Moodle en HTTPS

Moodle en HTTPS

par Emilie Lenel,
Nombre de réponses : 20
Bonjour,
Nous nous interrogeons sur la possibilité de passer nos Moodle en HTTPS.
Actuellement, seule la connexion est sécurisée via Cas, la connexion via comptes manuels (on en a encore qq uns mais on en crée plus) n'est pas sécurisée et la navigation et activités réalisées ensuite sur la plateforme ne le sont donc pas non plus.
En creusant un peu le sujet, à priori ce serait déconseillé :  impact sur les performances, augmentation du nombre de fichiers téléchargés (due à l'implémentation des caches dans Moodle, caches non activés quand passage en https)...
https://docs.moodle.org/27/en/Performance_settings#Other_site_administration_settings_which_may_affect_performance

J'ai pourtant l'impression qu'il y a des Moodle en HTTPS, qu'en est-il de vos plateformes Moodle ? Qu'en pensez-vous ?
Merci sourire


Moyenne des évaluations  -
En réponse à Emilie Lenel

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour Émilie,

Je ne peux parler que de nos deux instances Moodle. Nous n'avons constaté aucune baisse de performance depuis notre passage en https, et à ma connaissance personne ne se plaint d'une telle baisse.

PS. Le texte de la doc que tu cites date de plus de 4 ans (octobre 2011) et a donc été écrit lorsque Moodle 2.0 était la dernière version. Entretemps, Moodle a beaucoup changé et le système de cache a été complètement revisité. Il est possible que ce texte ne reflète plus la réalité.

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Moodle en HTTPS

par Emilie Lenel,

Bonjour Nicolas, Bruno

Merci pour votre retour, ça va certainement nous faire reconsidérer la question du passage https

Quand tu dis que la doc date d'octobre 2011, où vois-tu ça, car pour ma part quand je lis en pied de page

"This page was last modified on 29 August 2014, at 15:47." je considère que c'est logiquement d'actualité, non ?..

Pour la page de doc 2.8 on a la même chose...

Merci

Emilie

Moyenne des évaluations  -
En réponse à Emilie Lenel

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Cela signifie que la dernière modification a été faite en août 2014, et cela aurait pu être une correction orthographique, par exemple (en l'occurrence, la dernière modification effectuée à cette page le 29 août 2014 est l'effacement d'une mention « New feature in Moodle 2.8 »).

En suivant ce lien : https://docs.moodle.org/28/en/index.php?title=Performance_settings&oldid=92361, tu observeras que la rédaction initiale (« Revision as of 17:19, 19 October 2011 ») de la page comporte déjà le texte cité.

PS. C'est vraiment génial, le concept de wiki.

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Moodle en HTTPS

par Emilie Lenel,

(re)bonjour Nicolas

Ok je vois maintenant comment tracer l'historique des versions.

Par contre, je vais rarement vérifier dans l'historique si une page de documentation est à jour ou pas.  Si elle est en ligne, on suppose que c'est à jour... Peux-tu indiquer comment faire pour demander que la page soit révisée si effectivement le HTTPS n'est plus un problème ? J'ai essayé de passer par "Page comments" mais il me dit que la page n'existe pas.

Sinon, est-ce que d'autres Moodlers ont de mauvaises expériences de HTTPS avec Moodle ?

Merci

Emilie

Moyenne des évaluations  -
En réponse à Emilie Lenel

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Le problème, c'est que la doc (wiki) est un effort en grande partie volontaire, et donc ainsi peu de chance que la page soit remaniée sans un peu de lobbying dans les forums en anglais.

Suggestion: poster une question dans le forum adéquat (en anglais), en posant ta question et en mentionnant l'obsolescence de la page de doc en question.

Moyenne des évaluations  -
En réponse à Emilie Lenel

Re: Moodle en HTTPS

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Bonjour,


Idem de mon coté.

J'ai toujours configuré mes serveurs Moodle en https (forcé au niveau d'apache) et pas de problème de performance.

L'infrastructure peut avoir un léger impact sur les performances. Selon que vous avez vos serveurs sur intranet local, ou sur un hébergement externalisé.

En https, lors d'une connexion, il y a d'abord un échange de clés serveur/client, puis la communication est cryptée, le cryptage n'ayant normalement pas vraiment d'impact sur les performances.

Et donc, si les sessions sont "longues", il y a juste l'échange de clés au départ en plus au niveau de la communication.

Si il y a beaucoup de communications courtes, dans ce cas il y aura beaucoup plus d'échanges de clés, 1 par session, et donc un peu plus de traffic, mais c'est peu quand même.

Après, il y a également la question de la sécurité, raison pour laquelle nous mettons toujours nos serveurs en https, surtout s'ils sont accessibles depuis l'internet.

Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Moodle en HTTPS

par stéphane Rolland,

bonsoir,

je reprends cette conversation qui date un peu maintenant mais je n'ai trouvé nulle part la réponse à ma question.

