Infomaniak nous a confirmé avoir ajouté le support du HSTS, l'article a été mis à jour en conséquence.
Comme prévu, Infomaniak vient de mettre en place sa fonctionnalité permettant d'installer simplement un certificat Let's encrypt sur ses offres d'hébergement. Chacun peut ainsi disposer d'un accès HTTPS pour son site, à moindres frais.
Comme nous le disions dans un précédent article, plusieurs hébergeurs commencent à proposer l'activation simple d'un certificat SSL/TLS à travers Let's Encrypt. Gandi et OVH s'apprêtent à proposer une telle fonctionnalité et Infomaniak nous avait indiqué que la mise en place était imminente.
Infomaniak active la mise en place de Let's Encrypt sur ses offres
Et c'est désormais le cas. Si cela n'est pas encore évoqué clairement sur le site de l'hébergeur suisse, on trouve quelques détails dans une publication de sa base de connaissances. La société précise ainsi qu'« un certificat SSL gratuit peut uniquement être établi pour les domaines dont les DNS pointent sur un hébergement Web, Classic ou sur un Serveur Cloud. Les hébergements Starter offerts avec un nom de domaine ne sont pas pris en charge ». Dommage, surtout pour un certificat gratuit. Les offres concernées sont, elles, vendues à partir de 5,75 euros par mois.
L'ancienne interface d'administration ne propose par contre pas l'option, ceux qui veulent effectuer une migration doivent regarder par là pour connaître la procédure à suivre.
Nous avons donc commandé un hébergement afin de voir de quoi il en retourne. Et dans la pratique, la mise en place est effectivement assez simple. Il suffit de vous rendre dans la page de gestion de vos sites, puis de cliquer sur le domaine concerné. Dans le menu de gauche, l'option Certificat SSL vous sera proposée. Elle est indiquée comme un programme de test (beta) pour le moment.
Il vous suffit ensuite de cliquer sur Installer. Vous aurez alors trois possibilités proposées :
- Pas de chiffrement
- Certificat SSL gratuit
- Certificat SSL personnalisé
Ce dernier cas vous permettra d'installer un certificat obtenu auprès d'une autorité de certificat de votre choix, certaines en proposant gratuitement (voir notre analyse). Par défaut, un certificat autosigné sera activé, mais vous pourrez choisir d'importer le vôtre par la suite.
Renouvellement automatique, mais redirection manuelle
Dans le second cas, le certificat sera généré par Let's Encrypt et valable pour une durée de trois mois. Les conditions d'utilisation précisent d'ailleurs que « les certificats délivrés par Let's Encrypt sont valables 90 jours et renouvelés automatiquement avant leur échéance par Infomaniak ». Vous n'aurez donc rien à faire de ce côté-là. Vous pourrez changer à tout moment d'option concernant le chiffrement en demandant à changer d'offre.
Absente dans un premier temps, une redirection exploitant HSTS (HTTP Strict Transport Security) a été mise en place. Dans sa base de connaissances, l'hébergeur prévient contre quelques problèmes qui pourraient être rencontrés. Il faudra notamment faire attention aux cas de « mixed content », les navigateurs permettant désormais de détecter et corriger plus facilement ces problèmes, comme les dernières versions de Chrome par exemple.
Reste maintenant à voir comment les autres grands hébergeurs comme Gandi et OVH vont intégrer une telle procédure au sein de leurs offres et comment chacun compte se distinguer pour attirer des clients avides de mise en place aisée d'un accès sécurisé à leur site.