Url visible dans la barre de navigation.

Pourquoi même en HTTPS, un site peut-être bloqué par Google ?

Qu’est-ce que le HTTPS ?

Le protocole HyperText Transfer Protocol Secure (HTTPS) permet de sécuriser l’échange de données entre un navigateur et un site web. C’est-à-dire qu’il devient impossible de recueillir ces données qui peuvent être sensibles, lorsqu’il s’agit de mots de passe, de numéros de carte de crédit, ou de tout autre identifiant personnel.

Les sites d’e-commerce ont été les premiers avec les établissements bancaires à posséder un certificat SSL pour protéger leurs transactions financières entre leur site et un client.

Les failles sous HTTPS

Pour avoir un site sous HTTPS, il y a plusieurs solutions. Soit vous vous les procurez directement par des sociétés qui créent ces certificats électroniques, soit vous passez par votre hébergeur qui les délivres le plus souvent offert dans le package de votre hébergement.

A noter qu’il existe aussi différents types de certificats SSL avec des garanties de sécurités plus ou moins importantes.
Mais revenons là ou je voulais en venir, c’est a dires les failles sous HTTPS. Et bien elles peuvent survenir par ces fournisseurs lors d’un mauvais codage dans ce protocole d’authentification et de chiffrement.

Les sites en HTTPS bloqués par Google

C’est le navigateur Chrome qui bloquera les sites en HTTPS délivrant du contenu mixte.

Qu’est ce qu’est le contenu mixte ?

On sait que le transfert de contenu se fait par une connexion HTTPs cryptée sécurisée ou par une connexion HTTP non cryptée. Mais même en HTTPS, une page peut faire appel à du contenu non sécurisé comme l’URL d’une image, et surtout à des scripts intrégés ou pas au site web en question pour son fonctionnement par exemple.

La plupart des problèmes de contenu mixte sont causés par des URLs dans les fichiers CSS ou JS.

On peut aussi mettre en confiance le visiteur d’une page web en affichant le certificat SSL dans la barre de navigation, et insérer une iframe dont le transfert de contenu ne serait pas sécurisé. Insérer une iframe non sécure, peut être le choix du webmaster pour la conception de son site, mais cela peut-être aussi le fait de personnes mal intentionnées.

Bref, pour toutes ces raisons, Chrome des 2020 bloquera les contenus non sécurisés intégrés à une page qui affiche le protocole HTTPS. Ce sera aux utilisateurs de débloquer manuellement les ressources audio et vidéo non sécurisées.

Il y a un très grand nombre de sites qui peuvent se retrouver dans ce cas de figure. Je pense en particulier à ceux qui migrent en HTTPS, qui auront forcement du contenu mixte. Le plus souvent cela est du à l’URL des images qui ne passent pas automatiquement en mode sécurisé. Il va donc falloir identifier tous ces affichages pour les modifier.

Really Simple SSL

Ce plug-in WordPress va analyser votre site pour détecter ces contenus mixtes. Une fois réalisé, le contenu non sécurisé est corrigé en remplaçant toutes les URL HTTP en HTTPS.

Ne sont pas pris en compte les hyperliens vers d’autres domaines.

Installation d'un plug-in.
Really Simple SSL
Extention dans le tableau de bord de WordPress.
Le Plug-in scanne le site web.

WP Force SSL

WP Force SSL, plugin WordPress.
WP Force SSL

Ce plug-in ne va pas jouer sur votre contenu, mais il est intéressant pour la sécurité de votre site en le protégeant contre les attaques par dégradation de protocole et le piratage de cookies. Il indique que les entrées sur votre site doivent l’être uniquement à l’aide de connexions HTTPS.

Cette sécurité supplémentaire à votre site ne va pas utiliser énormément de ressources, WP Force SSL est très léger dans son fonctionnement.

Retour haut de page