Sur la route vers le HTTPS partout WebCampDay Angers

@aysunakarsu @searchdatalogy #webcampday
Sur la route vers
le HTTPS partout
Aysun Akarsu
WebCampDay
Angers
19 Mai 2017

Bonjour!
Je suis Aysun Akarsu
Fondatrice & Blogueuse SearchDatalogy
https://www.searchdatalogy.com/blog/

“Lorsque j'ai prononcé les mots «Quels sont les défis pour rendre notre site web
entièrement https?» en 2013, je savais que ce n'était pas simple. Je n'aurais pu deviner la
complexité actuelle. Au moins, tout le monde a convenu que c'était vraiment une bonne
chose que nous devrions viser à faire avec les révélations de Snowden à l'époque, mais ce
n'était pas comme créer un site à partir de rien. Les avantages de passer à HTTPS et
finalement HSTS ont été compris. L'extension de la vie privée des utilisateurs de la
surveillance et l'engagement de la confiance dans l'authenticité du site ne sont pas
seulement de bonnes pratiques de sécurité, mais aussi des éléments permettant de créer
une meilleure relation avec vos consommateurs. … nous avons presque construit à partir
de zéro en migrant l'hébergement et les composants CMS au cours des 3 dernières
années. Le site que vous voyez maintenant est le triomphe du design et de l'effort. Bravo à
tous les participants.
David Boxall
Responsable de la sécurité de l’information chez Guardian News & Media

1
HTTPS
HyperText Transfer Protocol Secure

TLS
Transport Layer Security

■ Secure Sockets Layer (SSL)
■ Transport Layer Security (TLS)
■ TLS remplacé SSL

■ Authentification
■ Cryptage
■ Intégrité des données

2
Bon pour quoi?

HTTPS
■ Intégrité du site
■ Confidentialité et sécurité de l'utilisateur
Protège

HTTPS
Condition requis pour
■ HTTP2 protocole
■ amp-ad,
amp-embed,
amp-video,
amp-form,
amp-iframe
Permet des
fonctionnalités
puissantes
■ Accès à la
géolocalisation de
l'utilisateur, prise de
photos,
enregistrement vidéo
■ Expériences et
notifications
d'applications hors
ligne (Service
Workers)
Permet l’accès à la
referrer data (depuis
les sites HTTPS)

Mission de Google
3

“Google explique
La sécurité est une priorité absolue chez Google. Nous
investissons et travaillons pour nous assurer que nos sites et
services fournissent des HTTPS modernes par défaut. Nous
nous sommes engagés à faire du Web un endroit plus sûr
non seulement pour les utilisateurs de Google, mais pour
tous les utilisateurs. HTTPS rend difficile pour les
fournisseurs de services Internet, les gouvernements et
d'autres personnes de surveiller ce que vous faites en ligne.

Comment Google motive pour le HTTPS?
Par le SEO

Comment Google motive pour le HTTPS?
Par Chrome
■ Supporter HTTP2 sur Chrome uniquement si la connexion est chiffré
■ Marquer les sites HTTP comme non sécurisés sur Chrome

Dates de migration HTTPS
Top sites

Parmi les top sites
■ Premiers à migrer vers le HTTPS
■ Derniers à apporter HTTP Strict Transport Security (HSTS) vers
Google. (HSTS est sur www.google.com depuis 27/07/2016)
Google était l’un des

HTTPS au sein de Google

L’Usage HTTPS sur Chrome

HTTPS sur 100 top sites (hors Google)

HTTPS sur 1M top sites

4
Les certificats TLS

Les types des certificats TLS
■ DV Validation de domaine
■ OV Validation de l’organisation
■ EV Validation étendue
Par la niveau de validation

Les types des certificats TLS
■ Simple
https://www.premieresiteweb.fr
■ Générique
https://blog.premieresiteweb.fr
https://boutique.premieresiteweb.fr
■ Multi-domaine
https://www.deuxiemesiteweb.fr
https://www.troisiemesiteweb.fr
Par les domaines sécurisés

Les certificats gratuits
Les avantages
■ Gratuit (accepte les dons)
■ Sponsorisé par des entreprises éminentes
Les inconvénients
■ Configuration TLS
■ Fournit uniquement des certificats DV
■ Ne fournit pas de certificats génériques
■ Aucun projet futur de fournir des certificats OV ou EV
■ Renouvellements
Let’s Encrypt

Les certificats gratuits
Les avantages
■ Gratuit (demande des dons)
■ Renouvellements automatiques
■ Pas de configuration TLS
Les inconvénients
■ Ne fournit pas de certificats génériques
■ Ne fournit pas de certificats OV ou EV
■ Nouveau joueur
Serveur Caddy

