Passer son site en HTTPS gratuitement et facilement grâce à CloudFlare et One-Click SSL

📌 Mise à jour 2023 :

Cet article date de 2015 et même si Cloudflare offre toujours l’installation d’un Certificat SSL gratuit… en 2023, passer par Cloudflare n’est plus du tout une obligation pour obtenir le HTTPS gratuitement.

La solution SSL la plus facile en 2023 est de choisir un Hébergeur Web moderne comme EasyHoster proposant cPanel ainsi qu’un nombre illimité de Certificats SSL gratuits… le tout sécurisé par un Firewall Premium Imunify360, sans surcoût 😮

Sans compter les autres nombreux avantages de l’Hébergeur Web alternatif à Taille Humaine EasyHoster : support pour WordPress, dépannage de sites 7j/7, données sécurisées dans 3 pays (sauvegardes) et plus encore…

Pour en savoir plus sur l’Hébergeur cPanel EasyHoster offrant des Certificats SSL/HTTPS gratuits…

Découvrez cet article de présentation complet des “Solutions d’Hébergement Web Performantes EasyHoster” compatibles PageSpeed Mobile et incluant des Certificats SSL/HTTPS en illimité pour tous vos domaines hébergés par EasyHoster →

---

---

Archive de l’article original 😁 pour les nostalgiques de l’époque où Let’s Encrypt et Sectigo n’étaient pas encore là pour offrir des Certificats SSL aux Hébergeurs de qualité comme EasyHoster :

---

Il est de plus en plus fréquent que les données qui circulent sur Internet soient compromises. Par exemple, un pirate expérimenté peut facilement sniffer des données circulant sur un réseau Wi-Fi. Aujourd’hui, le sujet de la sécurité sur Internet est au cœur de toutes les discussions. Les internautes sont conscients, par exemple, qu’il n’est pas sûr de laisser leur numéro de carte de crédit sur n’importe quel site Web. Pourquoi n’en serait-il pas de même pour leur mot de passe ?

Le moteur de recherche Google lui-même laisse sous-entendre que l’aspect sécuritaire d’un site Web est pris en compte dans le classement de ses résultats. Cependant, la mise en place d’un certificat SSL auprès de son hébergeur peut-être long et surtout coûteux. Beaucoup de Webmasters voudraient bien passer leur site en HTTPS, mais sont découragés par la lourdeur de la procédure à entreprendre.

Mais, c’était sans compter sur One-Click SSL de CloudFlare ! 😉

Grâce à ce bon plan, vous n’aurez pas à effectuer la lourde démarche d’acheter un certificat SSL.

Qu’est-ce que CloudFlare one-click SSL ?

Pour les lecteurs qui ne seraient pas à l’aise avec la langue de Shakespeare, j’ai fait traduire la présentation de CloudFlare On-click SSL que je vous laisse découvrir.

Rendez-vous plus bas pour mes explications personnelles pour mettre votre site WordPress en HTTPS facilement et gratuitement ! 🙂

---

Qu’est-ce que le SSL ?

SSL (Secure Socket Layer) est la technologie de sécurité standard permettant d’établir une liaison cryptée entre un serveur Web et un navigateur. Ce lien sécurisé garantit que toutes les données transférées reste privées. Il est aussi appelé TLS (Transport Layer Security). Des millions de sites Web utilisent le chiffrement SSL pour sécuriser les connexions quotidiennes et garder les données de leurs clients à l’abri de la surveillance et de la falsification.

SSL est visible pour les utilisateurs de plusieurs façons dans la barre d’adresse d’un site Web :

• Une icône de cadenas dans la barre du navigateur.
• L’adresse du site commençant par https://.

Example :

C’est l’un des outils de sécurité les plus largement adoptés sur Internet aujourd’hui. La preuve que SSL est essentiel.

Pourquoi les sites web utilisent SSL ?

Un nombre croissant de sites adoptent SSL pour diverses raisons :

• Sécurité : veiller à ce que personne n’intercepte le trafic Web.
• Confiance : en affichant une image verte de verrouillage, le site augmente la confiance des visiteurs.
• Booster le ranking sur les moteurs de recherche : Google classerait mieux les sites qui ont un SSL élevé dans ses résultats de recherche.
• Conformité réglementaire : les institutions financières et les e-commerces qui fonctionnent avec des cartes de crédit doivent se conformer aux réglementations et adopter le SSL sur leurs sites Web.

[su_divider top= »no » size= »1″ margin= »40″]

Passer son site en HTTPS sans devoir acheter de certificat SSL ?

CloudFlare rend le SSL facile

Le SSL peut être difficile à mettre en place pour les administrateurs de site. La configuration du SSL nécessite de contacter une autorité de certification (CA) pour vérifier votre identité et l’authenticité de votre site, l’installation du certificat sur votre serveur, et il faut également constamment le mettre à jour. CloudFlare rend l’activation du SSL aussi simple qu’un clic. Vous ne devez pas vous soucier de créer un certificat vous-même, l’installer sur votre serveur, ou de le garder à jour – CloudFlare s’occupe de tout.

Pour les sites qui requièrent des configurations SSL plus avancées, CloudFlare prend en charge : les certificats personnalisés à partir de toute autorité de certification, SSL de bout en bout avec une vérification robuste de certificat, et même le SSL sans clé qui permet aux sites utilisant CloudFlare de ne pas renoncer à leurs clés privées.

CloudFlare SSL est rapide, facile et sécurisé pour toutes les organisations et réduit la friction SSL ajoutée à la sécurité et les performances de la couche 7 des applications.

En une nuit, CloudFlare a aidé reddit à implémenter SSL pour des millions d’utilisateurs (étude de cas en anglais).

CloudFlare SSL options

SSL flexible

Il y a une connexion cryptée entre les visiteurs de votre site et CloudFlare, mais pas de CloudFlare à votre serveur.

• Vous ne devez pas avoir un certificat SSL sur votre serveur.
• Les visiteurs pourront voir l’icône de cadenas SSL dans leur navigateur.

SSL complet

• Crypte à la fois la connexion entre les visiteurs de votre site et CloudFlare, et de CloudFlare à votre serveur.
• Vous aurez besoin d’avoir un certificat SSL sur votre serveur. Cependant, CloudFlare ne tentera pas de valider le certificat (les certificats peuvent être auto-signés).
• Les visiteurs pourront voir l’icône de cadenas SSL dans leur navigateur.

SSL complet (stricte)

Crypte la connexion entre les visiteurs de votre site et CloudFlare, et de CloudFlare à votre serveur.

• Vous aurez besoin d’avoir un certificat SSL valide installé sur votre serveur, et le certificat doit être signé par une autorité de certification de confiance et ne ne doit pas être expiré.
• Les visiteurs pourront voir l’icône de cadenas SSL dans leur navigateur.

---

Fin de traduction !

Retrouvez l’explication originale et mise à jour sur :

• https://www.cloudflare.com/ssl/ (en anglais).

---

Comment passer WordPress de HTTP à HTTPS grâce à CloudFlare ?

Je me suis prêté à l’exercice avec le petit site vitrine de ma société. Comme ça, j’ai bien galéré à votre place pour vous donner ici les erreurs à éviter. Vous allez pouvoir gratuitement installer SSL sur votre site et finalement, sécuriser WordPress de façon totalement aboutie 😉

Avant toute chose, tentez d’accéder à votre site en https://. Vous verrez une erreur, souvent personnalisée aux couleurs de votre hébergeur ou mieux, vous serez redirigé vers la version http:// de votre site.

Installer CloudFlare sur votre site

Je ne vous détaille pas cette étape, tout d’abord parce qu’elle est très simple pour vous cher lecteur expérimenté, et parce que cela fait déjà l’objet d’un tutoriel de mon coaching WordPress par e-mail.

…

…

Bravo !

Vous avez installé CloudFlare sur votre site ! Rapide ?

Accéder à son site en HTTPS

Après avoir installé CloudFlare avec succès (changement de serveurs DNS et compagnie…), vous devrez patienter 24 heures avant qu’Universal SSL soit activé automatiquement sur votre plan gratuit.

Si vous passez à la caisse c’est instantané, mais gardez donc vos sous pour me payer une Heineken le jour où vous passerez près de chez moi. Pour patienter, je vous offre un superbe blog WordPress plein d’articles follement amusants, pour apprendre en rigolant. Ouais ! 😀

…

…

Ah voilà, c’est activé !

Merci pour votre patience. Vous pouvez maintenant accéder à votre site en ajoutant https:// avant votre nom de domaine.

Cas de figure 1 : tout fonctionne parfaitement.

Dans ce cas,

1. Ne faites pas le malin.
2. Rendez-vous directement à la suite des opérations, forcer la redirection de tous les utilisateurs entrant http:// vers https://.

