On a migré nos sites en full HTTPS !

Forum PHP 2017 - 26 octobre 2017

@srogier / srogier

Pour plus d'informations

Tapez "s" pour ouvrir les notes de présentation.

On a migré nos sites en full HTTPS !

Je vais vous parler de HTTPS et de la migration que nous avons faite pour l’utiliser systématiquement sur nos différents sites. Une connexion sécurisée était bien sûr déjà en place sur notre tunnel de commande, sur les comptes clients, partout où des données sensibles transitent.

Mais depuis longtemps déjà, nous avions en tête d’utiliser partout HTTPS sur notre site. Et au final ce projet est toujours resté dans un coin de notre feuille de route.

Sauf qu’un matin de janvier 2017, après une mise à jour de Firefox, on a constaté que sur certaines de nos pages, lorsque la popin de connexion était chargée, nous avions une alerte de sécurité qui apparaissait dans la barre de navigation nous indiquant que la connexion n’était pas sécurisée.

Et voilà comment on fait pour remonter un projet de migration vers du full HTTPS en haut de la pile des choses à faire.

Je vais donc vous présenter pourquoi HTTPS est important, notre migration, les différentes étapes qui l'ont constituée et les effets que nous avons constatés.

Decitre.fr

L'équipe technique

6 personnes
Nous gérons :
- e-commerce B2C (decitre.fr et ses marques blanches)
- e-commerce B2B (decitrepro.fr)
- ORB, un outil de recherche bibliographique

Decitre.fr

Le site

4,2 millions de pages vues par mois
1,8 million de produits

HTTPS

HTTPS, c'est quoi ?

HTTP + TLS/SSL

Chiffrement des données
Authentification du serveur
Intégrité des données

TLS : Transport Layer Security
SSL : Secure Socket Layers

HTTPS : combinaison de HTTP avec en amont une étape de chiffrement fournies par les protocoles SSL + TLS.

permet de garantir 3 choses

chiffrement des données d’un bout à l’autre de la chaîne. Les données ne transitent pas en clair et ne peuvent être déchiffrées que par le client et le serveur. Par exemple qqn qui écoute une connexion non sécurisée sur Wifi Public
authentification du serveur. validité de l’identité du serveur peut être vérifiée à l’aide d’un certificat.
intégrité des données échangées. Chaque message contient mécanisme de vérification qui permet de détecter si celui-ci a été altéré.

HTTPS, c'est quoi ?

60% des requêtes tous sites confondus dans Firefox

Source : Firefox Telemetry

Alertes de sécurité dans les navigateurs

Les enjeux de notre migration

Sécurité
Rassurance et confiance de nos clients
Performance Web
Positionnement Google

Quels sont enjeux de notre migration et quel intérêt on a à tout passer en full HTTPS ?

ok, on n’aura plus ces alertes, mais ce sont les raisons pour lesquelles ces alertes sont là qui sont à prendre en compte.

La + importante, aspect sécurité. En utilisant connexion chiffrée, informations échangées entre client et serveur ne peuvent être volées si jamais connexion écoutée.

Ensuite visuellement, on souhaite avoir site sans alerte de sécurité, avec beau cadenas vert affiché tout le long du parcours de nos clients pour le rassurer et qu’il ait confiance en notre site

pour la perf web, avoir HTTPS va nous permettre activer HTTP/2 partout et bénéficier optimisations liées à fonctionnement.

positionnement des sites dans google devrait également s’améliorer. Utilisation connexion sécurisée a priori privilégiée par moteur de recherche. devrions donc avoir plus de trafic vers nos sites provenant Google et ses collègues.

Nos contraintes

Éviter les coupures
Scénarios itératifs et réversibles
Site par site
Sans casser le SEO

SEO : Search Engine Optimization

HTTPS : comment ça marche ?

SSL puis TLS

SSL

v2 (1995)
v3 (1996)

TLS

v1.0 (1999)
v1.1 (2006)
v1.2 (2008)
v1.3 (brouillon)

TLS en détail

2 A/R pour initialiser une connexion

TLS en détail

1 A/R pour restaurer une connexion

OpenSSL

Librairie open source
Outils de chiffrement
Implémente TLS

Les certificats

Norme X.509
Délivrés par une autorité de certification
Lient des informations à une clé publique

Les certificats

Typologie d'un certificat

Plusieurs types

DV - Domain Validation
OV - Organization Validation
EV - Extended Validation

Options

Multi-domaines
Wildcard (*.decitre.fr)

https://www.troyhunt.com/on-the-perceived-value-ev-certs-cas-phishing-lets-encrypt/