Je suis passé en https (moodle 3.1.3+) mais comme précisé plus haut seul la connexion est sécurisée. Est il possible de sécurisé l'ensemble d'un site fait en moodle (je ne vois aucun paramètre à ce sujet dans moodle) ?

merci d'avance.

Cordialement

Moyenne des évaluations  -
En réponse à stéphane Rolland

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

> Est il possible de sécurisé l'ensemble d'un site fait en moodle.

Oui. Il n'y a absolument aucun réglage à faire dans Moodle.

Il suffit d'avoir un certificat valide et de rediriger les personnes qui viennent en http vers une connexion https (tout cela se fait dans la configuration de votre serveur nginx, Apache, etc.).

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Moodle en HTTPS

par stéphane Rolland,

Merci beaucoup je vais voir ce que je peux faire sur le Cpanel

Cordialement

Moyenne des évaluations  -
En réponse à stéphane Rolland

Re: Moodle en HTTPS

par stéphane Rolland,

bonsoir,

je me suis renseigné auprès de mon hebergeur qui m'a proposé de rajouter ces lignes dans un fichier .htaccess  (mon site moodle est dans un sous dossier "moodlejv" qui est à la racine de mon serveur web :

# Redirection vers HTTPS

#RewriteCond %{SERVER_PORT} ^80$ [OR]

#RewriteCond %{HTTPS} =off

#RewriteRule ^(.*)$ https://portaillyceejeanvilar.eu/moodlejv/$1 [R=301,L]


# Redirection du www vers non-www en HTTPS

#RewriteCond %{HTTP_HOST} ^www\.portaillyceejeanvilar/moodlejv\.eu [NC]

#RewriteRule ^(.*)$ https://portaillyceejeanvilar.eu/moodlejv/$1 [R=301,L]


mon site se lance bien en https mais je n'ai plus de css !!!! comment faire ?

merci d'avance.

Cordialement


NB : j'utilise le theme essential

Moyenne des évaluations  -
En réponse à stéphane Rolland

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Je commencerais par vider les caches. Si cela ne suffit pas, revenez par ici sourire

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Moodle en HTTPS

par stéphane Rolland,
bonjour, j'ai vidé les caches des navigateurs (j'ai essayé sur chrome et firefox) et cela me donne la même chose : aucune css !

en fait je n'ai la css que sur la page de connexion (celle prévue pour le https par moodle dans les paramètres)

Moyenne des évaluations  -
En réponse à stéphane Rolland

Re: Moodle en HTTPS

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Bonjour,

Je pense que la réponse de Nicolas concernait les caches de Moodle

Administration du site / Développement / Vider tous les caches

Ceci dit, vider les caches des navigateurs ne fait pas de mal non plus


Après, concernant l'utilisation de HTTPS, je préfère une autre méthode, sachant que je gère entièrement mon serveur.
Il n'est pas hébergé en externe.

Il y a 2 outils qui permettent de convertir les URL dans la base de données :
  • {$CFG->wwwroot}/admin/tool/replace
    Permet de convertir toutes vos URLs internes
    i.e. remplacer http://{$CFG->wwwroot} par https://{$CFG->wwwroot}
  • {$CFG->wwwroot}/admin/tool/httpsreplace
    Permet de convertir toutes les URLs externes en https, après vérification que celles-ci existent bien en https
Pour ces 2 outils, il faut bien sur faire une sauvegarde de la BDD avant ....

Bruno
Moyenne des évaluations Utile (1)
En réponse à Bruno Malaval

Re: Moodle en HTTPS

par stéphane Rolland,

bonjour, merci pour toutes ces infos !

après avoir vidé le cache de moodle et ceux des navigateurs, aucun changement la css a disparu, d'après mon hébergeur cela viendrait du fait que le site est en https, mais appelle le CSS en https qui lui est disponible uniquement en http! je vous avoue ne pas savoir comment résoudre le pb.

J'ai bien noté l'autre façon de faire, à savoir changer toutes les urls internes et externe et le config.php, mais j'attends de voir si une solution moins contraigrante est possible. Toutefois, concernant les urls externes, ce sont celles qui sont dans les cours de type liens et qui pointent vers les sites extérieurs c'est bien cela ?

Moyenne des évaluations  -
En réponse à stéphane Rolland

Re: Moodle en HTTPS

par stéphane Rolland,

problème réglé, il suffisait de changer dans le fichier config.php le $CFG->wwwroot de http en https ! et tout fonctionne normalement.

Donc en résumé :

  • j'ai créé un certificat let's enscrypt dans le Cpanel de mon hébergeur
  • j'ai coché dans les paramètres le fait d'avoir la page de connexion en https
  • j'ai ajouter un fichier .htaccess à la racine de mon moodle contenant les informations de redirection et de réécriture des urls
  • j'ai modifié le fichier config.php pour changer le http et https pour le wwwroot


Merci à tous pour votre aide.

