Comment gardez-vous un œil sur votre certificat SSL sur un site WordPress ?

Que vous ayez fait un business sur le web ou simplement un utilisateur qui consomme du contenu, vous avez probablement entendu parler du certificat SSL. Tout le monde « en quelque sorte » sait ce que représente le certificat SSL – quelque chose à propos de la sécurité d'un site, mais de quoi il s'agit.

L'acronyme SSL signifie Secure Sockets Layer. C'est un pilier et un élément de base de la sécurité en ligne depuis environ 25 ans. Il a traversé quelques versions au cours de cette période, devenant le principal moyen pour les navigateurs de distinguer les sites sûrs des sites potentiellement dangereux.

Le certificat a deux objectifs principaux : identifier le site et permettre des connexions cryptées, à la fois les données provenant des utilisateurs et les données sur les pages elles-mêmes.

Chaque service et plate-forme en ligne recherche ces certificats valides des navigateurs vers Google, donc un site doit en obtenir un. Si le certificat est valide, l'utilisateur accédera librement au site, mais le navigateur bloquera automatiquement le site s'il ne l'est pas. L'ensemble du processus d'authentification se fait en arrière-plan et est entièrement automatisé.

SSL ou TLS ?

Bien que le terme SSL soit largement reconnu, nous ne pouvons pas en dire autant de TLS. Transport Layer Security ou TLS représente la version mise à niveau de SSL (TLS est jusqu'à la version 1.3) - ils sont tous deux conçus pour faire la même chose, c'est-à-dire authentifier et chiffrer les données. Cependant, la façon dont chaque protocole chiffre les données est différente, TLS étant l'option bien supérieure.

Il est important de noter que les certificats et les protocoles ne sont pas les mêmes. En raison de ce qui ne peut être décrit que comme une expression familière, le terme "certificat SSL" a été tellement ancré qu'il est devenu la désignation par défaut, même si presque tous les sites concernés utilisent des protocoles TLS dans ce certificat "SSL". Il y a eu un intérêt sur le Web pour corriger le terme et utiliser des certificats TLS, ce qui est correct sur la base des protocoles sous-jacents, mais cela n'a pas vraiment été un succès.

Comment obtenir un certificat SSL ?

Obtenir un certificat SSL n'est pas si difficile. Vous obtiendrez généralement gratuitement avec votre service d'hébergement. Alternativement, si vous utilisez WordPress, vous pouvez utiliser de nombreux plugins ou utiliser un service comme Let's Encrypt qui offre des certificats gratuits. Le choix sur la façon d'obtenir une certification est principalement fait pour vous. Cependant, il y a autre chose dont vous devrez tenir compte. À savoir, leur expiration est essentielle pour connaître les certificats SSL. Pour que les certificats soient pertinents, ils doivent être renouvelés périodiquement. Pour cette raison, vous avez besoin d'un système qui gardera une trace de votre certificat.

Surveillance de votre SSL

Lorsque vous vous occupez de l'état de votre certificat, il est important de couvrir une grande variété de situations. Il existe de nombreuses façons de garder vos certificats sous contrôle, de leur traitement manuel (non recommandé) à une approche entièrement automatisée. Un plugin comme WP Force SSL parcourt automatiquement la liste de contrôle complète des actions qui garantissent que vous n'aurez aucun problème concernant SSL :

• Le site est-il sur localhost – si un site s'exécute uniquement localement, il n'est pas nécessaire d'avoir un certificat, c'est-à-dire un site de test/de staging ; une fois qu'il est en ligne, vous en avez besoin d'un.
• Vérification du certificat SSL et de la date d'expiration - assez explicite, la première chose du plugin est de vérifier le statut SSL. Lorsqu'il expire, vous êtes rapidement informé de ce dernier automatiquement.
• Problèmes SSL liés au plugin - le plugin vérifie la dernière version de WP Force SSL disponible et vérifie tous les autres plugins incompatibles SSL actifs que vous pourriez avoir.
• L'URL est-elle correctement configurée - votre URL d'adresse WP et votre URL d'accueil WP doivent être définies pour SSL - WP Force SSL vérifie l'état et vous permet de prendre des mesures en conséquence.
• Surveillance SSL - la meilleure fonctionnalité que vous trouverez dans le plugin - surveillance SSL constante en arrière-plan - nous en parlerons plus rapidement.
• Statut de redirection – le plugin vérifie si vos redirections HTTPS et les redirections de fichiers fonctionnent, ainsi que si les redirections 404 sont activées
• Si HSTS - une couche de sécurité supplémentaire qui nécessite des connexions sécurisées (HTTPS) pour accéder au site - est actif et activé, le navigateur refusera toutes les connexions HTTP par défaut.
• Contenu mixte - vous pourriez être dans une situation où votre site se charge via une connexion HTTPS, mais le contenu multimédia comme des images ou des vidéos continue de se charger via une connexion HTTP - WP Force SSL vous permet de contourner le problème et de marquer la page entière comme sûre.
• Vérification du fichier .htaccess - le plugin vérifie si le fichier est disponible et accessible en écriture. Considérant qu'il s'agit de votre fichier de configuration WP principal, vous ne voudriez pas vous en mêler, il est donc conseillé de laisser le plugin tout vérifier par lui-même.

La principale chose que vous voulez que votre plugin SSL fasse est de toujours connaître l'état du certificat. WP Force SSL travaille constamment en arrière-plan (à partir du moment où il est activé), surveillant l'état, vous avertissant si le certificat est sur le point d'expirer ou si l'une des plus de 50 erreurs documentées apparaît, garantissant que vous êtes complètement en sécurité dans chaque situation .

Si vous voulez être sûr que tout est en parfait état, vous pouvez également utiliser le scanner de contenu manuel pour éliminer les erreurs de contenu mixte. Par exemple, vos fichiers vidéo utilisent la connexion HTTP amenant l'ensemble de votre site, sinon en utilisant la connexion HTTPS plus sécurisée, à un niveau le laissant ouvert aux attaques. Vous pouvez identifier le problème et tout mettre en HTTPS via le scanner.

Résumé

Absolument tous les sites Web doivent disposer d'un certificat SSL. En tant que tel, il est essentiel de disposer des bons outils qui suppriment tout problème potentiel que vous pourriez rencontrer avec vos certificats. Avec WP Force SSL, vous n'obtiendrez pas qu'un simple module complémentaire de notification, mais un moyen d'automatiser l'ensemble du processus SSL, qui comprend l'obtention d'un certificat, ainsi que sa surveillance et sa maintenance, dont la plupart se font en arrière-plan. sans nécessiter aucune action de votre part - la solution parfaite.