Validation des certificats

Validation en temps réel avec OCSP
Côté serveur avec l'OCSP Stapling

OCSP : Online Certificate Status Protocol

Let's Encrypt

Propose des certificats gratuits

Préparation de l'infra

Notre infra, avant

Établir la terminaison TLS

Conserver le cache Varnish ?
Trouver un outil pour gérer TLS
- Hitch, NGINX, HAProxy
Et servir de reverse proxy

Notre infra, objectif

Modification de la configuration Varnish

Gestion par du cache par exclusion


if ( req.url ~ "^/(index.php/)?(vente|liste_souhait|avis|tunnel
    |compte_client|e-books/" ||
 req.url ~ "^/liste_souhait$" ||
 req.url ~ "^/contacts$" ||
 req.url ~ "^/rechercher/" ||
 req.url ~ "^/vente-flash/" ) {
     return (pass);
}

Modification de la configuration Varnish

Réécriture de la configuration
Inclusion au cas par cas
Maintenabilité et sécurité

Plutôt qu’identifier tous les nouveaux cas qu’il va falloir exclure et en sachant que de toutes manières on en oubliera, ==> choisi de nettoyer configuration Varnish et de passer en mode inclusion au cas par cas.

capable d'identifier types de page que nous souhaitons mettre en cache (produit, catégorie, résultats de recherche) ==> ajouté pour ces pages header spécifique décrivant chaque type.

Dans Varnish, lorsqu'on récupère page du magento ==> met la page en cache en fonction de la présence du Header.

Et voilà, on a désormais une configuration Varnish plus maintenable sans risque de mettre en cache des données clients.

première étape que nous avons mise en production, avant de nous attaquer à la prochaine étape : les serveurs NGINX.

Basculer HTTPS sur NGINX

https://mozilla.github.io/server-side-tls/ssl-config-generator

Basculer HTTPS sur NGINX

Valider le fonctionnement en production

Basculer HTTPS sur NGINX

Configuration et tests avec OpenSSL

echo '' | openssl s_client  -connect www.decitre.fr:443 -tlsextdebug

Basculer HTTPS sur NGINX

Bascule front par front

SSL Labs

Basculer vers du full HTTPS

Préparer la migration

S'inspirer des retours d'expérience

Yelp
A Little Market
Google
Stack Overflow

Liens disponibles sur https://srogier.fr/conferences/liens-migration-https.html

Détecter et corriger les Mixed Contents

Contenu non sécurisé sur des pages en HTTPS

Détecter et corriger les Mixed Contents

Utiliser HTTPS pour :

les images
les scripts externes
les iframes
...
en fait, toutes les ressources appelées

Détecter et corriger les Mixed Contents

Si HTTPS n'est pas disponible ⇒ reverse proxy


server {
    listen 443 ssl http2;
    server_name aide-ebook.decitre.fr;

    [...]

    location / {
        proxy_pass http://aide-numerique.decitre.fr;
    }
}

Détecter et corriger les Mixed Contents

Nettoyage des contenus CMS

return preg_replace('~(src=[\'"]http):~', '$1s:', $cms);

CSP report

Content Security Policy
Filtrer les ressources utilisées sur le site

A priori, tout est bon. Mais quand millions de pages ==> peut pas valider manuellement toutes ces pages et s’assurer pas de mixed content.

En fait, pour aider détecter cela il existe les CSP.

permet de définir des règles sur l’origine des ressources utilisées sur une page (que ce soit sur le domaine, le type de protocole et ce par type de ressource).

Par exemple ==> indiquer que les js de mon site doivent être https obligatoirement, appartenir aux domaines decitre.fr et google-analytics.

Toutes autres ressources javascripts ne répondant pas à ces règles seront bloquées par le navigateur.

C’est donc un mécanisme plutôt efficace.

CSP report


Content-Security-Policy-Report-Only
    default-src 'self' https:;
    style-src 'unsafe-inline' 'self' https:;
    script-src 'unsafe-inline' 'unsafe-eval' 'self'  https:;
    img-src data: 'self' https:;
    report-uri https://monapi/csp_report

https://github.com/nico3333fr/CSP-useful

Il existe un second mode dit Report-Only ==> tester les règles sans bloquer chargement des ressources + appelle une API en cas de détection ressource invalide.

