Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sur la route vers le HTTPS partout WebCampDay Angers

1,415 views

Published on

Sur la route vers le HTTPS partout WebCampDay Angers

Published in: Technology
  • Be the first to comment

Sur la route vers le HTTPS partout WebCampDay Angers

  1. 1. @aysunakarsu @searchdatalogy #webcampday Sur la route vers le HTTPS partout Aysun Akarsu WebCampDay Angers 19 Mai 2017
  2. 2. @aysunakarsu @searchdatalogy #webcampday Bonjour! Je suis Aysun Akarsu Fondatrice & Blogueuse SearchDatalogy https://www.searchdatalogy.com/blog/
  3. 3. @aysunakarsu @searchdatalogy #webcampday “Lorsque j'ai prononcé les mots «Quels sont les défis pour rendre notre site web entièrement https?» en 2013, je savais que ce n'était pas simple. Je n'aurais pu deviner la complexité actuelle. Au moins, tout le monde a convenu que c'était vraiment une bonne chose que nous devrions viser à faire avec les révélations de Snowden à l'époque, mais ce n'était pas comme créer un site à partir de rien. Les avantages de passer à HTTPS et finalement HSTS ont été compris. L'extension de la vie privée des utilisateurs de la surveillance et l'engagement de la confiance dans l'authenticité du site ne sont pas seulement de bonnes pratiques de sécurité, mais aussi des éléments permettant de créer une meilleure relation avec vos consommateurs. … nous avons presque construit à partir de zéro en migrant l'hébergement et les composants CMS au cours des 3 dernières années. Le site que vous voyez maintenant est le triomphe du design et de l'effort. Bravo à tous les participants. David Boxall Responsable de la sécurité de l’information chez Guardian News & Media
  4. 4. @aysunakarsu @searchdatalogy #webcampday 1 HTTPS HyperText Transfer Protocol Secure
  5. 5. @aysunakarsu @searchdatalogy #webcampday TLS Transport Layer Security
  6. 6. @aysunakarsu @searchdatalogy #webcampday Transport Layer Security ■ Secure Sockets Layer (SSL) ■ Transport Layer Security (TLS) ■ TLS remplacé SSL
  7. 7. @aysunakarsu @searchdatalogy #webcampday Transport Layer Security ■ Authentification ■ Cryptage ■ Intégrité des données
  8. 8. @aysunakarsu @searchdatalogy #webcampday 2 Bon pour quoi?
  9. 9. @aysunakarsu @searchdatalogy #webcampday HTTPS ■ Intégrité du site ■ Confidentialité et sécurité de l'utilisateur Protège
  10. 10. @aysunakarsu @searchdatalogy #webcampday HTTPS Condition requis pour ■ HTTP2 protocole ■ amp-ad, amp-embed, amp-video, amp-form, amp-iframe Permet des fonctionnalités puissantes ■ Accès à la géolocalisation de l'utilisateur, prise de photos, enregistrement vidéo ■ Expériences et notifications d'applications hors ligne (Service Workers) Permet l’accès à la referrer data (depuis les sites HTTPS)
  11. 11. @aysunakarsu @searchdatalogy #webcampday Mission de Google 3
  12. 12. @aysunakarsu @searchdatalogy #webcampday “Google explique La sécurité est une priorité absolue chez Google. Nous investissons et travaillons pour nous assurer que nos sites et services fournissent des HTTPS modernes par défaut. Nous nous sommes engagés à faire du Web un endroit plus sûr non seulement pour les utilisateurs de Google, mais pour tous les utilisateurs. HTTPS rend difficile pour les fournisseurs de services Internet, les gouvernements et d'autres personnes de surveiller ce que vous faites en ligne.
  13. 13. @aysunakarsu @searchdatalogy #webcampday Comment Google motive pour le HTTPS? Par le SEO
  14. 14. @aysunakarsu @searchdatalogy #webcampday Comment Google motive pour le HTTPS? Par Chrome ■ Supporter HTTP2 sur Chrome uniquement si la connexion est chiffré ■ Marquer les sites HTTP comme non sécurisés sur Chrome
  15. 15. @aysunakarsu @searchdatalogy #webcampday Dates de migration HTTPS Top sites
