Forcer le Mode HTTPS

Bonsoir,

J’ai vu dans le Wiki : Informations de Sécurité

"Dolibarr intègre les mécanismes de sécurité suivant :

Cryptage

Cryptage des mots de passe utilisateurs en base [*7] [*8].
Cryptage possible du mot de passe technique de la base de donnée dans le Fichier de configuration (conf.php) [*8].
Possibilité de forcer le mode HTTPS [*9]. "

Je ne trouve pas le « renvoi [*9] » qui, je pense devrait documenter la méthode de « Possibilité de forcer le mode HTTPS ».

Les cryptages j’ai fait. Reste plus que le HTTPS.

Si une bonne âme pouvait me dire comment faire?

Merci d’avance.

Knightrider.

(Dolibarr 3.3.1 sur hebergement mutualisé 1&1 Linux)

Salut Knightrider,

Edite le fichier de config " /etc/dolibarr/conf.php " (si tu es sur Linux Débian et Ubuntu)
et passe le champs de « 0 » à « 1 »

$dolibarr_main_force_https=‹ 0 ›;

à

$dolibarr_main_force_https=‹ 1 ›;

A+++

Bonjour,
Il faut également modifier les URL du fichier conf avec https
Pour les mot de passe, il suffit de rajouté dans Configuration->divers la variable DATABASE_PWD_ENCRYPTED a 1 et éventuellemnt mettre a null la colonne password dans llx_user

Cdt.

EDIT :
Par rapport a la remarque de Philazerty ci dessous, la variable DATABASE_PWD_ENCRYPTED, c’est la même chose que Acceuil->securité-> Encrypté le mot de passe.

1 « J'aime »

Bonjour à tous !

Qelle différence entre la variable que tu cites et l’option Dolibarr dans Configuration/Sécurité/Mot de passe/Chiffrer le mot de passe de la base dans le fichier conf.php (Activation recommandée)
A noter qu’il me semble que cette dernière est réversible, la désactiver rétabli les password en clair donc sécurité moyenne. L’option par la variable propose t-elle une différence ?
[edit] Je complète, désactiver l’option de cryptage des password ne rétabli en clair dans la base sauf si vous renouvelez le password. Par contre ça fonctionne pour le fichier conf.php Ne serait ce pas utile que ce soit irréversible ?

Pour forcer le HTTPS, il faut mettre
$dolibarr_main_force_https=‹ 1 ›;
dans le fichier conf.php de dolibarr
Si cela ne fonctionne pas, mettre
$dolibarr_main_force_https=‹ https://myinstance.myserver.com/ ›;

Ceci a juste pour effet de forcer le https. Cela suppose que le https a été installé sur le serveur web.

2 « J'aime »

Merci de vos réponses.

J’étais absent et n’ai pu vous répondre plutôt.

Je suis vraiment un « NewBie ». Ça ne fonctionne pas après avoir suivit vos recommandations.

Seul point que je ne sais pas vérifié, c’est si le HTTPS est installé sur le serveur.

Je suis chez 1&1 en mutualisé Linux (je ne sais même pas quelle version est quelle distribution c’est!)

Y’a-t-il une méthode pour vérifier que HTTPS est installé où faut-il que je leur demande?

Merci encore pour vos réponses.

Knightrider

Une petite recherche sur la toile et on trouve ça ou ça, est-ce que ça n’apporte pas une réponse par rapport à la question ?

Bonjour,
Le premier test pour vérifier si vous avez un accès en https c’est de taper l’adresse de votre site ou installation dolibarr avec https://www.votre_nom.com par exemple.

Sinon, vérifiez auprès du support 1&1 que votre offre permet bien le https et si oui avec quel adresse ? J’ai cru lire qu’il fallait utiliser dans certains cas https://ssl.1and1.fr/votre_nom

@+

Merci à M. Pintor et Philazerty.

J’ai parcouru les liens et la FAQ de 1&1. Je pense qu’il faut acquérir un certificat SSL et faire configurer le Proxy, car en appliquant la méthode de Philazerty, le navigateur répond :
« Error : SSL-Proxy not configured. The SSL Proxy service is not configured for the request domain. »

J’ai essayé de mettre un fichier .htaccess comme dit dans les liens et la FAQ 1&1, sans plus de succès (j’avais d’ailleurs commencé par là).

Comme le dit Eldy, il faut que le HTTPS soit installé, et je pense qu’il faut donc passer par 1&1 et un certificat SSL pour accéder au proxy SSL de 1&1.

Visiblement dans les FAQ de 1&1 ils disent qu’il faut un certificat SSL GeoTrust :

http://faq.1and1.fr/domaines/ssl/9.html

Je vais les appeler demain (1&1) et vous tiendrai informés.

Si vous avez d’autres idées, je suis toujours preneur.

Merci.

Knightrider

Bonsoir Tout le monde,

Bon je reviens vers vous concernant ce problème de HTTPS et sa mise en place sur pack 1&1 Business.

Pour faire court (enfin pas si court que ça!!!) :

1 - Dans le pack Business, il y a inclus un certificat SSL (dans les autres Packs, il y a possibilité d’en acquérir un), qu’il faut activé. Le Certificat SSL est délivré par GéoTrust. tout ce passe dans l’interface de gestion du compte (tout est expliqué dans la FAQ).

ATTENTION : si vous avez plusieurs domaines ou / et sous domaines, bien sélectionner le domaine ou sous domaine que vous désirez certifier. (moi j’ai certifié le domaine principal de mon site Web et ensuite redisposé Dolibarr dans un des sous-répertoires - comme ça Dolibarr est aussi certifié, et si vous avez une boutique etc… tout est certifié)

Exemple de chemin d’accès https:// https://www.mondomaine.fr/mon_repertoire_dolibarr/htdocs/

2 - Bien penser à changer tous les paramètres dans conf.php comme dit plus haut par Florian, et le remettre en lecture seule.

3 - Petite info concernant 1&1 et ses services mutualisés Linux : il est impossible de placer un certificat, s’il n’est pas délivré par 1&1 (si vous avez déjà un certificat vous ne pourrez pas le mettre, il faudra obligatoirement en demander un par l’entremise de 1&1 à GéoTrust). D’autre part le domaine ou sous-domaine devra obligatoirement être sur votre hébergement 1&1. il est impossible d’utiliser un certificat SSL sur une redirection DNS (si par exemple votre domaine ou sous-domaine est hébergé par un autre hébergeur que 1&1).

4 - Merci encore à tous pour vos réponses qui m’ont permis d’avancer.

5 - Question subsidiaire : je n’arrive pas à forcer la redirection sur le site en HTTPS si on tape http. j’ai du louper quelque chose dans le .htaccess. Pas trop grave car pour atteindre mon dolibarr il faut obligatoirement tapper https. Mais si quelqu’un peu m’aider ce serait top que mes visiteurs soient automatiquement redirigés en HTTPS sur mon site principal.

6 - J’ai encore plein de questions, mais je vais ouvrir d’autres posts.

Merci Encore

So Long

Knightrider

Au cas où il y en aurait qui chercherait encore à résoudre ce problème, il suffit d’ajouter un .htaccess dans le dossier htdocs de votre Dolibarr comme suit :

RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

chez moi ça marche nickel.
:wink: