Site créé : accéder à la version https

Bonjour,

Installer un certificat ne suffit pas;

Il faut, soit dans le paramétrage du serveur.. soit, le plus souvent utilisé, en utilisant un fichier htaccess à la racine de ton site.

Tu trouveras sans mal de nombreux tutos/exemples sur le net expliquant comment forcer la redirection sur le https.

Bonjour,

Tu reçois ce que tu demandes. Deux URLs différentes peuvent correspondre à deux ressources différentes, on pourrait avoir http://example.com/ et https://example.com/ qui donnent deux résultats différents. Il n'y a aucune raison pour que le navigateur impose la seconde ressource (HTTPS) si l'utilisateur demande la première (HTTP).

Si tu omets de préciser le protocole dans l'URL, alors le comportement actuel des navigateurs est d'utiliser HTTP.

Pour que la page soit chargée en HTTPS, il faut la demander via HTTPS en :

• cliquant sur un lien HTTPS
• saisissant une URL HTTPS
• après une redirection HTTP -> HTTPS

Si tu actives une redirection comme suggéré par jordane45, cela n'empêche pas que l'accès initial en HTTP est vulnérable.

De plus, activer la redirection HTTP -> HTTPS ou configurer le certificat sur le serveur n'aura pas comme conséquence de mettre à jour ton code HTML "par magie", un lien HTTP restera en HTTP. Il est nécessaire de modifier le site afin de remplacer les chemins absolus HTTP (liens + fichiers css/js/...) par des chemins absolus HTTPS (ou des chemins relatifs).

Une fois que tu auras entièrement passé ton site en HTTPS, tu ne peux rien faire au niveau du site/serveur pour se prémunir d'un accès initial en HTTP. C'est au niveau du navigateur que des mécanismes doivent être mis en place :

• Dans quelques temps, on peut espérer que les navigateurs utiliseront HTTPS par défaut
• Il existe des extensions comme HTTPS Everywhere. Sur Firefox, cette extension est inutile, il y a le mode "HTTPS only"

Il y a aussi des solutions impliquant à la fois le serveur/site et le navigateur :

• HSTS permet d'indiquer au navigateur, via une entête HTTP¹, que les prochains accès au site devront se faire uniquement en HTTPS. Il est possible d'inscrire son site sur une liste intégrée aux navigateurs afin que même le tout premier accès soit sécurisé.
• Les Content-Security-Policy permettent d'indiquer au navigateur que site une de tes pages charge du HTTP, il doit bloquer les requêtes ou les upgrade en HTTPS via Upgrade-Insecure-Requests.
• Content-Security-Policy-Report-Only afin de recevoir des alertes si tes pages chargent des éléments en HTTP

Finalement, tu peux aussi utiliser les access logs pour voir si des accès se font en HTTP.

Concernant le certificat Bitdefender, ton anti-virus agit comme un proxy transparent et génère ses propres certificats. Le certificat que tu vois n'est pas celui réellement configuré sur le serveur.

¹ Je parle d'entête HTTP car même en HTTPS, ça reste du HTTP qui coule dans un tunnel TLS.