HTTPS arrive sur Piwigo.com

Certains l’attendaient avec impatience alors que d’autres ne savent pas encore de quoi il s’agit.

HTTPS permet de chiffrer les communications entre votre navigateur web et le site web que vous visitez. En l’occurence votre Piwigo. C’est particulièrement utile pour le formulaire d’identification bien sûr ! Votre mot de passe ne transite plus “en clair” sur les “noeuds du réseau internet”. Dans votre box internet, sur les serveurs de votre fournisseur d’accès et au final sur les serveurs Piwigo.com.

HTTPS en action, avec son certificat SSL !

HTTPS en action, avec son certificat SSL !

Comment en profiter ?

Pour le moment, Piwigo ne bascule pas automatiquement en HTTPS. Il faut donc basculer manuellement. Dans la barre d’adresse de votre navigateur web, ajoutez “s” à la fin de “http” et voilà !

D’ici quelques jours ou semaines, Piwigo basculera automatiquement en HTTPS pour le formulaire d’identification et toute la navigation qui suit.

Pourquoi HTTPS n’était pas encore disponible ?

Piwigo.com existe depuis près de 6 ans et HTTPS existait déjà lui-même depuis longtemps. Il y a 3 raisons principales à cette attente :

1) Piwigo est une application de gestion de photos en ligne, pas une banque. Le niveau de sécurité requis n’a pas été considéré comme suffisamment critique pour en faire une priorité. Donc comparée à d’autres fonctionnalités, la mise à disposition du HTTPS a pris du temps.

2) l’application Piwigo et ses projets satellites, sans prendre en considération l’hébergement Piwigo.com, ont nécessité des adaptations pour être compatibles HTTPS. Aujourd’hui on peut dire que Piwigo gère très bien cela, de même que les adresses multiples, avec ou sans HTTPS. Piwigo s’adapte automatiquement. Ceux qui ont eu l’occasion de traiter ce sujet avec d’autres applications web comprendront vite quelles difficultés Piwigo permet d’éviter.

3) l’infrastructure multi-serveur de Piwigo.com, massivement multi-site en utilisant des sous-domaine *.piwigo.com a rendu complexe la mise en place du chiffrement. Sans trop rentrer dans les détails, et pour ceux que cela intéresse, nous utilisons un certificat SSL wildcard Gandi. Le reverse proxy Nginx l’utilise en frontal, mais également Nginx sur les serveurs d’hébergement : toutes les communications sont chiffrées entre nos serveurs.

Et pour les noms de domaine personnels ?

11,5% des comptes Piwigo.com utilisent un nom de domaine personnel, c’est à dire que l’adresse de leur Piwigo n’est pas uniquement en *.piwigo.com. Les certificats SSL, qui permettent de faire fonctionner HTTPS, sont propres à chaque nom de domaine.

Vous pouvez quand même essayer de passer en HTTPS sur un nom de domaine personnel hébergé sur Piwigo.com. Votre navigateur va afficher un avertissement de sécurité énorme, mais cela fonctionnera, si vous dites à votre navigateur web que vous comprenez le risque.

La solution qui semble évidente aujourd’hui, c’est la récente initiative Let’s Encrypt. Elle nous permettra de générer des certificats SSL pour vos noms de domaine personnel, qui ne feront pas crier les navigateurs web. On bossera dessus bientôt. C’est la prochaine “grosse étape” du passage en HTTPS.

7 réponses à “HTTPS arrive sur Piwigo.com”

  1. pascaud jean-pierre 26 août 2016 à 18 h 52 min

    Bravo, continuez à faire de votre mieux comme toujours ! merci et longue vie à Piwigo

    Répondre

  2. Je ne savais pas ce dont il s’agit, mais c’est surement très bien :-))))
    Bonne continuation
    Lili

    Répondre

  3. Petit HS : vos mails arrivent directement dans mes spams (et sans doute dans les spams de tous vos utilisateurs ayant une adresse GMail) car “Il(s) ne respecte(nt) pas les consignes de Google destinées aux expéditeurs de messages” :

    https://support.google.com/mail/answer/81126?hl=fr#authentication

    Répondre

    1. Merci pour l’information ! Nous sommes en train d’essayer d’améliorer ça, on espère que cela va changer !

      Répondre

  4. Bonjour Pierrick,

    Des nouvelles du HTTPS pour les comptes Piwigo.com utilisent un nom de domaine personnel ?

    Merci beaucoup… ;o)

    Répondre

    1. On a un système qui fonctionne pour le HTTPS “nom de domain personnalisé”. Il vient d’être déployé pour votre compte Piwigo.com. On prévoit de bientôt le généraliser (et on l’intègre systématiquement pour les nouveaux noms de domaine).

      Répondre

  5. Yep… super !!!

    Merci Pierrick… ;o)

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.