Voilà règle branchée via une header HTTP ==> si js, image, ou iframe qui n’utilise pas HTTPS ==> notifie l’api mentionnée dans la règle.

Cette API ==> configuré pour qu’elle envoie ces erreurs vers notre compte New Relic ===> nous nous sommes fait monitoring des mixed content dans navigateurs de nos clients grâce à tout ça.

Super !! Bon, en vrai, très bruyant. ==> En fait, extensions, pseudo antivirus et autres saletés installés sur postes clients ==> ont tendance à poser bouts de scripts un peu partout et donc sur nos pages ==> Scripts déclenchent une notification de CSP.

Et au final, quasiment reçu que ce genre d’alertes.

Si sujet vous intéresse, ===> dépôt de Nicolas Hoffmann sur le fonctionnement des CSP ==> recense et décrit ces alertes.

Bref, pour nous beaucoup de bruit, mais permis tout de même de détecter un oubli au début de la migration.

Finalement, un mois après ==> désactivé le report only de nos sites, car toutes ces fausses alertes rendaient analyse fastidieuse et inutile.

Anticiper les besoins en certificats

Avant

www.decitre.fr
a.decitre.di-static.com et b.decitre.di-static.com

Après

www.decitre.fr
decitre.di-static.com

Qui dit https dit certificat. ==> phase de préparation ==> lister les domaines utilisés et réfléchir à ceux qu’on va souhaiter utiliser en https.

important de bien lister les domaines utilisés ==> anticiper ceux besoin

en fonction du type de certificat, il peut mettre de qq heures à plusieurs jours pour être livré.

important pour ne pas avoir trop de surprise avant la bascule.

Dans le cas de decitre.fr, on avait deux domaines supplémentaires utilisés en HTTP uniquement pour charger les images du site

choisi de ne pas conserver ces deux domaines

prévu des redirections pour gérer les anciennes urls lors de la bascule.

Adapter le Magento

Suppression de redirections forcées vers HTTP
Suppression d'URL en dur

Premiers tests en pré-production

Certificats gratuits à volonté avec Let's Encrypt
Validation du comportement global

Éviter la duplication de contenu

Contrôler les URL canoniques
Redirections 301 vers les pages HTTPS

Planification de la bascule

Site par site
4 migrations sur deux semaines

Le jour J

Changement des URL

Vidage du cache

Le jour J

Activer les redirections

Le jour J

\o/

Le jour J

Création nouveau site dans Search Console

Le jour J

Nettoyage robots.txt
Nouvelles sitemaps
Portage de la configuration
Fetch And Render

Après la migration

Les ratés

Plus de IE8/WinXP :(

Activer HTTP/2

Compression des entêtes HTTP
Push de contenu
Multiplexage des requêtes

Activer HTTP/2


--- a/conf_nginx/www.decitre.fr.conf
+++ b/conf_nginx/www.decitre.fr.conf
@@ -1,5 +1,5 @@
 server {
-    listen 443 ssl;
+    listen 443 ssl http2;

     server_name www.decitre.fr;

Activer HTTP/2

Pour Debian 8

Utiliser ALPN
Mettre à jour OpenSSL à partir des backports
Recompiler NGINX

ALPN gère négociation des protocole lors du handshake TLS

Donc pas d’ALPN, pas HTTP/2.

pb particulier à notre infra ==> si debian stable ==> pas de problème

problème ==> ALPN pas fourni avec la version openssl de debian jessie.

échangé avec notre hébergeur et décidé d’installer backports d’openssl pour récupérer une version plus récente.

dû également recompiler NGINX avec cette version de Openssl pour que tout fonctionne comme il faut.

Et là c’est bon.

Pas mal de temps passé sur cette configuration HTTP/2, le temps de comprendre le comportement des navigateurs et leur utilisation de ALPN.

Amélioration de la performance web ?

Légère augmentation du temps de réponse

Monitorer le trafic

Surveillance quotidienne
Répartition des codes retours HTTP

Crawl Google

Impact SEO

Nombre de sessions venant de Google équivalentes

mai 2016 vs mai 2017

juillet 2016 vs juillet 2017

hausse de 40 %

37:00 Google nous crawle plus, mais y a-t-il eu un impact sur le trafic du site ?

en orange le nb de session venant de google en 2016

en bleu : 2017

Nous avons fait la bascule à la fin du mois d’avril. De janvier 2017 jusqu’à mi mai, nous étions sur des performances équivalentes en comparaison par rapport à l’année précédente en ce qui concerne le trafic issu des moteurs de recherche.

