Sécuriser votre domaine de liens

En plus du domaine d'envoi servant à l'envoi de vos e-mails, un sous-domaine de liens est mis en place dans votre licence.

Il s'agit du domaine qui va servir à héberger :

  • les images que vous importez dans Actito (que ce soit par import HTML ou depuis l'éditeur)

  • les formulaires que vous créez dans Actito

  • la page de redirection qui permet à Actito de faire le suivi de vos liens

  • la page miroir de vos e-mails et le scénario de désinscription

Il prend généralement la forme de links.votredomained'envoi.com ou link.votredomained'envoi.com

Par exemple, pour notre domaine d'envoi actito.news, le sous-domaine de lien est link.actito.news

images/download/thumbnails/639042975/image2020-10-16_16-3-6.png

Par défaut, le sous-domaine de liens mis en place dans votre licence fait appel au protocole HTTP.

Les protocoles HTTP et HTTPS

Le protocole HTTP (pour Hypertext Transfer Protocol) est un protocole de communication client-serveur qui permet de recevoir et d'envoyer des informations depuis et vers les serveurs web. C'est un peu la base pour accéder à des ressources sur internet.

En protocole HTTP, la communication se fait sans cryptage, la connexion est "en clair". Les informations échangées sont donc visibles et pourraient être récupérées par une tierce personne.

Le HTTPS (avec S pour Secure) est en revanche dit sécurisé. Il fait appel à un protocole de cryptage, le SSL (Secure Socket Layer) qui va servir à mettre en place une connexion chiffrée entre le client et le serveur. Seuls ceux-ci possèdent alors la clé de décryptage servant à déchiffrer les données.

Ce protocole est donc de mise pour l'échange de données confidentielles, comme toute page de connexion, à fortiori lorsque cela implique des données sensibles, comme des données bancaires, par exemple.

Pourquoi utiliser le HTTPS dans Actito ?

Les formulaires Actito n'ont pas pour vocation de servir de page de connexion, et les images de vos campagnes ne sont en principe pas confidentielles. De plus, il n'est absolument pas interdit de se contenter du HTTP.

Mais dès lors, pourquoi utiliser un protocole sécurisé ?

A savoir

Votre licence, et le site Actito en général, utilisent le protocole HTTPS.

Nous parlons ici de sécuriser votre sous-domaine de lien particulier.

images/download/attachments/639042975/image2020-10-16_17-27-31.png

Il y a diverses raisons pouvant vous pousser à mettre en place le HTTPS dans votre licence.

  • Vos profils peuvent entrer des données personnelles sur vos formulaires publics

  • Vous utilisez des attributs de profils dans les paramètres de vos images

  • L'utilisation du HTTPS permet de signaler à un internaute dans la barre de son navigateur que la connexion qu'il fait sur les pages hébergées de votre sous-domaine de lien est sécurisée (comme dans l'illustration ci-dessus pour les pages Actito).

    A l'inverse, les navigateurs se sont alignés pour marquer les pages en HTTP comme non-sécurisées.

images/download/attachments/639042975/image2020-10-16_17-36-15.png

  • Dans le secteur B2B, les configurations réseaux de certaines entreprises, voire de la votre, peuvent se méfier du HTTP. Il est alors nécessaire de demander de mettre votre sous-domaine de lien sur liste blanche.

  • Le navigateur Google Chrome - et par extension Chromium, la nouvelle version de Microsoft Edge-, refusent ce qu'on appelle le contenu mixte, c'est à dire qu'une page en HTTPS (comme votre licence Actito) charge des ressources en HTTP (comme des images hébergées sur votre sous-domaine de lien). Cela peut expliquer pourquoi vous ne verriez pas les images de la prévisualisation de l'éditeur HTML. D'autres navigateurs comme Mozilla Firefox et Safari n'ont pas cette restriction.

  • Il faut s'attendre à ce que Chrome pousse de plus en plus vers la normalisation du HTTPS. Et que les autres navigateurs finissent par suivre...

A savoir

Votre sous-domaine de lien sert également à héberger la page de redirection qui permet à Actito de suivre les clics dans vos e-mails. Même si votre sous-domaine est en HTTP, l'adresse finale est cryptée.

Cela signifie que si vous utilisez des personnalisations sur des attributs de profil dans les paramètres additionnels de vos liens, ceux-ci seront affichés uniquement sur l'URL finale, celle de votre site.