5
HSTS
HTTP Strict Transport Security

HSTS
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
En secondes
Optionnel
(Conseillé)
Optionnel

HSTS
chrome://net-internals/#hsts

HSTS
https://chromium.googlesource.com/chromium/src/+/master/net/http/tra
nsport_security_state_static.json
{ "name": "wikipedia.org", "include_subdomains": true, "mode": "force-https" },
{ "name": "www.facebook.com", "include_subdomains": true, "mode": "force-https", "pins": "facebook" },
{ "name": "facebook.com", "mode": "force-https", "pins": "facebook" },
{ "name": "twitter.com", "mode": "force-https", "pins": "twitterCom" },
{ "name": "www.twitter.com", "include_subdomains": true, "mode": "force-https", "pins": "twitterCom" },
Chrome HSTS preload list

6
Avant la migration

Choisissez bien votre
infrastructure IT

En cas d’utilisation de SNI
http://caniuse.com/#search=sni
Vérifiez les supports de serveurs et navigateurs

Envisagez HTTP2
https://www.nginx.com/blog/supporting-http2-google-chrome-users/

Planifiez uniquement la migration HTTPS
https://www.seroundtable.com/google-url-structures-https-23084.html

Pas d'accès aux utilisateurs et aux bots
HTTPS

■ Certificat délivré par une autorité de certification fiable offrant un
support technique
■ Choisissez une clé de 2048 bits
Le certificat TLS sur le serveur pré-prod
Obtenez et configurez

Collectez la data
■ Crawl du site de production
■ Crawl du site de pré-production
■ Outils analytics p.ex. Google Analytics
■ Google Search Console
■ Logs du serveur web
■ Liens externes p.ex. Majestic

Analysez la data (production)
■ Pages d’erreur
■ Gaspillage du crawl
■ Contenu mince ou de pauvre qualité
■ Pages orphelines

■ Status Code
■ Scheme(Protocol) sur l’URL de la page
■ Scheme(Protocol) dans les URLs des liens, web assets
(images, tracking, ads, js etc)
■ Canonical tag
■ Hreflang tag
■ Meta tags (p.ex. noindex, nofollow)
■ HTTP Headers
■ Contenu
Sur chaque page vérifiez
Analysez la data (pré-production)

Préparez
■ Planification de la section de migration (En cas de
migration en sections)
■ Liste des URLs pour URL mapping
■ Liste des URLs pour monitorer les URLs
■ Sitemaps (HTTP, HTTPS)
■ Format des logs pour HTTPS

Vérifiez le certificat TLS
https://www.sslshopper.com/ssl-checker.html#hostname=www.searchdatalogy.com

Vérifiez les défauts de configuration et de
sécurité
https://www.ssllabs.com/ssltest/analyze.html?d=www.searchdatalogy.com

Registrez
Google Search Console
■ https://exemple.com
■ https://www.exemple.com
■ https://m.exemple.com (S’il y a un site mobile sur l’origine)
■ https://fr.exemple.com (S’il y a des sous-domaines sur l’origine)
■ https://www.exemple.com/fr/ (S’il y a des repertoires sur l’origine)

Configurez (sur le site de destination)
Google Search Console
Répliquez la configuration de l'origine
■ URLs parameters
■ Geotargeting
■ Disavow
■ Domaine préféré
Soumettez Sitemaps
Outils Analytics p.ex. Google Analytics

7
Prêt?

Donnez l'accès aux utilisateurs et bots
HTTPS

Mettez en place les redirections
HTTPSHTTP

Collectez et analysez la data

Mettez à jour les URLs
■ Liens de profil (p.ex. Facebook, Twitter, LinkedIn)
■ Médias détenus
■ Sites partners
■ Campagnes publicitaires

8
Après

Collectez surveillez analysez la data
■ Crawl de sitemaps
■ Google Search Console
■ Liens externes

Mettez en place le HSTS
■ Commencez à envoyer des en-tetes HSTS avec un max-age court.
Strict-Transport-Security: max-age=300; includeSubDomains
■ Augmentez lentement max-age HSTS.
■ Si aucun impact sur l’audience et les moteurs de recherche, ajoutez le
site à la Chrome HSTS preload list.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

“La protection de sites moins
sensibles renforce la
protection de sites plus
sensibles
https://https.cio.gov/
Le bien que nous
protégeons pour
nous-mêmes est précaire et
incertain jusqu'à ce qu'il
soit sécurisé pour nous tous
et intégré à notre vie
commune.
Jane Addams

Merci!

Sur la route vers le HTTPS partout WebCampDay Angers

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (15)

Similaire à Sur la route vers le HTTPS partout WebCampDay Angers

Similaire à Sur la route vers le HTTPS partout WebCampDay Angers (20)

Sur la route vers le HTTPS partout WebCampDay Angers