[CLICK]

Par contre, depuis mi-mai, nous constatons une forte progression de ce trafic.

Dans Google Analytics, on peut voire une hausse de 40% du nombre de session venant de Google par rapport à l’année précédente.

Même si on a eu des chantiers SEO d'optimisation de contenu sur la même période, par rapport au volume, la bascule HTTPS semble être à l’origine de ce surplus de trafic.

TLS, c'est lent ?

TLS has exactly one performance problem:
it is not used widely enough.
Everything else can be optimized.
Ilya Grigorik

https://istlsfastyet.com/

Pour aller plus loin

HSTS
TLS 1.3

HSTS (HTTP Strict Transport Security) est un mécanisme qui permet graĉe à un Header HTTP de dire au client qu’il doit communiquer avec le serveur de manière sécurisée uniquement. Ainsi le navigateur passera de lui-même tout lien de HTTP à HTTPS.

Evite de faire le redirect côté serveur

Une fois validé et publié, utiliser TLS 1.3 sur nos serveurs.

L’une des promesses de TLS 1.3 est revoir la manière dont le client va initialiser la connexion en l'init TLS à un seul A/R pour premier cxion

Et même à 0 AR en cas de de réutilisation de session

et aussi de proposer des suites cryptographiques plus robustes.

Il faudra donc qu’on surveille dans les prochains mois l'évolution de la prochaine version de TLS.

Allez-y !

Voilà pour le retour de notre migration vers du tout HTTPS. Alors oui, au final, l’opération s’est résumé à ça : ajouter un s à nos url.

Mais pour, ce chantier s’est étalé de fin janvier à fin avril pour la mise en production de decitre.fr. Chez nous, la migration de la plateforme e-commerce a été faite en un peu plus de 15JH. Cela s’explique notamment par les différentes étapes sur l’infra.

Nous avons également fait cette bascule sur notre outil de recherche bibliographique, qui a une stack plus simple, et qu’on a pu migrer en un 1JH. Tout dépend de la complexité et la criticité des projets.

Alors certes, c’est une intervention qui peut être risquée, mais bien préparée et bien anticipée, on permet de limiter ces risques, avec au final pas mal de gains à la fin.

J’espère en tout cas que notre retour d’expérience pourra convaincre ceux qui parmi vous n’ont pas encore franchi ce pas.

De toutes manières, Navigateurs et moteurs de recherche sauront vous y inciter.

Des questions ?

https://joind.in/talk/70ae4

Retrouvez les différentes sources et outils mentionnés
https://srogier.fr/conferences/liens-migration-https.html

@srogier

On a migré nos sites en full HTTPS !

Forum PHP 2017 - 26 octobre 2017

Pour plus d'informations

On a migré nos sites en full HTTPS !

Decitre.fr

L'équipe technique

Decitre.fr

Le site

HTTPS

HTTPS, c'est quoi ?

HTTPS, c'est quoi ?

Alertes de sécurité dans les navigateurs

Alertes de sécurité dans les navigateurs

Les enjeux de notre migration

Nos contraintes

HTTPS : comment ça marche ?

SSL puis TLS

TLS en détail

TLS en détail

TLS en détail

TLS en détail

TLS en détail

OpenSSL

Les certificats

Les certificats

Typologie d'un certificat

Validation des certificats

Let's Encrypt

Préparation de l'infra

Notre infra, avant

Établir la terminaison TLS

Notre infra, objectif

Modification de la configuration Varnish

Modification de la configuration Varnish

Basculer HTTPS sur NGINX

Basculer HTTPS sur NGINX

Basculer HTTPS sur NGINX

Basculer HTTPS sur NGINX

SSL Labs

Basculer vers du full HTTPS

Préparer la migration

Détecter et corriger les Mixed Contents

Détecter et corriger les Mixed Contents

Détecter et corriger les Mixed Contents

Détecter et corriger les Mixed Contents

CSP report

CSP report

Anticiper les besoins en certificats

Adapter le Magento

Premiers tests en pré-production

Éviter la duplication de contenu

Planification de la bascule

Le jour J

Le jour J

Le jour J

Le jour J

Le jour J

Le jour J

Après la migration

Les ratés

Activer HTTP/2

Activer HTTP/2

Activer HTTP/2

Amélioration de la performance web ?

Monitorer le trafic

Crawl Google

Impact SEO

TLS, c'est lent ?

Pour aller plus loin

Allez-y !

Des questions ?

Visuels utilisés