Étapes pour implémenter Let's Encrypt avec cPanel

Question

Je suis en train d'implémenter d'adopter un site de http à https, j'utilise le Let's Encrypt dans cPanel, je suis dans un environnement d'hébergement partagé.

Voici comment je l'implémente:

Site en mode maintenance
Émettre le certificat SSL

Ajout de ce code dans .htaccess:

RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.example.com/$1 [R=301,L]

Suppression de toutes les sessions dans session folder pour les rediriger dans la page de connexion. Ou supprimez tous les cookies stockés dans la base de données.
Essaye-le
Le mode maintenance est désactivé

Est-ce la bonne chose à faire? Si non, s'il vous plaît dites-moi comment le faire.

Mettre à jour

J'ai testé ce code .htaccess pour suivre les instructions de https://hstspreload.org :

RewriteEngine On RewriteCond %{HTTP_Host} ^example.com [NC] RewriteRule ^(.*)$ https://example.com/$1 [L,R=301,NC] RewriteCond %{HTTPS} !on [OR] RewriteCond %{HTTP_Host} !^www\. RewriteRule (.*) https://www.example.com%{REQUEST_URI} [L,R=301] <IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" </IfModule>

Ce moi un avertissement moyen:

Avertissement: en-tête HSTS inutile sur HTTP. La page HTTP située à http://example.com envoie un en-tête HSTS. Cela n'a aucun effet sur HTTP et devrait être supprimé.

Steve · Accepted Answer

Je dirige une entreprise d'hébergement Web. Des centaines de clients basculent (ou ne le sont pas s'ils sont paresseux) vers https via des certificats gratuits LetsEncrypt.

Pour être honnête, je pense que vous compliquez trop les choses. Installez le protocole SSL pour le domaine, puis, sans rien changer, essayez d’utiliser https et voyez comment vous allez.

Vous risquez de rencontrer plusieurs avertissements de contenu mixte lorsque vous affichez la console des outils de développement. C’est l’une des étapes les plus importantes, car s’il existe un contenu mixte, c’est-à-dire des fichiers inclus à l’aide de http, vous ne verrez pas de cadenas sécurisé.

Il n'est pas nécessaire de mettre un site en mode maintenance. Même si le certificat est installé, les utilisateurs peuvent toujours utiliser l'historique http pendant les tests.

Ensuite, lorsque vous êtes satisfait du résultat, ajoutez le code à votre fichier .htaccess.

Voici comment vous testez: allez à l'adresse htps: //example.com et voyez s'il y a un cadenas dans la barre d'adresse. Si c'est le cas, cela fonctionne. S'il existe toujours une notification non sécurisée, retournez aux outils de développement pour rechercher les problèmes.

Martijn · Answer

Je ne le ferais pas comme vous le proposez. Ma suggestion vous donne plus de contrôle sur le processus, en générant le moins d'erreurs possible pour vos visiteurs:

Implémentez LetsEncrypt/https mais ne définissez pas encore de redirections
Maintenant, tapez https:// dans votre URL et vérifiez vous-même. Faites/fixez autant de tests que vous pouvez/aimez¹.
Si vous êtes certain d’en avoir la majeure partie, demandez à un groupe d’utilisateurs de faire de même (ou redirigez-vous uniquement sur ce groupe https === - -)), l'utilisation révèle toujours plus de problèmes.

Lorsque vous sentez que vous avez fait tout votre possible, implémentez la redirection vers https ¹

Continuez à vérifier vos rapports, 404 possibles, etc. Encore une fois, l'utilisation réelle révèle toujours des erreurs que vous n'avez pas trouvées, préparez-vous à cela (si vous avez de la chance, c'est une faute de frappe).

Après un laps de temps suffisant, --- (implémenter HSTS , votre site ne sera donc pas accessible via http.

¹ Je vous suggère lien vers des fichiers externes comme celui-ci : //www.example sans http: ni https: dans l'URI
² Il n'est pas nécessaire de supprimer les sessions, car celles-ci sont transférées avec vous vers le https (peu probable) ou expirent sur-le-champ. Vos utilisateurs devront se reconnecter s’ils passent à https (vous pouvez leur donner une alerte).