Cette page a été traduite par l'API Cloud Translation.

Sécurité: comprendre les problèmes de sécurité

Kayce basque

Twitter GitHub Glitch

Utilisez le panneau Sécurité dans les outils pour les développeurs Chrome pour vérifier que HTTPS est correctement implémenté sur une page. Consultez la page Pourquoi le protocole HTTPS est important pour découvrir pourquoi tous les sites Web doivent être protégés par le protocole HTTPS, même les sites qui ne traitent pas de données utilisateur sensibles.

Ouvrir le panneau de sécurité

Le panneau Sécurité est l'endroit principal dans les outils de développement pour inspecter la sécurité d'une page.

Accédez aux Outils de développement.
Cliquez sur l'onglet Sécurité pour ouvrir le panneau Sécurité.

Figure 1 : Panneau de sécurité

Problèmes courants

Origines principales non sécurisées

Lorsque l'origine principale d'une page n'est pas sécurisée, la section Présentation de la sécurité indique Cette page n'est pas sécurisée.

Une page non sécurisée

Figure 2 : Une page non sécurisée

Ce problème survient lorsque l'URL que vous avez visitée a été demandée via HTTP. Pour le sécuriser, vous devez le demander via HTTPS. Par exemple, si vous examinez l'URL dans la barre d'adresse, elle ressemble probablement à http://example.com. Pour le sécuriser, l'URL doit être https://example.com.

Si HTTPS est déjà configuré sur votre serveur, il vous suffit de le configurer pour rediriger toutes les requêtes HTTP vers HTTPS.

Si vous n'avez pas configuré HTTPS sur votre serveur, Let's Encrypt propose un moyen sans frais et relativement simple de démarrer le processus. Vous pouvez également envisager d'héberger votre site sur un CDN. La plupart des principaux CDN hébergent désormais par défaut des sites sur HTTPS.

Conseil : L'audit Rediriger le trafic HTTP vers HTTPS dans Lighthouse peut vous aider à automatiser le processus qui consiste à s'assurer que toutes les requêtes HTTP sont redirigées vers HTTPS.

Contenu mixte

Contenu mixte signifie que l'origine principale d'une page est sécurisée, mais que la page a demandé des ressources à partir d'origines non sécurisées. Les pages au contenu mixte ne sont que partiellement protégées, car le contenu HTTP est accessible aux renifleurs et vulnérable aux attaques MITM ("man in the middle").

Contenu mixte

Image 3. Contenu mixte

Dans la Figure 3 ci-dessus, le fait de cliquer sur Afficher 1 requête dans le panneau "Réseau" ouvre le panneau Réseau et applique le filtre mixed-content:displayed de sorte que le journal réseau n'affiche que les ressources non sécurisées.

Ressources mixtes dans le journal réseau

Figure 4. Ressources mixtes dans le journal réseau

Voir les détails

Afficher le certificat d'origine principal

Dans la section Vue d'ensemble de la sécurité, cliquez sur Afficher le certificat pour inspecter rapidement le certificat de l'origine principale.

Un certificat d'origine principal

Figure 5. Un certificat d'origine principal

Afficher les détails de l'origine

Cliquez sur l'une des entrées dans le menu de navigation de gauche pour afficher les détails de l'origine. Sur cette page, vous pouvez afficher des informations sur les connexions et les certificats. Les informations sur la transparence des certificats sont également affichées lorsqu'elles sont disponibles.

Informations sur l'origine principale

Figure 6. Informations sur l'origine principale