Utilisez le panneau Sécurité des outils pour les développeurs Chrome afin de vous assurer que HTTPS est correctement implémenté sur une page. Consultez Pourquoi le HTTPS est important pour découvrir pourquoi chaque site Web doit être protégé par HTTPS, même les sites qui ne traitent pas de données utilisateur sensibles.
Ouvrir le panneau de sécurité
Le panneau Sécurité est l'emplacement principal des outils de développement. Il permet d'inspecter la sécurité d'une page.
- Ouvrez les outils de développement.
Cliquez sur l'onglet Sécurité pour ouvrir le panneau Sécurité.
Figure 1 : Panneau de sécurité
Problèmes courants
Origines principales non sécurisées
Lorsque l'origine principale d'une page n'est pas sécurisée, la Présentation des fonctionnalités de sécurité indique Cette page n'est pas sécurisée.
Figure 2 : Une page non sécurisée
Ce problème se produit lorsque l'URL consultée a été demandée via HTTP. Pour le sécuriser, vous devez le demander via HTTPS. Par exemple, si vous regardez l'URL dans votre barre d'adresse, elle ressemble probablement à http://example.com
. Pour plus de sécurité, l'URL doit être https://example.com
.
Si HTTPS est déjà configuré sur votre serveur, il vous suffit de configurer votre serveur pour qu'il redirige toutes les requêtes HTTP vers HTTPS.
Si HTTPS n'est pas configuré sur votre serveur, Let's Encrypt offre un moyen sans frais et relativement simple de démarrer le processus. Vous pouvez également envisager d'héberger votre site sur un CDN. La plupart des principaux CDN hébergent des sites sur HTTPS par défaut.
Conseil : L'audit Rediriger le trafic HTTP vers HTTPS dans Lighthouse peut vous aider à automatiser le processus permettant de s'assurer que toutes les requêtes HTTP sont redirigées vers HTTPS.
Contenu mixte
Contenu mixte signifie que l'origine principale d'une page est sécurisée, mais que la page a demandé des ressources provenant d'origines non sécurisées. Les pages à contenu mixte ne sont que partiellement protégées, car le contenu HTTP est accessible aux logiciels de détection et vulnérable aux attaques MITM ("man in the middle").
Image 3. Contenu mixte
Dans la Figure 3 ci-dessus, le fait de cliquer sur View 1 request in Network panel (Afficher 1 requête dans le panneau "Network") ouvre le panneau Network (Réseau) et applique le filtre mixed-content:displayed
afin que le Network Log (Journal réseau) n'affiche que les ressources non sécurisées.
Figure 4. Ressources mixtes dans le journal réseau
Voir les détails
Afficher le certificat d'origine principal
Dans la section Présentation de la sécurité, cliquez sur Afficher le certificat pour inspecter rapidement le certificat de l'origine principale.
Figure 5. Un certificat d'origine principal
Afficher les détails de l'origine
Cliquez sur l'une des entrées du menu de navigation de gauche pour afficher les informations sur l'origine. Sur cette page, vous pouvez consulter des informations sur les connexions et les certificats. Les informations sur la transparence des certificats sont également affichées lorsqu'elles sont disponibles.
Figure 6. Détails de l'origine principale