Chiffrement chez WordPress : connexion HTTPS gratuite et pour tout le monde !

WordPress est, à de nombreux égards, et de loin le plus utilisé des  sur internet, avec une part de marché, gratuite et payante, de plus de 60%.

Un CMS, comme son nom le suggère, est bien plus qu’une simple plateforme d’hébergement internet qui permet à d’autres internautes de consulter ce que vous avez publiés.

En effet, il organise ce que vous publiez, ainsi vous n’avez pas seulement la possibilité d’ajouter, d’éditer et de supprimer du contenu, mais il vous permet également de suivre qui change quoi et quand, il vous autorise même à revenir en arrière si les changements opérés ne vous conviennent pas.

De plus, la sécurité de votre CMS vous affecte personnellement mais aussi vos lecteurs, ainsi l’utilisation d’une connexion HTTPS (la connexion HTTP sécurisée, à savoir le cadenas dans la barre d’adresse de votre navigateur) s’avère être indispensable.

Idéalement, vous devez mettre en place votre blog ainsi que l’interface utilisée pour l’éditer, via une connexion HTTPS, et uniquement cette dernière, pour permettre le chiffrement de toutes les connexions.

Après tout, le chiffrement intégral, comme nous l’avons déjà évoqué auparavant, est encore le meilleur moyen pour s’assurer de n’avoir rien oublié !

En réalité, la partie la plus intéressante de la connexion HTTPS ne concerna pas le chiffrement lui-même, mais plutôt l’authentification : s’assurer non seulement que vos communications restent confidentielles, mais aussi que vous vous adressez au site internet désiré.

Cette garantie repose sur une chaîne de certificats HTTPS, vérifiée par le biais de signatures cryptographies digitales, fournies par une ou plusieurs Autorités de Certification.

Bien que la procédure d’obtention du document numérique officiel pour avoir le certificat pour le site internet en question soit plutôt facile une fois le processus maîtrisé, la première fois que vous le faites revient un peu à prendre le bus pour la première fois, dans une ville que vous ne connaissez pas du tout.

Vous pouvez facilement finir au mauvais endroit, sans réellement savoir quelle sera la prochaine étape !

WordPress offre la connexion HTTPS gratuitement

Ainsi, nous sommes contents de l’annonce récente faite par WordPress concernant la mise à disposition de connexion HTTPS pour tous les sites web hébergés sur WordPress.com.

Vous n’aurez pas besoin de payer une autorité de certification pour la délivrance d’un certificat, ou encore d’installer le certificat vous-même, ou encore de vous inquiéter au sujet de l’expiration de ce dernier, ou enfin de faire vous-même la demande de certification.

WordPress s’occupera de tout cela pour vous, en utilisant un projet appelé Let’s Encrypt, qui essaie de minimiser le casse-tête (et le coût par certificat) que représente l’utilisation d’une connexion HTTPS (et le coût par certificat) :

Quiconque qui a déjà été confronté aux problèmes posés par la mise en place d’un site internet sécurisé, sait également ce que représente l’obtention et le maintien de ce certificat. Let’s Encrypt automatise cette corvée, et laisse les opérateurs sur les sites activer et gérer eux-mêmes la connexion HTTPS à l’aide de simples commandes.

Pas d’emails de validation, pas de modification de configuration complexe, pas d’expiration du certificat pouvant bloquer votre site. Enfin bien sûr, comme Lets’ Encrypt fourni les certificats gratuitement, pas besoin de payer quoi que ce soit non plus !

Lets’ Encrypt a déjà délivré plus de 1 000 000 de certificats gratuits.

Vraiment nouveau ?

WordPress utilise la connexion HTTPS depuis 2014 pour tous les sites avec un nom de domaine finissant par .wordpress.com.

Cette opération n’est pas compliquée, car quiconque possède un nom de domaine tel que example.com peut obtenir des certificats pour couvrir n’importe quel sous domaine tel que thirdlevel.example.com.

En réalité, en utilisant un certificat de type wildcard, vous pouvez couvrir tous les sous domaines du domaine example.com en une seule opération, en vous portant garant pour *.example.com (le caractère * est connu sous le nom de wildcard, et remplace n’importe quel texte que vous pourrez utiliser à la place, de la même manière que le nom de fichier *.EXE signifie “tous les fichiers .EXE”).

Cependant beaucoup d’utilisateurs WordPress ont créé leurs propres noms de domaines au sein de l’écosystème WordPress, tels que nakedsecurity.sophos.com, qui est hébergé par WordPress.com VIP.

Avant l’arrivée de Let’s Encrypt, la délivrance en masse de certificats HTTPS personnalisés, rapidement et automatiquement n’était pas facile.

A présent WordPress, après avoir travaillé dur en s’attelant à cette tâche fastidieuse pour la sécurité de ses utilisateurs, offre une connexion HTTPS pour tous  les sites web hébergés sur WordPress, que ce soit un nom de type *.wordpress.com ou encore un nom de domaine personnalisé.

Encore mieux, si l’un de vos lecteurs essaie de se connecter vie une connexion HTTP non sécurisé, WordPress le redirigera automatiquement vers une connexion HTTPS sécurisée.

Les points importants à retenir

Suivre @SophosFrance
Billet inspiré de “HTTPS for everyone: WordPress adds encryption for all customer sites” par Paul Ducklin de Naked Security
Partagez “Chiffrement chez WordPress : connexion HTTPS gratuite et pour tout le monde !” avec http://wp.me/p2YJS1-2E7