3. @aysunakarsu @searchdatalogy #webcampday
“Lorsque j'ai prononcé les mots «Quels sont les défis pour rendre notre site web
entièrement https?» en 2013, je savais que ce n'était pas simple. Je n'aurais pu deviner la
complexité actuelle. Au moins, tout le monde a convenu que c'était vraiment une bonne
chose que nous devrions viser à faire avec les révélations de Snowden à l'époque, mais ce
n'était pas comme créer un site à partir de rien. Les avantages de passer à HTTPS et
finalement HSTS ont été compris. L'extension de la vie privée des utilisateurs de la
surveillance et l'engagement de la confiance dans l'authenticité du site ne sont pas
seulement de bonnes pratiques de sécurité, mais aussi des éléments permettant de créer
une meilleure relation avec vos consommateurs. … nous avons presque construit à partir
de zéro en migrant l'hébergement et les composants CMS au cours des 3 dernières
années. Le site que vous voyez maintenant est le triomphe du design et de l'effort. Bravo à
tous les participants.
David Boxall
Responsable de la sécurité de l’information chez Guardian News & Media
10. @aysunakarsu @searchdatalogy #webcampday
HTTPS
Condition requis pour
■ HTTP2 protocole
■ amp-ad,
amp-embed,
amp-video,
amp-form,
amp-iframe
Permet des
fonctionnalités
puissantes
■ Accès à la
géolocalisation de
l'utilisateur, prise de
photos,
enregistrement vidéo
■ Expériences et
notifications
d'applications hors
ligne (Service
Workers)
Permet l’accès à la
referrer data (depuis
les sites HTTPS)
12. @aysunakarsu @searchdatalogy #webcampday
“Google explique
La sécurité est une priorité absolue chez Google. Nous
investissons et travaillons pour nous assurer que nos sites et
services fournissent des HTTPS modernes par défaut. Nous
nous sommes engagés à faire du Web un endroit plus sûr
non seulement pour les utilisateurs de Google, mais pour
tous les utilisateurs. HTTPS rend difficile pour les
fournisseurs de services Internet, les gouvernements et
d'autres personnes de surveiller ce que vous faites en ligne.
14. @aysunakarsu @searchdatalogy #webcampday
Comment Google motive pour le HTTPS?
Par Chrome
■ Supporter HTTP2 sur Chrome uniquement si la connexion est chiffré
■ Marquer les sites HTTP comme non sécurisés sur Chrome
16. @aysunakarsu @searchdatalogy #webcampday
Parmi les top sites
■ Premiers à migrer vers le HTTPS
■ Derniers à apporter HTTP Strict Transport Security (HSTS) vers
Google. (HSTS est sur www.google.com depuis 27/07/2016)
Google était l’un des
22. @aysunakarsu @searchdatalogy #webcampday
Les types des certificats TLS
■ DV Validation de domaine
■ OV Validation de l’organisation
■ EV Validation étendue
Par la niveau de validation
23. @aysunakarsu @searchdatalogy #webcampday
Les types des certificats TLS
■ Simple
https://www.premieresiteweb.fr
■ Générique
https://www.premieresiteweb.fr
https://blog.premieresiteweb.fr
https://boutique.premieresiteweb.fr
■ Multi-domaine
https://www.premieresiteweb.fr
https://www.deuxiemesiteweb.fr
https://www.troisiemesiteweb.fr
Par les domaines sécurisés
24. @aysunakarsu @searchdatalogy #webcampday
Les certificats gratuits
Les avantages
■ Gratuit (accepte les dons)
■ Sponsorisé par des entreprises éminentes
Les inconvénients
■ Configuration TLS
■ Fournit uniquement des certificats DV
■ Ne fournit pas de certificats génériques
■ Aucun projet futur de fournir des certificats OV ou EV
■ Renouvellements
Let’s Encrypt
25. @aysunakarsu @searchdatalogy #webcampday
Les certificats gratuits
Les avantages
■ Gratuit (demande des dons)
■ Renouvellements automatiques
■ Pas de configuration TLS
Les inconvénients
■ Ne fournit pas de certificats génériques
■ Ne fournit pas de certificats OV ou EV
■ Nouveau joueur
Serveur Caddy
38. @aysunakarsu @searchdatalogy #webcampday
■ Certificat délivré par une autorité de certification fiable offrant un
support technique
■ Choisissez une clé de 2048 bits
Le certificat TLS sur le serveur pré-prod
Obtenez et configurez
39. @aysunakarsu @searchdatalogy #webcampday
Collectez la data
■ Crawl du site de production
■ Crawl du site de pré-production
■ Outils analytics p.ex. Google Analytics
■ Google Search Console
■ Logs du serveur web
■ Liens externes p.ex. Majestic
41. @aysunakarsu @searchdatalogy #webcampday
■ Status Code
■ Scheme(Protocol) sur l’URL de la page
■ Scheme(Protocol) dans les URLs des liens, web assets
(images, tracking, ads, js etc)
■ Canonical tag
■ Hreflang tag
■ Meta tags (p.ex. noindex, nofollow)
■ HTTP Headers
■ Contenu
Sur chaque page vérifiez
Analysez la data (pré-production)
42. @aysunakarsu @searchdatalogy #webcampday
Préparez
■ Planification de la section de migration (En cas de
migration en sections)
■ Liste des URLs pour URL mapping
■ Liste des URLs pour monitorer les URLs
■ Sitemaps (HTTP, HTTPS)
■ Format des logs pour HTTPS
45. @aysunakarsu @searchdatalogy #webcampday
Registrez
Google Search Console
■ https://exemple.com
■ https://www.exemple.com
■ https://m.exemple.com (S’il y a un site mobile sur l’origine)
■ https://fr.exemple.com (S’il y a des sous-domaines sur l’origine)
■ https://www.exemple.com/fr/ (S’il y a des repertoires sur l’origine)
46. @aysunakarsu @searchdatalogy #webcampday
Configurez (sur le site de destination)
Google Search Console
Répliquez la configuration de l'origine
■ URLs parameters
■ Geotargeting
■ Disavow
■ Domaine préféré
Soumettez Sitemaps
Outils Analytics p.ex. Google Analytics
53. @aysunakarsu @searchdatalogy #webcampday
Collectez surveillez analysez la data
■ Crawl du site de production
■ Crawl de sitemaps
■ Logs du serveur web
■ Outils analytics p.ex. Google Analytics
■ Google Search Console
■ Liens externes
54. @aysunakarsu @searchdatalogy #webcampday
Mettez en place le HSTS
■ Commencez à envoyer des en-tetes HSTS avec un max-age court.
Strict-Transport-Security: max-age=300; includeSubDomains
■ Augmentez lentement max-age HSTS.
■ Si aucun impact sur l’audience et les moteurs de recherche, ajoutez le
site à la Chrome HSTS preload list.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
55. @aysunakarsu @searchdatalogy #webcampday
“La protection de sites moins
sensibles renforce la
protection de sites plus
sensibles
https://https.cio.gov/
Le bien que nous
protégeons pour
nous-mêmes est précaire et
incertain jusqu'à ce qu'il
soit sécurisé pour nous tous
et intégré à notre vie
commune.
Jane Addams