Cas de figure 2 : tout est pété !

En clair, vous notez certains problèmes au niveau graphique, mais surtout technique pour des fonctionnalités notamment basées sur du code JavaScript.

Dans ce cas,

1. Rassurez-vous, on va régler ça vite fait.
2. Continuez la lecture.

Cas de figure 3 : c’est le chaos !

Votre navigateur affiche une grosse erreur de type ERR_TOO_MANY_REDIRECTS ou quelque chose du genre.

1. Je ne voudrais pas dramatiser, mais…
2. Je déconne. On va voir cela plus bas.

Pourquoi mon CSS, JavaScript et mes requêtes AJAX sont cassés sous SSL ?

Le cas de figure 1 se présente lorsque vous avez un site très simple. Cependant, dès qu’on commence à verser dans des sites avec un tout petit peu d’effets jQuery qui vont bien, il faut procéder à la configuration de votre WordPress pour SSL.

Ce qu’on va faire tout de suite.

Vive les URLs relatives et les « Protocol Relative URLs » !

Un jour, en lisant du HTML au coin du feu, j’ai vu une balise comme celle-ci :

<img src="//www.example.com/image.jpg" alt="image">

Et je me suis dit : « ha ha ha, l’andouille, il a oublié de mettre http: avant les doubles slashes // ».

Oui, et bien, ce jour-là, l’andouille, c’était moi.

Ces adresses qui commencent par // sont des URLs relatives de protocole. En clair, peu importe le protocole qui est utilisé (http, https,…), ces doubles slashes seront remplacées par le protocole en cours d’utilisation (par vous, et par le site). Donc, si vous êtes sur du HTTP classique, les // deviennent « http:// », et si vous êtes sur du sécurisé, l’URL de l’image devient  https://www.example.com/image.jpg; et ça, c’est top.

C’est justement à cause de ce mix de protocole qu’on va devoir configurer deux ou trois trucs sur votre WordPress, sinon, ça casse tout, et en plus, le navigateur risque d’afficher des messages pour dire que votre site n’est pas vraiment sécurisé (pas chouette).

En effet, on ne peut en théorie pas inclure une image ayant l’adresse http://www.example.com/image.jpg sur une site sécurisé, parce que cette image n’est pas sous protocole SSL.

Par contre, les URL relatives simples comme on les connait déjà, elles fonctionnent à merveille d’origine.

<img src="/images/image.jpg" alt="image">

Depuis les années qu’on vous dit d’utiliser des URLs relatives. Bande de cochons !

Comment éviter les erreurs du type « boucle de redirection infinie »

Il est probablement que sur la version SSL de votre site, vous rencontriez une erreur de type : ERR_TOO_MANY_REDIRECTS.

Pour arranger ça, nous devons préalablement paramétrer quelques petites choses sur votre WordPress. Rien de bien compliqué, vous verrez.

Configurer SSL proprement sur votre WordPress

Allez, on rentre dans le vif du sujet.

1 – Désactivez votre plugin de cache

Je vous le conseille pour éviter les problèmes durant les opérations.

En faite, le plus simple est de désinstaller complètement votre plugin de cache depuis votre tableau de bord. Mais si vous voulez vous compliquer un peu la vie, vous pouvez simplement le désactiver.

Si vous utilisez W3 Total Cache par exemple, il faudra veiller aussi à nettoyer le fichier .htaccess présent à la racine de votre site. Supprimez toute la partie ajoutée par W3 Total Cache, elle sera rajoutée lorsque vous réactiverez le plugin.

# BEGIN W3TC Browser Cache

Attention, conservez bien la partie placée par WordPress pour vos permaliens.

# BEGIN WordPress

Je préfère vous prévenir. Si vous supprimez cette dernière par erreur, vous aurez des pages « 404 not found » à l’intérieur de votre site, et forcément, vous allez croire que ça vient du HTTPS.

2 – Plugin CloudFlare for WordPress

Il est recommandé d’installer l’extension WordPress officielle de CloudFlare. En effet, dans celle-ci, CloudFlare résout quelques problèmes de mixed content errors (cocktail de protocoles SSL & non SSL), ainsi que d’autres problèmes que vous pourriez rencontrer (boucles de redirection infinies…).

Installez le plugin officiel CloudFlare et configurez-le

Naturellement, vous devrez indiquer vos identifiants CloudFlare dans votre panneau d’administration WordPress et plus précisément dans les Settings de votre nouvelle extension.