  16. 16. @aysunakarsu @searchdatalogy #webcampday Parmi les top sites ■ Premiers à migrer vers le HTTPS ■ Derniers à apporter HTTP Strict Transport Security (HSTS) vers Google. (HSTS est sur www.google.com depuis 27/07/2016) Google était l’un des
  17. 17. @aysunakarsu @searchdatalogy #webcampday HTTPS au sein de Google
  18. 18. @aysunakarsu @searchdatalogy #webcampday L’Usage HTTPS sur Chrome
  19. 19. @aysunakarsu @searchdatalogy #webcampday HTTPS sur 100 top sites (hors Google)
  20. 20. @aysunakarsu @searchdatalogy #webcampday HTTPS sur 1M top sites
  21. 21. @aysunakarsu @searchdatalogy #webcampday 4 Les certificats TLS
  22. 22. @aysunakarsu @searchdatalogy #webcampday Les types des certificats TLS ■ DV Validation de domaine ■ OV Validation de l’organisation ■ EV Validation étendue Par la niveau de validation
  23. 23. @aysunakarsu @searchdatalogy #webcampday Les types des certificats TLS ■ Simple https://www.premieresiteweb.fr ■ Générique https://www.premieresiteweb.fr https://blog.premieresiteweb.fr https://boutique.premieresiteweb.fr ■ Multi-domaine https://www.premieresiteweb.fr https://www.deuxiemesiteweb.fr https://www.troisiemesiteweb.fr Par les domaines sécurisés
  24. 24. @aysunakarsu @searchdatalogy #webcampday Les certificats gratuits Les avantages ■ Gratuit (accepte les dons) ■ Sponsorisé par des entreprises éminentes Les inconvénients ■ Configuration TLS ■ Fournit uniquement des certificats DV ■ Ne fournit pas de certificats génériques ■ Aucun projet futur de fournir des certificats OV ou EV ■ Renouvellements Let’s Encrypt
  25. 25. @aysunakarsu @searchdatalogy #webcampday Les certificats gratuits Les avantages ■ Gratuit (demande des dons) ■ Renouvellements automatiques ■ Pas de configuration TLS Les inconvénients ■ Ne fournit pas de certificats génériques ■ Ne fournit pas de certificats OV ou EV ■ Nouveau joueur Serveur Caddy
  26. 26. @aysunakarsu @searchdatalogy #webcampday 5 HSTS HTTP Strict Transport Security
  27. 27. @aysunakarsu @searchdatalogy #webcampday HSTS Strict-Transport-Security: max-age=31536000; includeSubDomains; preload En secondes Optionnel (Conseillé) Optionnel
  28. 28. @aysunakarsu @searchdatalogy #webcampday HSTS chrome://net-internals/#hsts
  29. 29. @aysunakarsu @searchdatalogy #webcampday HSTS https://chromium.googlesource.com/chromium/src/+/master/net/http/tra nsport_security_state_static.json { "name": "wikipedia.org", "include_subdomains": true, "mode": "force-https" }, { "name": "www.facebook.com", "include_subdomains": true, "mode": "force-https", "pins": "facebook" }, { "name": "facebook.com", "mode": "force-https", "pins": "facebook" }, { "name": "twitter.com", "mode": "force-https", "pins": "twitterCom" }, { "name": "www.twitter.com", "include_subdomains": true, "mode": "force-https", "pins": "twitterCom" }, Chrome HSTS preload list
  30. 30. @aysunakarsu @searchdatalogy #webcampday 6 Avant la migration
  31. 31. @aysunakarsu @searchdatalogy #webcampday Choisissez bien votre infrastructure IT
  32. 32. https://istlsfastyet.com/
  33. 33. https://istlsfastyet.com/
  34. 34. @aysunakarsu @searchdatalogy #webcampday En cas d’utilisation de SNI http://caniuse.com/#search=sni Vérifiez les supports de serveurs et navigateurs
  35. 35. @aysunakarsu @searchdatalogy #webcampday Envisagez HTTP2 https://www.nginx.com/blog/supporting-http2-google-chrome-users/
  36. 36. @aysunakarsu @searchdatalogy #webcampday Planifiez uniquement la migration HTTPS https://www.seroundtable.com/google-url-structures-https-23084.html
  37. 37. @aysunakarsu @searchdatalogy #webcampday Pas d'accès aux utilisateurs et aux bots HTTPS
  38. 38. @aysunakarsu @searchdatalogy #webcampday ■ Certificat délivré par une autorité de certification fiable offrant un support technique ■ Choisissez une clé de 2048 bits Le certificat TLS sur le serveur pré-prod Obtenez et configurez