Bien cordialement

Moyenne des évaluations Utile (3)
En réponse à stéphane Rolland

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Merci pour ce retour. J'aurais dû vous signaler en effet tout de suite l'étape suivante après avoir vidé les caches de Moodle.

Commentaire supplémentaire : cette étape

  • j'ai coché dans les paramètres le fait d'avoir la page de connexion en https

n'est pas nécessaire. Elle n'est exigée que si l'on ne veut que la connexion en https.

Moyenne des évaluations Utile (1)
En réponse à Bruno Malaval

Re: Moodle en HTTPS

par Laurent Deschamps,

Bonjour,

ce jour, sur mon site Moodle version 3.3.1, après avoir attribué un certificat SSL chez mon hébergeur (1and1), je me suis connecté en administrateur.

Puis, dans l'administration du site Moodle, dans la rubrique http, j'ai coché https et fait de même pour les cookies sécurisés. Depuis, j'arrive bien à la page d'accueil de mon site (http://bts-sam.fr/), mais  lorsque je veux me connecter, cela n'est plus possible, et j'obtiens le message :

"Cette page ne fonctionne pas. bts-sam.fr vous a redirigé à de trop nombreuses reprises. Essayez de supprimer les cookies.. ERR_TOO_MANY_REDIRECTS".

Pouvez-vous svp m'indiquer comment faire ?

Merci à vous

Moyenne des évaluations  -
En réponse à Laurent Deschamps

Re: Moodle en HTTPS

par Séverin TERRIER,
Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour,

Ça me parait tout à fait normal, d'après la description :

Cookies sécurisé uniquement (cookiesecur) : Si le serveur accepte uniquement des connexions http, il est recommandé d'activer l'envoi sécurisé des cookies. Une fois activé, assurez-vous que le serveur web n'accepte pas http:// ou fournit une redirection permanente vers une adresse https://.  Idéalement, fournissez également des entêtes HSTS. Si l'adresse wwwroot ne commence pas par https://, ce réglage est désactivé automatiquement.

En effet, il faudrait donc que votre site ait été complètement configuré pour utiliser https uniquement !

Donc, avoir modifié le fichier de configuration pour que $CFG->wwwroot commence par https !

Et, du coup, avoir adapté tous les liens dans la base de données.

Séverin

Moyenne des évaluations Utile (1)
En réponse à Séverin TERRIER

Re: Moodle en HTTPS

par Laurent Deschamps,

Bonjour Séverin,

merci beaucoup pour votre réponse.

Comme mes compétences ne me permettent pas d'appliquer tous vos conseils (entêtes HSTS, comment s'assurer que le serveur fournit une redirection permanente vers une adresse https://, etc), j'ai du me résoudre à revenir en arrière (donc en http), en effectuant une restauration de mon espace web chez mon hébergeur (1and1). J'ai par ailleurs transféré le certificat SSL sur un autre nom de domaine.

Depuis cela, le site est redevenu opérationnel.

Néanmoins, à 2 reprises, il y 1 semaine puis hier, pour des raisons inconnues de moi (exemple, hier après-midi alors que je n'avais effectué aucune opération de paramétrage dans l'espace d'administration du site), l'accès à la page de connexion a abouti au message d'erreur suivant : "https://bts-sam.fr      ce site ne peut pas fournir de connexion sécurisée. bts-sam.fr a envoyé une réponse incorrecte. ERR_SSL_PROTOCOL_ERROR.

Ces 2 fois, j'ai donc dû à nouveau effectuer une restauration.

Je suis conscient que cette manipulation ne résout pas le problème de manière définitive, et qu'il peut réapparaître à tout moment.

Je me demande donc à quoi cela est dû : reste-t-il des "traces" de ma tentative initiale de passer le site en https ?

Quoiqu'il en soit, je cherche une solution solide :

- est-ce de passer définitivement le site en https ? Dans ce cas, comment trouver une personne qui pourrait effectuer les différentes opérations pour moi ?

- ou bien est-ce de corriger le(s) fichiers qui posent problème ? Et dans ce cas le(s)quel(s) ?

Moyenne des évaluations  -
En réponse à Laurent Deschamps

Re: Moodle en HTTPS

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour,

> (...) reste-t-il des "traces" de ma tentative initiale de passer le site en https ?

Vraisemblablement oui, dans le cache du navigateur au moins. Pour voir si ça pose problème pour vos visiteurs, essayez d'utiliser un appareil n'ayant jamais été sur votre site web (vider les caches de votre navigateur sur votre machine ne suffira peut-être pas).

> Quoiqu'il en soit, je cherche une solution solide

AMHA, passer en HTTPS est la seule solution solide à moyen terme.

Moyenne des évaluations  -