Certificat SSL reconnu et « mixed content »

Erreur Mozilla Firefox certifcat SSL non reconnu
Erreur certificat SSL auto signé
HTTPS sur le blog SHZ

Un certificat SSL certifié (ou reconnu) par une autorité de confiance permet d’éviter le message d’erreur ci-dessus, que l’on peut obtenir si on auto-signe son certificat. Le « mixed content » peut aussi être vecteur de messages d’erreur sur les pages complétées d’un certificat signé.

Pourquoi un certificat doit être reconnu par une autorité de confiance ?

Le rôle du certificat est de garantir que le nom de domaine (ici securite-info.com) est bien ledit site. Si un pirate détourne le nom de domaine (par exemple en spoofant l’adresse ip du site sur votre machine), vous serez redirigé vers son site internet, et non le nôtre.

Concrètement :

L’adresse ip du site est 91.121.49.59, le DNS redirige alors securite-info.com vers cette adresse ip. Si votre ordinateur est la cible d’une attaque par spoof, il dira : securite-info.com a comme adresse ip x.x.x.x (qui se révélera être la sienne). En vous connectant sur securite-info.com, vous tomberez alors sur le site pirate.

Mais comme le site est certifié par une autorité de confiance, il ne pourrait pas se faire passer pour nous !

Il pourrait imiter le certificat, mais ceci générerait une erreur comme nous l’avons vu plus haut. C’est là le but de la certification.

Qu’est-ce que le Mixed Content ?

Le « mixed content » ou contenu mixte est le fait de contenir dans une même page, du contenu sécurisé (https) et du contenu non sécurisé (http).

J’ai volontairement importé une image non sécurisée sur une page. Si on regarde dans la barre d’adresse, le navigateur nous informe que la page n’est pas totalement sécurisée : “connexion partiellement chiffrée“.

Contenu mixte non sécurisé
Page d’informations de sécurité Mozilla Firefox

Certaines parties de la page que vous visionnez n’ont pas été chiffrées avant d’être transmises sur Internet.

Les informations envoyées sur Internet sans chiffrement peuvent être vues par d’autres personnes durant leur transit.

Pour la personne qui visite votre site, cela peut être dérangeant, surtout si vous vendez sur ce site : cela n’inspire pas confiance, quand bien même vous seriez de bonne foi et n’auriez pas fait attention au chiffrement des images.

Le mixed-content empêche d’avoir un cadenas HTTPS vert sur son site !

C’est le plus important et c’est pourquoi vous devez supprimer le contenu mixte de vos pages web. La personne qui arrive sur votre site internet doit pouvoir voir que le site internet est totalement sécurisé.

En cas de contenu mixte, le navigateur n’affiche pas d’erreur mais le https:// est grisé.

Détecter et supprimer le mixed content

Pour vous, webmaster, il est primordial de supprimer le contenu mixte de toutes vos pages. On parle ici des images, mais aussi des scripts utilisés dans vos pages.

La détection du contenu mixte est plutôt simple.

  • Clic-droit sur la page, examiner l’élément, puis rendez-vous dans la console
  • Ou CTRL+MAJ+k sous Mozilla Firefox
  • Ou CTRL+MAJ+j sous Chrome / Chromium

Rechargez la page, et des lignes rouges comme celles-ci devraient s’afficher. À vous de supprimer ou de remplacer le document en question.

Contenu mixte sécurité info
Console du navigateur avec erreur de contenu mixte

 

Supprimer le mixed-content en une ligne de code SQL

On peut automatiser tout cela très simplement via la base de données, voici la commande à taper (sous WordPress), cependant vous trouverez sans doute les commandes correspondantes à votre CMS sur Google.

Supprimer le mixed-content sous WordPress avec MySQL

UPDATE `wp_posts` SET `post_content`= REPLACE(`post_content`, 'http://www.cubis-helios.com', 'https://www.cubis-helios.com');

Remplacera tout le contenu avec “http://www.cubis-helios.com” en “https://www.cubis-helios.com”.

Je crois que mon ordinateur a un virus

« Je crois que mon pc a un virus », on entend très souvent cette phrase sortir de la bouche des clients chez les informaticiens, ou sur les forums informatiques. Le souci, c’est que l’on en voit que les symptômes, on suspecte, mais on ne sait pas, et on sait encore moins quoi faire :

  • ordinateur qui rame, fenêtre qui se « freeze » (ne peut plus être cliqué) ;
  • fermeture des programmes intempestive ;
  • pc qui met du temps à s’allumer et à s’éteindre ;
  • messages d’erreur ;

Continuer la lecture de « Je crois que mon ordinateur a un virus »

Résoudre la connexion OpenVPN (Windows 8 & 8.1)

Connexion à OpenVPN server
Connexion client OpenVPN

Sous la dernière version de Windows (version 8 et 8.1), OpenVPN a tendance à ne pas fonctionner.

En cause, le driver TAP qui se charge de dessiner les routes pour mapper le réseau.

Plusieurs symptômes peuvent apparaître :

  • OpenVPN se connecte, mais se reconnecte toutes les « x » secondes
  • OpenVPN se connecte, mais impossible de parcourir la route
  • OpenVPN ne crée pas de route

Continuer la lecture de « Résoudre la connexion OpenVPN (Windows 8 & 8.1) »

Usage personnel de l’ordinateur au travail

Internet et travail
L’internet et le travail

Usage abusif d’internet au travail


L’utilisation d’internet sur le lieu de travail se généralise de plus en plus. En effet, le réseau Internet représente une source d’informations considérables mise à la portée de tous. Cependant, l’utilisation d’Internet sur le lieu de travail peut conduire à un certain nombre de dérives. Continuer la lecture de « Usage personnel de l’ordinateur au travail »