Le cryptage des sites web est pratiquement obligatoire dans l’internet d’aujourd’hui. Si vous ne cryptez pas votre site, les navigateurs le considéreront comme non sécurisé. Vous pourriez avoir le contenu le plus original du web, mais sans SSL, vos visiteurs verront plutôt un avertissement de sécurité rébarbatif.
Les certificats SSL sont devenus essentiels à la création de sites web, mais leur gestion reste un véritable défi pour les utilisateurs les moins avertis sur le plan technologique. L’installation de certificats commerciaux peut poser quelques problèmes aux personnes inexpérimentées, et personne ne peut les en blâmer.
Presque tous les serveurs et clients de messagerie ont des instructions spécifiques sur la manière de gérer le protocole SSL. Si vous n’êtes pas familiarisé avec leurs tableaux de bord ou leurs lignes de commande, il peut être difficile de télécharger vos certificats dans le bon ordre.
Ce qui est encore plus ennuyeux, ce sont les erreurs de connexion SSL qui se produisent après l’installation du certificat. L’un des problèmes SSL les plus courants est l’erreur de contenu mixte. Dans cet article, nous examinerons ce qu’est un contenu mixte et comment le corriger manuellement ou à l’aide d’outils SSL. C’est parti !
Qu’est-ce qu’un contenu mixte ?
Un contenu mixte apparaît sur un site lorsque le code HTML initial est chargé via une connexion HTTPS cryptée, mais que d’autres ressources telles que des vidéos, des images, des scripts, des feuilles de style sont chargées via une connexion HTTP non cryptée. Lorsque des requêtes HTTP et HTTPS sont effectuées sur la même page, les navigateurs peuvent bloquer le contenu ou afficher un avertissement de sécurité pour avertir les utilisateurs que la page en question contient des ressources non sécurisées.
Il existe deux types de contenu mixte : passif et actif.
1. Contenu mixte passif
Le contenu mixte passif s’applique à toutes les ressources qui n’interagissent pas directement avec votre page. Il peut s’agir d’images, de vidéos ou de fichiers audio. Si des pirates utilisent des attaques de type “man-in-the-middle” et interceptent vos requêtes HTTP, ils peuvent modifier vos images, remplacer des produits par du contenu ou des publicités offensantes, ou intervertir les boutons “enregistrer” et “supprimer”, provoquant ainsi des actions involontaires de la part des utilisateurs.
Même si les attaquants ne modifient pas votre contenu, ils peuvent suivre vos utilisateurs et leurs actions en utilisant des requêtes de contenu mixte. Les attaquants peuvent voir les pages et les produits que les utilisateurs visitent en se basant sur les ressources non sécurisées que les navigateurs chargent. Voici quelques exemples de contenus mixtes.
2. Contenu mixte actif
Le contenu mixte actif est encore plus dangereux que le contenu mixte passif car il interagit avec la page dans son ensemble et donne aux attaquants la liberté d’en faire ce qu’ils veulent. Le contenu mixte actif comprend les feuilles de style, les scripts, les ressources flash et d’autres codes que les navigateurs chargent. Si les attaquants interceptent le contenu mixte actif, ils obtiennent un accès complet et le contrôle de votre site web. Dans le pire des cas, ils volent les identifiants et les mots de passe des utilisateurs ou les redirigent vers un autre site. En raison de la gravité des menaces liées au contenu mixte actif, de nombreux navigateurs le bloquent par défaut pour protéger les utilisateurs. Mais il est important de garder à l’esprit que vos visiteurs peuvent utiliser des versions de navigateurs plus anciennes ou des navigateurs qui ne bloquent pas du tout les contenus mixtes actifs.
L’équipe de PULNO, un service d’audit SEO et d’analyse de sites web, a examiné plus de 37 millions de pages et découvert que plus de 2 millions de pages contenaient des ressources qui ne se chargeaient pas avec HTTPS. Sur l’ensemble des hôtes analysés, 4,9 % avaient un contenu mixte. Parmi eux, 66,5 % avaient des problèmes avec les images et 17,1 % avec les éléments JavaScript.
Comme vous pouvez le constater, l’étape suivante après l’installation de SSL consiste à s’assurer que toutes vos images et votre code se chargent via HTTPS. Malheureusement, de nombreux webmasters négligent cet aspect et finissent par courir après des erreurs mixtes, tout en perdant des visiteurs au profit de la concurrence. Nous vous montrons ci-dessous comment corriger le contenu mixte le plus rapidement possible afin que votre site web reste visible pour tout le monde.
Comment corriger manuellement un contenu mixte ?
La première chose à faire si vous rencontrez le message “Non sécurisé” dans les navigateurs est de vérifier la présence éventuelle de contenus mixtes.
