La nécessité de passer au HTTPS est un record coincé. La plupart des sites commerciaux et des blogs lisibles fonctionnent depuis longtemps sur un protocole sécurisé. Il semblerait qu'ils aient traversé et oublié. Mais non - Google est en alerte. à un moment donné, il a encouragé les webmasters à passer au HTTPS, ce qui en fait un facteur de classement. Et maintenant, il a lancé le «renforcement négatif» - il a commencé un blocage total des ressources chargées via HTTP. Et - une surprise - il pourrait ne pas aimer votre excellent HTTPS, car le site a un contenu mixte.
Nous comprenons pourquoi Google ne l'aime pas, comment le trouver et faire en sorte que tout se passe bien.
Comment Google motive le passage au HTTPS: du pain d'Ă©pice au fouet
La lutte de Google pour sécuriser les transferts de données à l'aide de HTTPS a commencé il y a longtemps:
- 2019 - Google a annoncé qu'il se déplacerait systématiquement pour s'assurer que seules les ressources HTTPS sont chargées sur les pages HTTPS. En conséquence, Chrome commencera à bloquer le contenu mixte .
Le blocage sera mis en Ćuvre progressivement:
- Décembre 2019 - Chrome 79 débloquera votre contenu bloqué. Avec cette option, vous pouvez déverrouiller des scripts, des cadres et d'autres types de contenu que Chrome bloque par défaut. Cette option ressemblera à ceci:
- Janvier 2020 - Dans Chrome 80, le contenu audio et vidéo sera automatiquement téléchargé à partir de HTTPS. Si le téléchargement via HTTPS échoue, Chrome bloquera ces ressources. Si nécessaire, les utilisateurs peuvent les déverrouiller manuellement. Dans Chrome 80, les images téléchargées sur des sites HTTPS avec HTTP ne seront pas bloquées, mais un message apparaßt indiquant que la connexion n'est pas sécurisée.
- Février 2020 - Chrome 81 télécharge automatiquement les images de HTTPS. S'ils sont inaccessibles, le navigateur les bloquera.
Le blocage de contenu mixte n'est pas uniquement utilisé dans Chrome. Par exemple, le contenu actif bloque Firefox (à partir de la version 23), Internet Explorer (à partir de la version 9) et d'autres navigateurs. Mais le blocage des images, du contenu audio et vidéo a commencé précisément dans Google.
Grùce à la stimulation de la transition vers un protocole sécurisé, la part des sites utilisant HTTPS au cours de l'année écoulée est passée de 43,5% à 56,5%.
Et 85% des pages chargées dans Chrome par des utilisateurs russes transmettent des données via HTTPS. En 2015, cet indicateur n'était que de 28%.
Ătant donnĂ© qu'en Russie, environ 41% des utilisateurs utilisent le navigateur Chrome, cela vaut la peine de se prĂ©parer Ă bloquer le contenu mixte afin de ne pas perdre de trafic et de position dans l'organisation.
Module SEO dans le systÚme Promopult: tous les outils pour améliorer la qualité du site et la promotion des moteurs de recherche. Une gamme complÚte de travaux - avec nous, vous ne manquerez pas une seule bagatelle. Listes de contrÎle, conseils, rapports transparents et recommandations professionnelles. Garanties, paiement échelonné.
Disons le trier dans l'ordre.
Qu'est-ce qu'un contenu mixte et pourquoi il ne devrait pas ĂȘtre sur le site
Contenu mixte (dans l'original - «contenu mixte») - c'est lorsque la page est chargée via une connexion HTTPS sécurisée, mais des ressources individuelles (images, styles, scripts, etc.) - via HTTP non protégé.
Par exemple, vous ĂȘtes passĂ© au HTTPS (pas encore? Voici les instructions ). Mais sur l'une des pages, vous chargez toujours l'image Ă partir d'une bibliothĂšque externe, qui est disponible Ă l'adresse du type de site site.ru. Il s'agit d'un contenu mixte.
Selon la spécification W3C , le contenu mixte est divisé en deux types:
- verrouillable en option (cela inclut les images, la vidéo, l'audio);
- verrouillable (autre contenu - scripts, styles, cadres, flash, etc.).
