Online.net active Let's Encrypt sur toutes ses offres mutualisées

Tu n'as rien activé, mais tu es déjà sécurisé 20
En bref
image dediée
Securité
David Legrand

Online.net passe à son tour à Let's Encrypt. Mais la filiale du groupe Iliad a décidé de ne pas faire les choses comme ses petits camarades et a activé un certificat sur l'ensemble de ses hébergements mutualisés.

Après avoir dépassé la barre symbolique du million de certificats délivrés, Let's Encrypt continue de se déployer chez les hébergeurs et autres constructeurs. Synology vient ainsi de généraliser son DSM 6.0 qui intègre un client Let's Encrypt. Dans le même temps, Online.net a activé un accès HTTPS à l'ensemble de ses clients mutualisés.

L'annonce a été faite sur Twitter au début du mois et une mention est depuis apparue sur le site. Ainsi, les offres d'hébergement Web et Cloud de la société mentionnent la possibilité de disposer d'un certificat SSL via Let's Encrypt.

Online.net : le certificat Let's Encrypt, c'est automatique

Dans la pratique, l'utilisateur n'a rien à faire et toute la gamme est concernée. En effet, nous avons commandé une offre assez basique pour voir ce qu'il en était et, dès sa mise en place, il était possible d'accéder au site via son adresse HTTPS. Aucune option n'est ainsi proposée dans l'interface et le renouvellement du certificat est automatique.

Une façon de faire qui a quelques limites puisqu'il sera ainsi impossible de désactiver le certificat pour ceux qui n'en veulent pas par exemple (ce qui devrait être assez rare). Plus problématique, aucune option ne permet d'activer une redirection automatique, et donc de renvoyer un utilisateur de la version HTTP vers la version HTTPS.

Le site ne mentionne d'ailleurs pas clairement une procédure à suivre pour cela, de notre côté nous avons donc opté dans un premier temps pour une règle au sein du fichier .htaccess :

RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://ADRESSE.DOMAINE/$1 [R=301,L]

Attention néanmoins à bien vous assurer que l'ensemble de vos ressources est accessible via HTTPS (images, iFrames, vidéos, scripts, etc.) afin d'éviter d'avoir à faire face à des erreurs pour cause de mixed content. N'activez ainsi une redirection que si vous êtes sûr que l'ensemble de votre site est adapté à un accès HTTPS.

Quelques petits détails à connaître

Nous avons profité de l'occasion pour poser la question au support, qui nous a indiqué (assez rapidement) qu'une page dédiée était en place au sein de la documentation sur l'accès HTTPS. On peut y lire que « Online.net propose maintenant le HTTPS sur tous ses Hébergements par défaut. Le certificat est généré automatiquement par Let's Encrypt ».

Il existe certaines conditions assez spécifiques pour y avoir accès. Comme nous l'avions précisé, cela concerne les offres Cloud et Web. Dans le cas d'un sous-domaine, il faut qu'il soit créé depuis l'administration de votre hébergement. De plus, le domaine doit disposer d'une entrée DNS spécifique :

  • vers pfXXX.mutu-perf.online.net [212.47.231.228] (champs A sur le domaine et A ou CNAME pour chaque sous-domaine) (ou A * / CNAME *)
  • vers 62.210.16.61 ou 62.210.16.62 ou encore pf*-web.online.net oú * est votre plateforme d'hébergement WEB (champs A sur le domaine et A ou CNAME pour chaque sous-domaine)

Lors de notre essai, le domaine était géré directement par Online.net et rattaché à l'hébergement. Aucune manipulation spécifique n'était nécessaire, cette règle étant surtout utile pour ceux qui gèrent leur domaine via un autre service.

L'hébergeur précise que ceux qui veulent « désactiver » le certificat peuvent le faire en activant une redirection forcée vers la version HTTP. Ce n'est ainsi pas vraiment une désactivation, mais cela aura pour effet de ne plus laisser d'accès à la version HTTPS du site. La règle à placer dans le fichier .htaccess est la suivante :

RewriteEngine On
RewriteCond %{HTTP:HTTPS} on
RewriteRule (.*) http://%{SERVER_NAME}/$1 [QSA,L,R=301]

chargement
Chargement des commentaires...