Ils ne seront pas affichés en clair sur la page de redirection, même si votre sous-domaine n'est pas sécurisé, comme on peut le voir ci-dessous dans l'enchaînement de la page de redirection et de l'url finale :

images/download/attachments/639042975/image2020-10-16_17-59-14.png

Comment utiliser le HTTPS ?

Le protocole HTTPS impose la mise en place d'un certificat SSL. Ce certificat a pour but de prouver que le domaine appartient à une organisation ou une entreprise.

Or votre sous-domaine de lien est basé sur votre domaine d'envoi, qui est généralement au nom de votre organisation mais délégué à Actito. Cette sorte de garde partagée implique qu'il y a 2 options pour mettre en place un certificat SL sur votre domaine.

  • L'option par défaut est de laisser Actito gérer l'entièreté du processus de certification : grâce à la solution Let's Encrypt, nous allons gérer un certificat gratuit, valide 3 mois mais renouvelé automatiquement. Ce certificat standard ne sera lié au nom de votre Organisation.

  • L'autre option est de gérer le certificat de votre côté, en achetant un certificat personnel avec une requête au nom de votre entreprise, puis ne le transférant à Actito. Les certificats achets sont généralement valides 1 an et permettent d'afficher le nom légal de votre Organisation quand un utilisateur clique sur les détails du certificat.

Utiliser un certificat gratuit et automatique

A moins qu'il y ait des contraintes fortes pour garder la gestion des certificats de votre côté, nous conseillons de faire appel au procédé par défaut avec les certificats gratuits renouvelés automatiquement. Ces certificats sont tout aussi valides que les certificats personnels, la différence majeure étant que ces derniers permettent d'afficher plus de détails quand quelqu'un clique sur l'icôné "sécurisé" pour examiner votre certificat.

Ce procédé est automatiquement utilisé à moins que vous spécifiez vouloir utiliser votre propre certificat SSL au set-up délivrabilité ou à l'expiration de votre certificat actuel.

Actito veut garantir que vos profils ne rencontrent pas d'alerte de sécurité quand ils cliquent dans les liens de vos e-mails. Comme l'utilisation du protocole HTTPS n'a que des avantages, tous les domaines de lien sans certificat actif seront automatiquement certifiés par Let's Encrypt pour le 2 Juin 2023.

Mettre en place votre propre certificat SSL

Pour gérer votre propre certificat, il convient de suivre le processus suivant :

1. Générer un CSR

Le CSR (Certificate Signing Request) est une sorte de carte d'identité numérique servant à faire la demande de certificat auprès d'une autorité compétente.

Fort de cette garde partagée, le CSR comprend les coordonnées de votre organisation mais il est émis par Actito, sur base des informations que vous nous communiquez.

Demander un CSR

Pour demander la génération d'un CSR, vous pouvez transmettre votre demande via un e-mail à support@actito.com, tout en tenant votre gestionnaire de compte informé.

Vous devez préciser les informations suivantes :

  • Common name : Nom complet du domaine que vous voulez sécuriser. Nous recommandons l'obtention d'un certificat par domaine.

  • Organisation: Nom légal de votre organisation

  • Département : Département de l’organisation responsable de la gestion du certificat (optionnel)

  • Localisation : Ville où votre organisation est située

  • Etat/Province/Région : Etat/Province/Région où votre organisation est située

  • Pays : Code du pays (code ISO en 2 lettres) où votre organisation est située

  • Adresse e-mail : Adresse e-mail de la personne de contact de votre organisation

Les équipes d'Actito se chargeront de générer le CSR et de vous le transmettre.

2. Acheter le certificat

Grâce à ce certificat, vous pouvez faire l'achat du certificat auprès d'un organisme compétent. En effet, le certificat étant votre nom, c'est votre organisation qui doit se charger de cette partie.

Il est plutôt conseillé d'opter pour un certificat d'une durée d'un an, dont le coût va varier de 50€ à 150€ selon l'organisme auprès duquel vous faites l'achat.

3. Installer le certificat

Vous nous transmettez le certificat (ceux-ci peut toujours être fait par le biais d'une demande à Support@actito.com) et nous nous chargeons d'installer ce certificat sur nos serveurs.

4. Paramétrer le HTTPS

Les équipes Actito se chargeront de paramétrer le HTTPS sur votre sous-domaine de liens. Celui-ci est désormais sécurisé !

Astuce

Les certificats les plus courants ont une durée de validité d'1 an. Même si Actito vérifie occasionnellement les certificats arrivant prochainement à expiration, veillez bien à vérifier la validité de votre certificat et à entamer le processus de renouvellement lorsque l'expiration approche !

Pour cela, il faut redemander un CSR.