site créé : accéder à la version https Fermé

Question

Bonjour la communauté,

Je suis intrigué et embêté à la fois: j'ai un site internet fraîchement créé de toutes parts, hébergé chez OVH.
Depuis peu, lorsque j'accède au site via un navigateur et un moteur de recherche lambdas, j'arrive sur la page en mode non sécurisé. Je peux entrer dans l'url le https, lequel est fonctionnel. J'ai renouvelé mon certificat SSL via OVH histoire de_.

En parallèle j'ai pour antivirus bitDefender, et je me pose définitivement la question : le certificat de sécurité que je vois là : c'est mon antivirus qui fait le boulot, ou bien c'est le site qui est vraiment sécurisé de la sorte??

Pourriez-vous m'éclairer sur la raison pour laquelle je ne suis pas en https et les démarches que je dois réaliser pour corriger le tir? j'ai forcément omis de faire quelque chose, c'est sûr, mais quoi?

Merci d'avance pour votre temps

jordane45 · Answer

Bonjour,

Installer un certificat ne suffit pas;

Il faut, soit dans le paramétrage du serveur.. soit, le plus souvent utilisé, en utilisant un fichier htaccess à la racine de ton site.

Tu trouveras sans mal de nombreux tutos/exemples sur le net expliquant comment forcer la redirection sur le https.

avion-f16 · Answer

Bonjour,

Tu reçois ce que tu demandes. Deux URLs différentes peuvent correspondre à deux ressources différentes, on pourrait avoir http://example.com/ et https://example.com/ qui donnent deux résultats différents. Il n'y a aucune raison pour que le navigateur impose la seconde ressource (HTTPS) si l'utilisateur demande la première (HTTP).

Si tu omets de préciser le protocole dans l'URL, alors le comportement actuel des navigateurs est d'utiliser HTTP.

Pour que la page soit chargée en HTTPS, il faut la demander via HTTPS en :

cliquant sur un lien HTTPS
	saisissant une URL HTTPS
	après une redirection HTTP -> HTTPS

Si tu actives une redirection comme suggéré par jordane45, cela n'empêche pas que l'accès initial en HTTP est vulnérable.

De plus, activer la redirection HTTP -> HTTPS ou configurer le certificat sur le serveur n'aura pas comme conséquence de mettre à jour ton code HTML "par magie", un lien HTTP restera en HTTP. Il est nécessaire de modifier le site afin de remplacer les chemins absolus HTTP (liens + fichiers css/js/...) par des chemins absolus HTTPS (ou des chemins relatifs).

Une fois que tu auras entièrement passé ton site en HTTPS, tu ne peux rien faire au niveau du site/serveur pour se prémunir d'un accès initial en HTTP. C'est au niveau du navigateur que des mécanismes doivent être mis en place :

Dans quelques temps, on peut espérer que les navigateurs utiliseront HTTPS par défaut
	Il existe des extensions comme HTTPS Everywhere. Sur Firefox, cette extension est inutile, il y a le mode "HTTPS only"

Il y a aussi des solutions impliquant à la fois le serveur/site et le navigateur :

HSTS permet d'indiquer au navigateur, via une entête HTTP¹, que les prochains accès au site devront se faire uniquement en HTTPS. Il est possible d'inscrire son site sur une liste intégrée aux navigateurs afin que même le tout premier accès soit sécurisé.
	Les Content-Security-Policy permettent d'indiquer au navigateur que site une de tes pages charge du HTTP, il doit bloquer les requêtes ou les upgrade en HTTPS via Upgrade-Insecure-Requests.
	Content-Security-Policy-Report-Only afin de recevoir des alertes si tes pages chargent des éléments en HTTP

Finalement, tu peux aussi utiliser les access logs pour voir si des accès se font en HTTP.

Concernant le certificat Bitdefender, ton anti-virus agit comme un proxy transparent et génère ses propres certificats. Le certificat que tu vois n'est pas celui réellement configuré sur le serveur.

¹ Je parle d'entête HTTP car même en HTTPS, ça reste du HTTP qui coule dans un tunnel TLS.

Site créé : accéder à la version https

2 réponses

Discussions similaires