Lettre d'information Juin 2019 - Suppression définitive de TLS 1.0 / TLS 1.1 + Désactivation par défaut de Google PageSpeed



La mise en forme des lettres d'information au format Web (donc la page que vous êtes en train de consulter) est perfectible.

Cela vient du fait que la mise en forme est adaptée pour un export PDF (donc à télécharger - lien ci-dessus) pour des raisons légales.


Bonjour,

Dans cette lettre d'information, nous allons faire un point sur la suppression définitive des protocoles TLS 1.0 et TLS 1.1 à venir à compter du 1° juillet 2019, la désactivation par défaut du module PageSpeed installé sur vos serveurs ainsi que l'ouverture d'un numéro de téléphone dédié à notre clientèle suisse.



1/ TLS 1.0 et TLS 1.1 : fin officielle de support à compter du 1° juillet 2019

Initialement prévu le 1° juin 2019, nous avons décidé d'encore repousser d'un mois la période de grâce de ces protocoles de sécurité nécessaires au fonctionnement de la version sécurisée (HTTPS) de votre site Internet sur des navigateurs Internet datant de plus de 5 ans (dont Internet Explorer en version 11 et antérieure)

Nous vous en parlons depuis plus d'un an et demi, cela aura fait l'objet de plusieurs posts sur Facebook ainsi que de deux alertes par email, il est maintenant temps de s'aligner sur la décision de vos banques et de fermer définitivement le support de ces protocoles obsolètes et dangereux.

Comme nous vous l'expliquons dans l'une des infobulles disponible sur la page d'accueil du Manager TW, pour la quasi-totalité d'entre vous il n'y aura aucun impact à prévoir sur votre chiffre d'affaire étant donné que vous l'avez déjà nécessairement subis l'année dernière quand vos banques ont décidés de supprimer les supports.

Cependant, si vous pensez que cette décision peut vous être préjudiciable (par exemple si vous travaillez avec l'administration française, notoirement connue pour l'obsolescence de son parc informatique), nous vous invitons à nous en faire part au plus tôt.

Par ailleurs, cet arrêt de support concernera aussi les connexions FTPES, nous vous invitons à tenir à jour vos clients FTP (Filezilla, Coda, etc).


2/ Ouverture d'une deuxième ligne de téléphone pour nos clients Suisses

Nous travaillons de plus en plus à l'international et surtout avec nos proches voisins Suisses.

Nous avons le plaisir de vous annoncer que nous bénéficions maintenant d'une ligne téléphonique en Suisse !

Voici le numéro : +41 22 548 34 42


3/ Nouveau gabarit d'installation pour les serveurs physiques : configuration RAID 0 pour deux fois plus de puissance en lecture/écriture.

Comme vous le savez nous mettons un point d'honneur à tous vous faire bénéficier d'un plan de continuité de l'activité ainsi que d'un plan de rétablissement de l'activité haut de gamme, y compris sur nos offres les plus accessibles.

Grâce à cela, vous avez l'assurance de ne jamais perdre de données au-delà de 24 heures, et pour nos clients ayant la chance de bénéficier d'une réplication active (double production répartie dans deux centres de données géographiquement distants), cette tolérance de perte constatée passe à moins de deux heures.

Compte tenu de la perfectibilité des garanties en matière de préservations de données constatées depuis des années ainsi que du déploiement systématique d'infrastructure répliquée dès lors que vous consommez du bare-metal (serveur physique) nous avons acté qu'il devenait possible d'envisager des configurations plus périlleuses sur les serveurs nous autorisant à piloter cette couche système.

Nous avons donc le plaisir de vous proposer sur nos nouveaux gabarits d'installation à destination des serveurs physiques une configuration en RAID 0 de vos disques SSD-NVME.

Grâce à cette nouvelle configuration nous avons constaté des gains de performance allant de 20 à 80%, soit une réduction jusqu'à 1.8 de votre temps de réponse initial serveur (capacité théorique de lecture passant de 450MB/s à 900MB/s)

Tous nos clients consommant du bare-metal sont éligibles à leurs prochains formatages (par exemple dans le cadre de la prochaine mise à jour majeure de Debian 10 : Buster).

Si vous ne souhaitez pas attendre votre prochain formatage (offert dans le cadre des mises à jour majeures de systèmes d'exploitation) et profiter immédiatement de cette évolution majeure, n'hésitez pas à nous en faire part, l'intervention vous sera alors facturée 100€ HT / serveur à formatter et réinstaller.

 


4/ Désactivation par défaut du module PageSpeed sur tous les serveurs

Suite à de très nombreux retours de la part de nos partenaires à l'ingénierie logicielle, ainsi que de vos internes et prestataires techniques, nous avons pris la décision de désactiver par défaut le module PageSpeed pour Apache2.