Voici comment procéder dans Chrome :
- Cliquez avec le bouton droit de la souris n’importe où sur la page qui ne se charge pas via HTTPS.
- Parmi les options, sélectionnez Inspecter l’élément
- Dans les onglets disponibles, sélectionnez Console
Si le contenu de votre site est mixte, la console affichera les avertissements relatifs au contenu mixte et indiquera l’emplacement du fichier HTTP. Les contenus mixtes passifs apparaissent à côté d’un avertissement jaune, les contenus mixtes actifs à côté d’un avertissement rouge.
Si ces erreurs et avertissements ne concernent que quelques URL, vous pouvez les corriger manuellement en trois étapes rapides :
Étape 1
Assurez-vous que l’URL est disponible via HTTPS. Ouvrez un nouvel onglet dans votre navigateur et entrez l’URL dans la barre d’adresse en remplaçant http:// par https://.
Si l’image se charge sans erreur à la fois sur HTTP et HTTPS, c’est parfait ! Passez à l’étape suivante.
Remarque: si un avertissement relatif au certificat apparaît, cela signifie que l’image n’est pas disponible de manière sécurisée. Cela peut se produire avec des images hébergées sur des services externes. Dans ce cas, vous pouvez soit télécharger l’image et l’envoyer à votre hébergeur si vous êtes légalement autorisé à le faire, soit la supprimer complètement de votre site. En règle générale, vous devriez toujours héberger vos images sur votre serveur. De cette façon, vous aurez un contrôle total sur eux.
Étape 2
Changez l’URL de http:// à https:/, enregistrez le fichier source et redéployez le fichier mis à jour si nécessaire.
Étape 3
Ouvrez la page où vous avez trouvé l’erreur de contenu mixte et vérifiez que l’erreur n’apparaît plus.
Comment corriger automatiquement le contenu mixte ?
Il est facile de remplacer quelques liens, mais que faire si vous avez des dizaines, voire des centaines de liens à contenu mixte ? Existe-t-il un moyen de les corriger automatiquement ? Bien sûr que oui. La plupart des systèmes CMS devraient disposer de plugins prêts à vous aider à résoudre ce problème. WordPress, par exemple, ne manque pas d’options, le plugin Really Simple SSL étant un choix populaire.
Si vous êtes un utilisateur plus avancé, vous pouvez utiliser ce script pratique pour rechercher votre base de données et remplacer en masse les URL HTTP. Vous aurez besoin d’un accès FTP pour télécharger le script. Soyez prudent, car il peut endommager votre site s’il n’est pas exécuté correctement.
Respectez les consignes de sécurité suivantes lors de l’utilisation du script :
- Renommer le dossier racine du script afin que les pirates ne le trouvent pas facilement.
- Sauvegardez votre site et votre base de données avant d’utiliser
- Toujours revérifier le texte et procéder à un essai à blanc (pratique) avant un essai en conditions réelles
- Supprimer le script après qu’il ait fait son travail
Comment détecter et prévenir les contenus mixtes ?
Après avoir activé les HTTP, vous devez vérifier que votre certificat SSL ne comporte pas d’erreurs ou de vulnérabilités. De nombreux outils peuvent analyser votre site web et détecter les erreurs potentielles de connexion SSL, y compris les contenus mixtes.
JitBit Scanner est un outil gratuit qui parcourt l’ensemble de votre site web et recherche des ressources non sécurisées. Veuillez noter que cet outil ne permet de numériser que jusqu’à 400 pages.
Une autre option est Mixed Content Scan, un script CLI (interface de ligne de commande) qui explore et analyse les sites web HTTPS à la recherche de contenus mixtes.
La directive CSP (content security policy) ” upgrade-insecure-requests ” est un autre moyen de corriger automatiquement les contenus mixtes. Cette directive indique au navigateur qu’il doit mettre à jour les URL non sécurisées avant d’effectuer des requêtes sur le réseau.
Vous pouvez activer ce comportement en ajoutant l’extrait de code suivant à la section HTML des documents.
N’oubliez pas que si la ressource HTTP n’est pas disponible via une connexion sécurisée, les navigateurs ne parviendront pas à la mettre à niveau et à la charger. Cependant, les visiteurs pourront toujours accéder à votre page.
Réflexions finales
Il est impératif de sécuriser votre site dans le paysage en ligne actuel. Le chiffrement des sites web ayant dépassé le chiffre de 90 % dans les services Google et Firefox, les utilisateurs repèrent instantanément les sites non sécurisés et les remettent en question. Vous ne voulez certainement pas que votre site web donne une mauvaise impression à cause d’une erreur de contenu mixte facile à éviter. Contrôlez régulièrement votre certificat SSL et mettez à jour tous vos liens dès que vous passez au protocole HTTPS. Un site web sécurisé est un site sûr pour vos visiteurs et votre entreprise.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10