Il vous demandera votre clé API CloudFlare

Où la trouver ?

1. Connectez-vous à votre compte CloudFlare.
2. Allez dans « My Settings ».
3. Faites défiler vers le bas jusqu’à « API Key ».
4. Cliquez sur le bouton « View API Key » pour voir votre identifiant API.

Dans vos paramètres WordPress, veillez à activer l’option HTTPS Protocol Rewriting.

C’est pas la belle vie ça ?

3 – Pas envie de configurer le plugin CloudFlare for WordPress ?

Ok ! Alors, vous devrez au moins installer CloudFlare Flexible SSL  (pour régler le problème de redirections infinies) ou WordPress HTTPS plugin. Ce dernier a plus de 80.000 sites actifs, mais n’a plus été mis à jour depuis, 3 ans ! CloudFlare lui-même conseille ces 2 plugins, mais ce n’est pas eux qui les ont créés, mais des développeurs indépendants.

4 – Dresser votre WordPress pour HTTPS avec SSL Insecure Content Fixer

Ce plugin va directement agir au plus profond des fibres de votre CMS pour nettoyer les liens http qui subsisteraient dans votre site : les fichiers .js (JavaScript), les images, les CSS, etc.

• https://wordpress.org/plugins/ssl-insecure-content-fixer/

Dans les paramètres du plugin, utilisez le mode de correction « Simple », pour de meilleures performances, et montez en grade si certaines fonctions JavaScript posent problème.

Très important, pour le bon fonctionnement du plugin, veillez à ce que celui-ci puisse détecter le protocole HTTP ou HTTPS utilisé par vos visiteurs. Si vous voyez une petite croix X, c’est mauvais, si c’est un V vert, c’est bon.

Sur la capture suivante, j’ai choisi l’option destinée à CloudFlare. Ça fonctionne pour moi !

5 – Modifier l’adresse de votre site dans WordPress

Là, on arrive aux choses sérieuses.

Rendez-vous dans Réglages > Général > Adresses web et vous mettez à jour les 2 champs.

N’ayez pas trop peur. Si vraiment votre site est en panne et que vous désirez faire marche arrière, il vous suffira de rétablir les valeurs antérieures grâce à PhpMyAdmin, table « wp_options », champs « siteurl » et « home ».

6 – Remplacer HTTP par HTTPS dans sa base de données

Là on approche du but.

Il serait judicieux de rendre vos données cohérentes directement dans MySQL. Pour cela, remplacez toutes les occurrences de « http://www.example.com » par « https://www.example.com ». Je vous propose d’utiliser Better Search Replace.

Je vous rassure, ce plugin gère la « serialization », vous pouvez y aller ! Ça ne risque pas de casser vos widgets.

Procédez à cette étape pour tous vos sous-domaines WordPress.

Mon cas WPML

Pour gérer la traduction du sous-domaine anglais de mon site, j’ai une ligne de configuration qui sert à déterminer à quelle adresse on accède à cette fameuse partie anglophone. Grâce au chercher-remplacer, pas de souci. Tout cela a été pris en compte.

Attention, avec WPML, la technique de Search and Replace est bonne. Cependant, il vous sera peut-être nécessaire de réenregistrer vos Widgets (Apparence) et y recopier-coller vos traductions dans WPML. Rassurez-vous, vos traductions ne sont pas perdues, elles sont toujours sous votre onglet « Traduction de Chaînes », mais ne sont plus correctement liées aux widgets. Cela vous prendra 1 minute à corriger si vous êtes confronté au problème.

Maintenant, ça fonctionne, mon site est 100% SSL !

Redirection de tout le trafic HTTP vers HTTPS

Maintenant que tout est fonctionnel il est temps de contraindre les internautes et les moteurs de recherche à n’utiliser que la version sécurisée de votre site.

Créer une Page Rule dans CloudFlare

C’est la belle façon de faire une redirection avec CloudFlare.

Ça fonctionne du feu de Dieu.

• Rendez-vous dans votre espace CloudFlare puis dans Page Rules.
• Entrez l’adresse de votre site, suivi d’une « * », ex : www.example.com*
• Activez uniquement « Always use https ».

Ça fonctionne aussi sans « www. »

Easy!

Redirection htaccess vers HTTPS

La méthode un peu geek, pas particulièrement recommandée dans notre cas.

