Fonctionnement de SSL
Dans le cours .NET Core MVC, vous avez appris à intégrer SSL dans un Azure App Service pour affecter un domaine personnalisé. Révisons rapidement ce que nous avons appris dans ce cours :
Configurez un domaine personnalisé L’attribution d’un domaine personnalisé à votre application est une bonne chose, et vous pouvez le faire pour n’importe quel Azure App Service. Nous ne vous demanderons pas, dans le cadre de ce cours, d'attribuer un nom de domaine personnalisé à votre application. Ce serait trop coûteux pour un projet pédagogique comme celui-ci. Toutefois, nous voulons que vous sachiez comment procéder au cas où vous souhaiteriez le faire par la suite. Voici les éléments que vous devez prendre en compte et faire avant d’attribuer un domaine personnalisé :
Pour limiter le coût de ce cours pour les élèves, nous n'irons pas plus loin sur le sujet. Cela vous donne au moins une idée de ce que vous devrez faire lorsque vous serez prêt à attribuer un domaine personnalisé à l’une de vos applications. |
SSL est obligatoire pour configurer un domaine personnalisé pour un App Service sur Azure, mais cette obligation n'est pas la seule raison de l'utiliser, loin s'en faut. L'utilisation de SSL et l'imposition d'une connexion HTTPS pour accéder à votre site Web ou à votre application assure aux utilisateurs que les informations qu'ils communiquent sur votre site sont protégées. En vérité, sans eux, vos visiteurs n'arriveront peut-être même jamais sur votre site. Leur navigateur pourrait en effet afficher ce type de message :
Voilà qui n'inspire guère confiance ! Je suis certain que vous avez déjà vu ce type de message. Et dans ce cas, sauf si vous avez la certitude que le site que vous voulez consulter est valide et sans danger (si vous l'avez vous-même créé, par exemple), vous n'avez sans doute pas cherché à aller plus loin.
Pour générer du trafic, vous devez éviter ce type d'avertissement, et c'est pour cette raison que le SSL est si important.
Notez que tous les services fournissant des certificats SSL ne sont pas payants. Certains acteurs estiment que la sécurité en ligne devrait être gratuite pour tous. C'est par exemple le cas de Let’s Encrypt, une autorité de certification gratuite, ouverte et automatisée. Il existe d'autres services SSL gratuits, mais gardez à l'esprit que tous ne se valent pas. Veillez à en choisir un qui a bonne réputation. Les services gratuits peuvent demander un petit travail supplémentaire pour maintenir la sécurité de votre site. Toutefois, si votre budget est limité, il s'agit d'un bon compromis.
Imposez HTTPS
Imposer HTTPS comme protocole à utiliser sur vos applications est très simple, et cela ne prend que quelques instants. Cette mesure permet de garantir que les données transmises depuis votre site sont chiffrées et renforce un peu le sentiment de sécurité des visiteurs.
Le plus simple consiste à le faire à partir d'Azure. Vous pouvez attribuer cette obligation à l'App Service qui contient votre application.
1. Accédez à l'App Service concerné dans votre compte Azure.
2. Recherchez le lien Paramètres TLS/SSL dans le menu de navigation de gauche et cliquez dessus.
3. Activez le bouton HTTPS uniquement en cliquant dessus.
Et voilà, c'est terminé ! Il n'y a vraiment aucune raison de ne pas activer une fonctionnalité aussi simple, qui donnera à vos visiteurs un peu plus de tranquillité d'esprit. Je vous recommande de faire de cette petite étape une norme pour toutes vos applications Web.
En résumé
Ce chapitre conclut notre cours sur la sécurisation des applications Web ASP.NET Core. Dans ce chapitre :
Nous avons insisté sur l'importance de SSL.
Nous avons appris comment imposer l'utilisation du protocole HTTPS pour vos applications.
Essayons maintenant de faire le point sur toutes ces compétences !