  39. 39. @aysunakarsu @searchdatalogy #webcampday Collectez la data ■ Crawl du site de production ■ Crawl du site de pré-production ■ Outils analytics p.ex. Google Analytics ■ Google Search Console ■ Logs du serveur web ■ Liens externes p.ex. Majestic
  40. 40. @aysunakarsu @searchdatalogy #webcampday Analysez la data (production) ■ Pages d’erreur ■ Gaspillage du crawl ■ Contenu mince ou de pauvre qualité ■ Pages orphelines
  41. 41. @aysunakarsu @searchdatalogy #webcampday ■ Status Code ■ Scheme(Protocol) sur l’URL de la page ■ Scheme(Protocol) dans les URLs des liens, web assets (images, tracking, ads, js etc) ■ Canonical tag ■ Hreflang tag ■ Meta tags (p.ex. noindex, nofollow) ■ HTTP Headers ■ Contenu Sur chaque page vérifiez Analysez la data (pré-production)
  42. 42. @aysunakarsu @searchdatalogy #webcampday Préparez ■ Planification de la section de migration (En cas de migration en sections) ■ Liste des URLs pour URL mapping ■ Liste des URLs pour monitorer les URLs ■ Sitemaps (HTTP, HTTPS) ■ Format des logs pour HTTPS
  43. 43. @aysunakarsu @searchdatalogy #webcampday Vérifiez le certificat TLS https://www.sslshopper.com/ssl-checker.html#hostname=www.searchdatalogy.com
  44. 44. @aysunakarsu @searchdatalogy #webcampday Vérifiez les défauts de configuration et de sécurité https://www.ssllabs.com/ssltest/analyze.html?d=www.searchdatalogy.com
  45. 45. @aysunakarsu @searchdatalogy #webcampday Registrez Google Search Console ■ https://exemple.com ■ https://www.exemple.com ■ https://m.exemple.com (S’il y a un site mobile sur l’origine) ■ https://fr.exemple.com (S’il y a des sous-domaines sur l’origine) ■ https://www.exemple.com/fr/ (S’il y a des repertoires sur l’origine)
  46. 46. @aysunakarsu @searchdatalogy #webcampday Configurez (sur le site de destination) Google Search Console Répliquez la configuration de l'origine ■ URLs parameters ■ Geotargeting ■ Disavow ■ Domaine préféré Soumettez Sitemaps Outils Analytics p.ex. Google Analytics
  47. 47. @aysunakarsu @searchdatalogy #webcampday 7 Prêt?
  48. 48. @aysunakarsu @searchdatalogy #webcampday Donnez l'accès aux utilisateurs et bots HTTPS
  49. 49. @aysunakarsu @searchdatalogy #webcampday Mettez en place les redirections HTTPSHTTP
  50. 50. @aysunakarsu @searchdatalogy #webcampday Collectez et analysez la data ■ Crawl du site de production ■ Logs du serveur web ■ Outils analytics p.ex. Google Analytics
  51. 51. @aysunakarsu @searchdatalogy #webcampday Mettez à jour les URLs ■ Liens de profil (p.ex. Facebook, Twitter, LinkedIn) ■ Médias détenus ■ Sites partners ■ Campagnes publicitaires
  52. 52. @aysunakarsu @searchdatalogy #webcampday 8 Après
  53. 53. @aysunakarsu @searchdatalogy #webcampday Collectez surveillez analysez la data ■ Crawl du site de production ■ Crawl de sitemaps ■ Logs du serveur web ■ Outils analytics p.ex. Google Analytics ■ Google Search Console ■ Liens externes
  54. 54. @aysunakarsu @searchdatalogy #webcampday Mettez en place le HSTS ■ Commencez à envoyer des en-tetes HSTS avec un max-age court. Strict-Transport-Security: max-age=300; includeSubDomains ■ Augmentez lentement max-age HSTS. ■ Si aucun impact sur l’audience et les moteurs de recherche, ajoutez le site à la Chrome HSTS preload list. Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
  55. 55. @aysunakarsu @searchdatalogy #webcampday “La protection de sites moins sensibles renforce la protection de sites plus sensibles https://https.cio.gov/ Le bien que nous protégeons pour nous-mêmes est précaire et incertain jusqu'à ce qu'il soit sécurisé pour nous tous et intégré à notre vie commune. Jane Addams
  56. 56. @aysunakarsu @searchdatalogy #webcampday Merci!

×