Utilisez le panneau Sécurité dans les outils pour les développeurs Chrome pour vérifier que HTTPS est correctement implémenté sur une page. Consultez la page Pourquoi le protocole HTTPS est important pour découvrir pourquoi tous les sites Web doivent être protégés par le protocole HTTPS, même les sites qui ne traitent pas de données utilisateur sensibles.
Ouvrir le panneau de sécurité
Le panneau Sécurité est l'endroit principal dans les outils de développement pour inspecter la sécurité d'une page.
- Accédez aux Outils de développement.
Cliquez sur l'onglet Sécurité pour ouvrir le panneau Sécurité.
Figure 1 : Panneau de sécurité
Problèmes courants
Origines principales non sécurisées
Lorsque l'origine principale d'une page n'est pas sécurisée, la section Présentation de la sécurité indique Cette page n'est pas sécurisée.
Figure 2 : Une page non sécurisée
Ce problème survient lorsque l'URL que vous avez visitée a été demandée via HTTP. Pour le sécuriser, vous devez
le demander via HTTPS. Par exemple, si vous examinez l'URL dans la barre d'adresse, elle ressemble probablement à http://example.com
. Pour le sécuriser, l'URL doit être https://example.com
.
Si HTTPS est déjà configuré sur votre serveur, il vous suffit de le configurer pour rediriger toutes les requêtes HTTP vers HTTPS.
Si vous n'avez pas configuré HTTPS sur votre serveur, Let's Encrypt propose un moyen sans frais et relativement simple de démarrer le processus. Vous pouvez également envisager d'héberger votre site sur un CDN. La plupart des principaux CDN hébergent désormais par défaut des sites sur HTTPS.
Conseil : L'audit Rediriger le trafic HTTP vers HTTPS dans Lighthouse peut vous aider à automatiser le processus qui consiste à s'assurer que toutes les requêtes HTTP sont redirigées vers HTTPS.
Contenu mixte
Contenu mixte signifie que l'origine principale d'une page est sécurisée, mais que la page a demandé des ressources à partir d'origines non sécurisées. Les pages au contenu mixte ne sont que partiellement protégées, car le contenu HTTP est accessible aux renifleurs et vulnérable aux attaques MITM ("man in the middle").
Image 3. Contenu mixte
Dans la Figure 3 ci-dessus, le fait de cliquer sur Afficher 1 requête dans le panneau "Réseau" ouvre le panneau Réseau et applique le filtre mixed-content:displayed
de sorte que le journal réseau n'affiche que les ressources non sécurisées.
Figure 4. Ressources mixtes dans le journal réseau
Voir les détails
Afficher le certificat d'origine principal
Dans la section Vue d'ensemble de la sécurité, cliquez sur Afficher le certificat pour inspecter rapidement le certificat de l'origine principale.
Figure 5. Un certificat d'origine principal
Afficher les détails de l'origine
Cliquez sur l'une des entrées dans le menu de navigation de gauche pour afficher les détails de l'origine. Sur cette page, vous pouvez afficher des informations sur les connexions et les certificats. Les informations sur la transparence des certificats sont également affichées lorsqu'elles sont disponibles.
Figure 6. Informations sur l'origine principale