Online.net sécurise gratuitement tous ses sites web

Nicolas Furno |

Online.net, la filiale d’Iliad dédiée à l’hébergement, était l’un des partenaires de Let’s Encrypt, un service qui entend offrir à tous les sites une solution simple et gratuite pour sécuriser leur connexion et activer le HTTPS (lire : Let’s Encrypt sur le point de sécuriser tout l’internet). On pouvait déjà utiliser ce service sur les Dédibox, petit nom des serveurs dédiés de l’hébergeur, mais pas sur les hébergements mutualisés.

L’un des data-centers d’Online
L’un des data-centers d’Online

C’est désormais chose faite : tous les hébergements fournis par Online.net seront sécurisés gratuitement. Mieux, ce sera fait par défaut : quand on crée un site chez l’hébergeur, on devrait ainsi avoir une connexion sécurisée, sans effort supplémentaire de la part du créateur de site. Une excellente mesure pour améliorer la sécurité du web, même s’il faut rappeler que les certificats fournis par Let’s Encrypt ne garantissent pas l’identité du propriétaire du site.

Contrairement aux certificats SSL payants en effet, ceux fournis par ce nouveau service ne fonctionnent qu’avec un niveau de protection. Pour sécuriser un site, il faut que le nom de domaine utilisé pointe sur le serveur utilisé. Si c’est le cas, vous obtenez un certificat, mais cela ne garantit pas contre le vol d’identité. Néanmoins, c’est largement suffisant pour un blog personnel, et puisque c’est gratuit et simple, pourquoi s’en priver ?

Online.net n’est pas le premier hébergeur à proposer Let’s Encrypt à ses clients, SiteGround, Gandi, Infomaniak ou encore PlanetHoster l’ont aussi adopté. On attend maintenant OVH, mais le plus gros hébergeur européen est l’un des partenaires du service et on sait que la sécurisation de tous les sites qu’il héberge est prévue.

avatar iGeek07 | 

Et vous MacG, c'est pour quand le https?

avatar Nicolas Furno | 
@ iGeek07 : c'est un travail de longue haleine, qu'on a commencé à mener avec les petits sites satellites (iOccasion en partie, lekeynote.fr aussi). À terme, on y passera complètement, mais sur les gros sites comme le nôtre, c'est moins simple que ça en a l'air.
avatar iGeek07 | 

@nicolasf :
C'est peut être hors sujet pour le site, mais une fois ceci fait, un petit article qui explique les écueils rencontrés pourrait être super intéressant ;)
En attendant, se connecter à son compte MacG via http c'est pas super :(

avatar patrick86 | 

Good news!

avatar nova313 | 

J'utilise let's encrypt sur Kimsufi, et c'est assez facile à mettre en place. Par contre, devoir renouveler le certificat tout les 3-4 mois pour chaque domaine, c'est chiant. J'attend vraiment que OVH le déploie sur du mutualisés, pour les besoins paranos de mes clients, qui croient que leurs sites est impiratable!

avatar DouceProp' | 

Les emails déconnent souvent chez Online.net... De sombres histoires de serveurs blacklistés.

avatar le ratiocineur masqué | 

Online.net n'ont-ils pas leurs serveurs en France ?
Je pose la question parce que de ce que j'avais compris de l'actualité il y'a quelques mois le gouvernement français oblige les FAI à installer des "black box" histoire de surveiller le traffic ... du coup quid de serveurs comme ça situés sur le territoire ? Jusqu'à quel point sont-ils "sécurisés" ? 

avatar nayals | 

"Contrairement aux certificats SSL payants"

Je ne prétends pas être expert en SSL, mais il me semble que la vérification d'identité ne concerne que les certificats EV (en vert dans la barre d'adresse). Les autres certificats (juste le cadenas, sur Wikipedia par ex) ne vérifient pas l'identité, même s'il sont souvent payants.

avatar sebasto72 | 

@nayals :
Il y a plusieurs niveaux.
Les certificats SSL "payants", même non EV, te garantissent que le certificat SSL appartient bien au propriétaire du nom de domaine auquel tu te connectes.
Rien qu'avec ce niveau de sécurité, tu as plusieurs tarifs suivant l'universalité de la reconnaissance du certificat que tu souhaites (tous les Intermediate-CA ne sont pas connus de tous les navigateurs...)

Un certificat EV ajoute en plus le lien avec le nom "public" d'une société, reconnaissable bien plus facilement par le grand public. En effet, il n'est pas rare que le nom de la société soit différent du nom de domaine.
Exemple : le site de la banque Credit Agricole d'Ile de France est www .ca-Paris.fr, mais la société présentée par le certificat EV est "Credit Agricole SA".

Dans les certificats gratuits dont il est question dans l'article, rien ne lie le certificat au nom de domaine accédé. Le certificat est certifié valide car fourni par Let's Encrypt, mais c'est tout.

avatar Nicolas Furno | 

@ sebasto72 : ce n'est pas tout à fait vrai pour Let's Encrypt. Pour obtenir le certificat, il faut que le nom de domaine pointe sur le serveur où on veut l'installer. Donc seul le propriétaire du nom de domaine peut obtenir le certificat.

C'est moins sécurisé qu'une vérification de personne, certes, mais ce n'est pas rien du tout quand même…

avatar sebasto72 | 

@nicolasf :
Oui pardon, j'ai un peu trop raccourci la différence avec le payant non EV.

avatar TheRV | 

Quel est l'intérêt de passer le site keynote en https ?

CONNEXION UTILISATEUR