Nous vous le répétons souvent : un système performant suppose d'avoir un système de cache performant. Cependant l'imbrication multiple de système de cache engendre souvent des incompréhensions et peut nuire à la productivité des techniciens.

Pour ceux d'entre vous qui consultent les rapports de mise à jour de notre superviseur, vous n'êtes pas sans savoir que nous avions déjà commencé à désactiver par défaut certaines fonctionnalités jugées trop préjudiciables à des profils juniors (vos stagiaires majoritairement). Cette décision, validée par l'ensemble de nos partenaires de confiance, est dans cette continuité.

Ce module, bien qu'exceptionnel en matière d'optimisation et de gain de performance, pose beaucoup trop de problèmes de compréhension sur son fonctionnement, et il nous est apparu fondamental que son activation soit de votre initiative ou de l'initiative de vos prestataires pour qu'ils aient parfaitement conscience des implications (incluant une persistance possiblement contre-intuitive des contenus en cache nécessitant de passer par le Manager TW et de consulter la box prévue à cet effet pour la purge via la gestion du site de production)

Le module PageSpeed est cependant toujours disponible et peut être simplement activé via le fichier .htaccess en racine de votre site Internet. Pour plus de détails à ce propos, nous vous invitons à vous rapprocher de l'un de nos partenaires à l'ingénierie logicielle.


5/ Vos sites Internet n'ont pas vocation à stocker des informations sensibles (tel qu'un login / password non protégé) !

Certains clients pour des raisons pratiques sont susceptibles d'être amenés à stocker des informations sensibles via leurs Prestashop / Magento / Wordpress. 

Dans l'esprit, stocker des informations, par exemple d'identifications à des sites Internet de vos fournisseurs, via la fiche du dit fournisseur dans votre Prestashop peut avoir du sens, surtout dans un contexte collaboratif où des collègues sont susceptibles eux aussi d'en avoir besoin.

Cependant ATTENTION à veiller à ce que ces informations sensibles ne se retrouvent pas publiées aux yeux de tous ! 

Pour rappel : les informations que vous renseignez par exemple sur Prestashop dans la gestion des fournisseurs se retrouvent directement sur votre front-office, accessible par tous, via la fiche publique du fournisseur.

Nous vous déconseillons vivement d'utiliser vos sites Internet à ces fins et nous vous invitons à privilégier des outils tel que Keepass ou Lastpass, cela pourrait vous éviter des (grosses) frayeurs.


6/ Assouplissement des règles en faveur des systèmes multi-CMS (Magento/Wordpress et Prestashop/Wordpress)

Comme vous le savez, historiquement nous interdisons la présence d'un Wordpress avec quoi que se soit d'autres sur le même serveur.

La raison qui nous avait poussée à décider cela est toujours d'actualité : 95% des piratages sur les systèmes multi CMS (généralement un Wordpress contenu dans l'arborescence de fichiers d'un Prestashop / Magento) passent par les Wordpress.

Pourquoi ? Dans ces contextes multi-CMS, très majoritairement les propriétaires considèrent les Wordpress comme étant des sites secondaires ayant un intérêt nettement plus faible que le CMS E-Commerce principal. Résultat : il est rare que leurs propriétaires leurs prètent l'attention nécessaire, ce qui se traduit souvent par une absence de mise à jour et à terme des failles non corrigées qui se font exploiter, gangrénant tout le système de fichiers (incluant l'éventuel Magento / Prestashop en parallèle).

Pour autant, cette interdiction nous semble déphasée avec le reste de nos usages et pour cette raison nous avons décidé de la lever définitivement. Vous êtes et serez toujours maître de vos décisions, incluant des décisions allant à l'encontre de nos conseils.

Tous nos outils ont été mises à jour en conséquence pour gérer ce scenario, incluant la régénération imbriquée de préproductions souffrant d'un entremêlement du système de fichiers et/ou des bases de données.

Nos grilles tarifaires ont été mises à jour en conséquence, et pour compenser l'élévation probable des incidents à ce propos, les interventions rentrant dans le cadre d'un plan de rétablissement de l'activité réclamées par nos clients et consécutives à un piratage sur des CMS ayant subis de mauvaises pratiques en matière de maintien à jour (voir point B de la lettre d'information de Novembre 2018 : https://www.touchweb.fr/lettre-information-18111) ne seront pas prises en charge par les contrats d'infogérance des concernés mais seront facturées aux temps réels passés (60€ HT / heure) avec un minimum de 2 heures.

 

Nous vous souhaitons un agréable week-end,

L'équipe TW

Votre Webmaster Prestashop et infogérance Magento / Drupal.