Afin d'améliorer encore la protection de la vie privée des utilisateurs, Google a annoncé le 3 octobre 2019 qu'il allait migrer tous les "contenus mixtes" non sécurisés vers le HTTPS et bloquer les contenus non sécurisés par défaut. En d'autres termes, les utilisateurs pourraient ne pas voir certains des contenus de votre site web. Si vous chargez une connexion HTTP non sécurisée sur une page sécurisée, vous devriez penser à les corriger. Nous reviendrons plus en détail sur cette annonce dans cet article. En outre, nous verrons toutes les options dont vous disposez dans de tels cas.

Que sont les contenus mixtes, HTTPS et HTTP ?

HTTP signifie "HyperText Transfer Protocol". C'est un langage utilisé par le web pour communiquer des ressources demandées entre des clients web et un serveur. Et HTTPS est la version sécurisée de HTTP. Pour crypter la communication entre un client web et un serveur, vous avez besoin d'un HTTPS. L'un des avantages du HTTPS est qu'il évite que les données transmises entre les clients et les serveurs soient facilement corrompues ou interprétées par des tiers malveillants.On parle de contenu mixte lorsque votre document HTML se charge à la fois avec une connexion HTTPS sécurisée et une connexion HTTP non sécurisée. Par exemple, si vous installez un certificat SSL sur votre site web et que vous chargez du contenu comme des images, des scripts ou des vidéos sur une connexion non sécurisée, nous dirons que votre page web est un contenu mixte non sécurisé.

Que signifie le blocage de tout contenu non sécurisé par défaut ?

La déclaration ci-dessus signifie que tout le contenu avec une connexion non sécurisée ne s'affichera pas sur le navigateur d'un utilisateur à moins qu'il ne l'autorise. Cette fonction était disponible sur Chrome pour script et iFrame. Google vient d'étendre cette fonctionnalité à tous les types de ressources. Et il vous est demandé de faire quelques ajustements sur votre site web.Par exemple, je change intentionnellement le https d'un de mes fichiers Javascript en HTTP. Vous pouvez voir l'erreur à votre droite. De plus, vous verrez que la page cesse de charger du contenu (parce que les données sont cruciales).

Calendrier de Google pour effectuer tous les changements

Vous trouverez ci-dessous quelques échéances qui ont de fortes chances d'être ou de se produire dans la manière dont le chrome traite les "contenus mixtes".

Décembre 2019 (dernière année)

Google a publié un canal stable dans Chrome 79. Un nouveau paramètre permet de débloquer les contenus mixtes sur des sites spécifiques. Comme annoncé par Google, un utilisateur peut désormais basculer la configuration en cliquant sur le verrou https. Si vous vous souvenez bien, ce n'était pas le cas avant. Auparavant, il y avait une icône de bouclier rouge à droite de l'URL.

Janvier 2020

C'était le tour des ressources audio et vidéo (Chrome 80). Par conséquent, si vous avez un audio ou une vidéo provenant d'une source non sécurisée, vous devrez déverrouiller le paramètre ci-dessus.Notez que vous pouvez faire des images fixes sur Chrome 80. Mais vous remarquerez que votre page web affichera un avis "Non sécurisé".

Février 2020

Tout "contenu mixte" que vous chargez ne sera pas affiché. A moins qu'un utilisateur ne décide d'activer le paramètre.

Conséquences de ces changements essentiels

Au cas où vous n'auriez pas compris, de nombreux effets sont liés à ce changement. En voici quelques-uns :

Effet 1 : - Perte de trafic et de visiteurs

Peu de gens voudront rester sur un site web s'ils ont l'impression que le site n'est pas sécurisé. Même si l'avis ne "nuirait" pas techniquement un visiteur, celui-ci peut se sentir menacé et quitter.  En conséquence, vous pouvez constater une diminution du nombre de vos visiteurs. Nous savons tous que la popularité d'une page web dépend également du nombre de visiteurs et de la durée de leur séjour.

Effet 2 : - Certains contenus cachés sur votre site web

Contrairement au javascript, qui ne s'affiche pas nécessairement, les gens remarqueront rapidement certains changements sur votre site. Par exemple, si, par défaut, un utilisateur n'autorise pas l'affichage de votre contenu non sécurisé, ce qui s'affichera sera des espaces vides.

Plusieurs approches pour résoudre le problème du "contenu mixte

La source d'un "contenu mixte" pourrait être :
  • Une image sur votre site
  • Iframes ou vidéos
  • Script ou feuille de style
  • Tout autre lien
En tant que propriétaire d'un site web, vous pouvez avoir ou non suffisamment d'informations sur l'emplacement du fichier dans votre serveur. La source peut se trouver directement dans votre code ou dans des ressources tierces. Vous trouverez ci-dessous les options permettant de résoudre le problème.

Si l'URL du fichier est votre site web

Vous pouvez trouver le modèle de page ou le code qui remplit la page et changer HTTP en HTTPS. Par exemple, supposons que vous ayez une image http:prositeweb.ca/images.jpg qui provoque l'avis "Contenu mixte". Pour le résoudre, vous devrez localiser le moment où le fichier est et remplacer le "http :" par "https :" Au final, vous aurez https:prositeweb.ca/images.jpg

Si l'URL des données n'est pas votre site web

Dans ce cas, vous essaierez d'appliquer la recommandation ci-dessus. Deux choses peuvent se produire ; si le site externe est sécurisé, tout ira bien. En revanche, s'il n'est pas sécurisé, vous verrez quand même l'avis. À ce stade, je vous recommanderai soit de télécharger le fichier externe (si vous en avez le droit), soit de chercher une alternative.

Changements en masse sur un "contenu mixte" non sécurisé...

Si vous utilisez une base de données pour alimenter le contenu de votre site, tous vos contenus mixtes peuvent se trouver directement dans votre base de données. Dans ce cas, vous devez lancer une requête pour appliquer le changement à toute la connexion "http :".  L'article ci-dessous peut vous guider sur les étapes "Comment créer un domaine sans cookie". Faites attention au point "3. Mettez à jour votre base de données SQL avec la requête suivante" presque à la fin de l'article.

Prenez contact avec votre fournisseur tiers

Changer toutes les demandes "http :" en "https :" peut ne pas être sûr lorsque vous traitez avec des ressources tierces. Par exemple, si vous utilisez un logiciel externe pour afficher vlog sur votre site web via iframe ou API, au cas où le support n'est pas sécurisé, le changement ne sera pas utile. Dans ce cas, si vous le pouvez, vous pouvez voir avec le fournisseur pour une mise à jour SSL. Sinon, vérifiez si vous pouvez disposer d'une autre ressource sécurisée pour remplir la même fonction.

Conclusion

L'article portait sur un site web sécurisé qui chargeait un "contenu mixte" non sécurisé. Tout au long du rapport, nous avons discuté de ce que signifie avoir un "contenu mixte" non sécurisé. Nous avons également vu les approches pour résoudre les problèmes.Si vous avez un problème avec le chargement de ressources non sécurisées et que vous n'avez pas obtenu de réponse dans cet article, pouvez-vous nous faire part de votre situation ? Nous serons heureux de vous aider.Si vous aimez cet article, celui-ci pourrait vous intéresser :

Sept astuces pour renforcer la sécurité de vos solutions web basées sur mon expérience douloureuse