HTTPS arrive sur Piwigo.com

Certains l’attendaient avec impatience alors que d’autres ne savent pas encore de quoi il s’agit.

HTTPS permet de chiffrer les communications entre votre navigateur web et le site web que vous visitez. En l’occurence votre Piwigo. C’est particulièrement utile pour le formulaire d’identification bien sûr ! Votre mot de passe ne transite plus « en clair » sur les « noeuds du réseau internet ». Dans votre box internet, sur les serveurs de votre fournisseur d’accès et au final sur les serveurs Piwigo.com.

HTTPS en action, avec son certificat SSL !

HTTPS en action, avec son certificat SSL !

Comment en profiter ?

Pour le moment, Piwigo ne bascule pas automatiquement en HTTPS. Il faut donc basculer manuellement. Dans la barre d’adresse de votre navigateur web, ajoutez « s » à la fin de « http » et voilà !

D’ici quelques jours ou semaines, Piwigo basculera automatiquement en HTTPS pour le formulaire d’identification et toute la navigation qui suit.

Pourquoi HTTPS n’était pas encore disponible ?

Piwigo.com existe depuis près de 6 ans et HTTPS existait déjà lui-même depuis longtemps. Il y a 3 raisons principales à cette attente :

1) Piwigo est une application de gestion de photos en ligne, pas une banque. Le niveau de sécurité requis n’a pas été considéré comme suffisamment critique pour en faire une priorité. Donc comparée à d’autres fonctionnalités, la mise à disposition du HTTPS a pris du temps.

2) l’application Piwigo et ses projets satellites, sans prendre en considération l’hébergement Piwigo.com, ont nécessité des adaptations pour être compatibles HTTPS. Aujourd’hui on peut dire que Piwigo gère très bien cela, de même que les adresses multiples, avec ou sans HTTPS. Piwigo s’adapte automatiquement. Ceux qui ont eu l’occasion de traiter ce sujet avec d’autres applications web comprendront vite quelles difficultés Piwigo permet d’éviter.

3) l’infrastructure multi-serveur de Piwigo.com, massivement multi-site en utilisant des sous-domaine *.piwigo.com a rendu complexe la mise en place du chiffrement. Sans trop rentrer dans les détails, et pour ceux que cela intéresse, nous utilisons un certificat SSL wildcard Gandi. Le reverse proxy Nginx l’utilise en frontal, mais également Nginx sur les serveurs d’hébergement : toutes les communications sont chiffrées entre nos serveurs.

Et pour les noms de domaine personnels ?

11,5% des comptes Piwigo.com utilisent un nom de domaine personnel, c’est à dire que l’adresse de leur Piwigo n’est pas uniquement en *.piwigo.com. Les certificats SSL, qui permettent de faire fonctionner HTTPS, sont propres à chaque nom de domaine.

Vous pouvez quand même essayer de passer en HTTPS sur un nom de domaine personnel hébergé sur Piwigo.com. Votre navigateur va afficher un avertissement de sécurité énorme, mais cela fonctionnera, si vous dites à votre navigateur web que vous comprenez le risque.

La solution qui semble évidente aujourd’hui, c’est la récente initiative Let’s Encrypt. Elle nous permettra de générer des certificats SSL pour vos noms de domaine personnel, qui ne feront pas crier les navigateurs web. On bossera dessus bientôt. C’est la prochaine « grosse étape » du passage en HTTPS.

Ce contenu a été publié dans Général, avec comme mot(s)-clé(s) . Vous pouvez le mettre en favoris avec ce permalien.

2 réponses à HTTPS arrive sur Piwigo.com

  1. pascaud jean-pierre dit :

    Bravo, continuez à faire de votre mieux comme toujours ! merci et longue vie à Piwigo

  2. Lilibon dit :

    Je ne savais pas ce dont il s’agit, mais c’est surement très bien :-))))
    Bonne continuation
    Lili

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *