Utilisez le panneau Sécurité des outils pour les développeurs Chrome afin de vous assurer que HTTPS est correctement implémenté sur une page. Consultez Pourquoi le HTTPS est important pour découvrir pourquoi chaque site Web doit être protégé par HTTPS, même les sites qui ne traitent pas de données utilisateur sensibles.
Présentation
Le panneau Sécurité est l'emplacement principal des outils de développement. Il permet d'inspecter la sécurité d'une page. Le panneau Sécurité vous donne un aperçu des origines de votre page. Il inclut des avertissements de sécurité HTTP, des informations sur l'origine et des certificats.
Ouvrir le panneau "Sécurité"
Pour ouvrir le panneau Sécurité, procédez comme suit:
- Accédez aux outils de développement.
- Ouvrez le menu Commande en appuyant sur :
- macOS : Cmd+Maj+P
- Windows, Linux et ChromeOS : Ctrl+Maj+P
Commencez à saisir
security, sélectionnez Afficher le panneau Sécurité, puis appuyez sur Entrée.
Figure 1 : Volet "Sécurité"
Sinon, en haut à droite, sélectionnez more_vert Plus d'options > Plus d'outils > Sécurité.
Problèmes courants
Origines principales non sécurisées
Lorsque l'origine principale d'une page n'est pas sécurisée, l'Aperçu de la sécurité indique Cette page n'est pas sécurisée.
Figure 2 : Page non sécurisée
Ce problème se produit lorsque l'URL que vous avez consultée a été demandée via HTTP. Pour le sécuriser, vous devez le demander via HTTPS. Par exemple, si vous regardez l'URL dans votre barre d'adresse, elle ressemble probablement à http://example.com. Pour assurer la sécurité, l'URL doit être https://example.com.
Si vous avez déjà configuré le protocole HTTPS sur votre serveur, il vous suffit de configurer votre serveur pour qu'il redirige toutes les requêtes HTTP vers HTTPS.
Si vous n'avez pas configuré HTTPS sur votre serveur, Let's Encrypt vous permet de démarrer le processus de manière gratuite et relativement simple. Vous pouvez également envisager d'héberger votre site sur un CDN. La plupart des principaux CDN hébergent désormais des sites sur HTTPS par défaut.
Contenu mixte
Le contenu mixte signifie que l'origine principale d'une page est sécurisée, mais que la page a demandé des ressources à des origines non sécurisées. Les pages à contenu mixte ne sont que partiellement protégées, car le contenu HTTP est accessible aux logiciels de détection et vulnérable aux attaques MITM ("man in the middle").
Figure 3. Contenu mixte
Dans la figure 3, cliquer sur Afficher une requête dans le panneau "Network" ouvre le panneau Network et applique le filtre mixed-content:displayed afin que le journal réseau n'affiche que les ressources non sécurisées.
Figure 4. Ressources mixtes dans le journal réseau
Afficher les détails
Afficher le certificat d'origine principal
Dans la section Présentation de la sécurité, cliquez sur Afficher le certificat pour inspecter rapidement le certificat de l'origine principale.
Figure 5. Un certificat d'origine principal
Afficher les détails de l'origine
Cliquez sur l'une des entrées du panneau de navigation de gauche pour afficher les détails de l'origine. Sur cette page, vous pouvez consulter des informations sur les connexions et les certificats. Les informations sur la transparence des certificats sont également affichées lorsqu'elles sont disponibles.
Figure 6. Détails de l'origine principale