque.

Par acquis de conscience, je n’ai pas publié ce billet trop vite, le temps pour moi d’avoir un retour d’expérience approfondi sur la chose. J’ai mis en place ces certificats en novembre 2016 sur mon site et je n’ai eu aucun soucis (pas même de renouvellement) à propos de ceux-ci.

Let’s en quewa?

Excusez-moi, je ne l’ai pas présenté avant! Let’s encrypt, c’est une autorité de certification lancée il y a un peu plus d’un an par la firme Mozilla et porté par plusieurs “gros” tels quel  Akamai, Cisco Systems ou encore OVH. Bref de gros acteurs sponsorisent ça et permettent à ceux qui l’utilisent de ne pas avoir à payer quoi que ce soit.

En gros, ces gens ont permis à tout un chacun de proposer  le https sur son site, et ce sans vous prendre la tête. Il existait avant cela quelques solutions gratuites, mais chacune avec leur défauts (sécurité, impossible d’automatiser la génération/renouvellement de certificat…), et sinon, il fallait dépenser des dizaines, voir des centaines d’euros chaque année pour chaque domaine…

10min à perdre

J’ai souvent lu “passer votre site en https en 10min avec let’s encrypt”. Je connais ce genre de tuto, le tuto qui ne marche que dans un cas précis et qui te fait perdre à toi plusieurs jours…j’ai donc commencé simple: par mon site perso: statique, SPA (single page only). A noter pour ceux qui auraient loupé mon billet précédent que mes sites tournent derrière un frontal nginx qui balance ensuite soit sur du nginx soit sur du apache2.

Une fois n’est pas coutume, je me suis appuyé sur le blog de mon pote Patrice “Let’s encrypt NGINX“, mais également sur d’autres blogs que j’ai trouvé via Google (vous pourrez les retrouver à la fin de l’article).

10min vraiment?

Alors dans le cas de mon site perso, le premier de ma longue liste de site à migrer en https://, oui ça ne m’a pris que 10min ou presque, le temps de tout comprendre comment fonctionnait SSL et ses copains, on rajoute 10 autres minutes. Et voilà rien de plus pour avoir un site fonctionnel!

Ensuite vient le temps du #SEO, s’assurer que les 301 sont en places, qu’il ne reste plus de traces d’appels http basique dans le maillage interne du site.

Quelle ne fût pas ma surprise que de constater qu’enfin un truc qu’on m’a vendu comme quelque chose de rapide à mettre en place l’est réellement!

10min par site?

C’est là que la situation a commencé à se compliquer. Fort de ce premier succès, j’ai vite pensé que je mettrais une dizaine de minutes par site à migrer, mais ça, c’était avant de commencer à migrer les wordpress et autres cms. Pour le wordpress par exemple, j’y ai passé une demi-journée à cause d’un accès à l’admin qui tournait en boucle. Ce n’est finalement pas la faute à let’s encrypt, plutôt à celle de ce maudit CMS qui ces derniers temps m’aura fait perdre beaucoup de temps (wordpress infecté).

Et vous, c’est pour quand?

Voilà, ce n’était pas un article très tech, plutôt un retour d’expérience pour vous inciter à foncer sur le https avant de devoir faire tout ça à l’arrache car vos clients vous appelleront paniqués de voir des messages d’alerte sur leurs sites!

Je pensais qu’il serait difficile à mettre en place, surtout dans un cas comme le miens ou l’architecture n’est pas aussi simple. Mais au final, tout s’est bien goupillé et les problèmes rencontrés étaient causés par les CMS utilisés.

J’avais simplement oublié de mettre en place le cron de renouvellement automatique, et là encore Let’s encrypt a bien joué le coup puisqu’il m’a envoyé plusieurs mails d’avertissement avant l’expiration du certificat ce qui m’a permis de corriger le tir avant que le certificat ne soit expiré.

 

Sources:

  • https://www.spiderneo.com/lets-encrypt-installation-renouvellement-multiple-domaine-https-nginx-or-apache
  • https://www.metal3d.org/ticket/let-s-encrypt-nginx
  • https://mondedie.fr/d/7414-Tuto-Certificat-SSL-signe-gratuit-avec-Let-s-Encrypt-et-nginx
  • https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/

2 thoughts to “Passer ses sites en HTTPS en un temps record avec let’s encrypt”

  1. Hello,
    J’ai fait un peu comme toi, j’ai commencé à migrer quelques sites par ci, par là, pour la plupart cela reste relativement faisable sans trop de prise de tête. Par contre, je n’ai pas encore osé toucher à mon WordPress.
    Tu as des conseils particuliers à donner ?
    Par exemple, est-ce qu’il t’a fallu aller modifier les URL en base et ce genre de choses ou pas à ce point là ?
    En tout cas, merci pour ton retour d’expérience 🙂
    @+

    1. Hello, tout à fait, il m’a fallu aller en base modifier l’url du blog. Sinon pas de manip particulière…

Leave a Reply

Your email address will not be published. Required fields are marked *