Ajoutez ceci à votre .htaccess.

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Forcer HTTPS uniquement dans le tableau de bord WP-Admin

Qui sait ? Peut-être que vous ne vous en sortez pas avec les bugs sur la partie publique. Avoir du HTTPS seulement dans l’admin de WordPress, c’est déjà ça.

Ajoutez ceci à votre fichier wp-config.php :

define ( 'FORCE_SSL_ADMIN' , true);

Un petit check  ?

Passez votre site au SSL Check pour vérifier que vous n’avez plus de Mixed Content : http://www.jitbit.com/sslcheck/

S’il vous détecte toujours des erreurs, vous devrez trouver la solution. Manifestez-vous en commentaire si vous avez besoin d’un coup de pouce.

Alors, c’est bon ?

À quoi dois-je m’attendre pour mon référencement ?

Une fois que vous être sûr que tout est bien paramétré et fonctionnel, vous pouvez ajouter votre nouvelle adresse dans votre Google Search Console (anciennement Google Webmaster Tools).

J’ai bien dis ajouter ! N’allez pas me signaler un changement d’URLs. Ça ne marchera pas.

Demander un changement d’adresse dans Google Webmaster Tools.
(…) Remarque : Actuellement, cet outil n’accepte pas les déplacements de site qui impliquent une modification du nom de sous-domaine, un changement de protocole (de HTTP à HTTPS) ou une modification du chemin d’accès uniquement.
Src. : https://support.google.com/webmasters/answer/83106

Google considère cette URL https comme une nouvelle version de votre site à part entière. Moralité, vous devrez laisser mijoter et attendre patiemment que Google prenne en compte vos redirections. Je déconseille même de faire une exploration forcée (explorer comme Google bot) sur votre site HTTPS. J’ai trop peur de vous encourager à faire indexer rapidement des URLs avec contenu dupliqué.

C’est donc le moment de faire une sieste de 2 mois. 🙂

Plus sérieusement, cela sera toujours bénéfique de créer quelques bons liens vers la nouvelle adresse « https ». Si vous pouvez, pensez-y.

Edition 6 juillet 2017 : 

Google vient de donner plus de détail sur le passage de son site depuis HTTP vers HTTPS et les actions à effectuer dans Google Search Console.  Me concernant, je fais souvent des passages en HTTPS en suivant la méthode indiquée plus haut, en 2015, et ça fonctionne toujours parfaitement. C’est à vous de voir 😉

Conclusion

J’avais déjà mis CloudFlare sur ce site et j’en étais très content. Je pouvais y accéder en HTTPS, mais le CSS / JavaScript était cassé et le code de mes pages n’était pas sécurisé de façon optimale (mixed content).

En suivant les quelques étapes que je viens de vous présenter, j’ai pu efficacement tout réparer et forcer mes visiteurs (ainsi que Google) à utiliser HTTPS pour visionner mes pages.

Finalement, vraiment utile pour ma société ce SSL ?

Dans le cas de mon site, j’aurais sans doute pu m’en passer. Mon site n’est pas voué à l’échange des données sensibles. Je reçois juste quelques demandes de devis et candidatures spontanées qui sont, pour la plupart copiées-collées à l’identique dans les formulaires de contact de 80% des agences Web du pays. La seule personne à entrer un mot de passe sur ce site, c’est moi, pour mon interface d’administration, et croyez-moi, mes voisins ne risquent vraiment pas de sniffer mes données. Dans tous les cas, j’ai tout ce qu’il me faut pour réparer mes sites en moins de 2, donc j’arrive à dormir sans trop de cauchemars.

Par contre, pour l’égo, ça peut-être sympa. Aujourd’hui, j’imagine facilement qu’un prospect un peu geek (tu sais, le mec « qui s’y connait… ») remarque que mon site est en HTTPS et se dise « hmmm, classe, une agence Web sérieuse ».

Ben oui, pourquoi pas ? Ça démontre un tout petit effort technique de mettre le SSL en place sur son site. Ça peut faire gagner un contrat, qui sait ? Ça peut surtout vous faire gagner quelques ventes chaque année si vous gérez une magnifique boutique WooCommerce.

Si vous avez des difficultés quelque part avec CloudFlare et one-click SSL, laissez un commentaire, on essayera de vous aider.

Merci à Ligo de m’avoir suggéré la rédaction de cet article. Vous aussi, suggérez le vôtre. 🙂