Le contenu bloquĂ© est actif. Les attaquants peuvent intercepter et modifier le contenu actif de maniĂšre Ă obtenir un contrĂŽle total sur la page ou mĂȘme l'ensemble du site. Le vol de mots de passe et de donnĂ©es personnelles des utilisateurs, les cookies, la redirection des utilisateurs vers un autre site, la modification du contenu visible ne sont que quelques exemples des menaces que pose le tĂ©lĂ©chargement de contenu actif via HTTP.
En raison des dommages et des risques potentiels élevés pour les utilisateurs, il est conseillé aux navigateurs de bloquer ce contenu mixte.
Voici quelques types de requĂȘtes HTTP considĂ©rĂ©es comme du contenu actif:
- <script> (attribut src);
- <link> (attribut href) (y compris les liens en CSS);
- <iframe> (attribut src);
- RequĂȘtes XMLHttpRequest
- requĂȘtes fetch ()
- utilisation de liens en CSS (font-face, curseur, background-image);
- <objet> (attribut de données).
Le contenu éventuellement bloqué est passif. Si les attaquants l'interceptent, ils ne pourront pas perturber le site ni reprendre, par exemple, les données de paiement des utilisateurs.
Mais le danger demeure. Par exemple, les attaquants peuvent intercepter des images ou des vidĂ©os et les remplacer par d'autres. Cela peut nuire gravement Ă la rĂ©putation (les histoires sur l'apparition de vidĂ©os ou d'images Ă contenu pornographique sur les sites Web des chaĂźnes fĂ©dĂ©rales ou des institutions d'Ătat sont fraĂźches dans la mĂ©moire). De plus, les attaquants peuvent suivre les pages consultĂ©es par les utilisateurs, les produits qui les intĂ©ressent et le contenu qu'ils consultent.
Voici les types de requĂȘtes HTTP qui sont considĂ©rĂ©es comme du contenu passif:
- <img> (attribut src);
- <audio> (attribut src);
- <video> (attribut src).
Si vous ne souhaitez pas que les ressources de votre site soient bloquées, auditez-le, recherchez un contenu mixte et rendez-le accessible via HTTPS.
Comment détecter un contenu mixte sur un site
Il existe différentes façons de savoir que votre site a un contenu mixte.
Par icĂŽne dans la barre d'adresse du navigateur
C'est le moyen le plus évident. Par exemple, nous allons ouvrir une page sécurisée avec une image qui est téléchargée via HTTP. Le code source de cette page est:
Dans le navigateur Chrome, nous voyons une icĂŽne, lorsque vous cliquez dessus, nous obtenons une explication:
Mozilla Firefox a une histoire similaire:
Les inconvénients de la méthode:
- il n'est pas clair quelles ressources sont chargées via HTTP;
- vous devez vérifier chaque page manuellement.
Par conséquent, il s'agit davantage d'un indicateur que d'une maniÚre complÚte de rechercher un contenu mixte.
En recherchant la source de la page
Ouvrez le code HTML source de la page dans le navigateur (Ctrl + U) et recherchez le fragment «http:» (Ctrl + F).
Dans ce cas, nous savons exactement quelles ressources sont chargées via HTTP. Mais s'il y a beaucoup de pages sur le site, cette méthode ne fonctionne pas.
Notifications dans la console développeur
Ouvrez la page que vous souhaitez vérifier dans Chrome et appuyez sur Ctrl + Maj + I. La page a un contenu mixte, comme en témoignent les erreurs «Contenu mixte» avec une description détaillée.
De mĂȘme, nous pouvons vĂ©rifier les erreurs dans Firefox:
L'avantage de la méthode est que toutes les erreurs liées au chargement de contenu mixte sur la page sont collectées immédiatement dans la console. L'inconvénient est, encore une fois, que vous devez vérifier chaque page manuellement.
VĂ©rificateur SSL de JitBit
JitBit est un moyen rapide d'identifier les pages d'un site qui ont un contenu mixte. Nous spécifions le domaine - nous recevons la liste des URL "problématiques".
L'inconvénient est qu'il n'est pas clair quel type de contenu mixte se trouve sur les pages. Ensuite, vous devez tout vérifier manuellement. De plus, le service n'est pas adapté aux sites de plus de 300 à 400 pages.
Rapport sur le contenu mixte du phare
Cette méthode vous permet d'obtenir des données immédiatement par un tableau d'URL. Vous n'avez pas besoin de vérifier chaque URL manuellement et vous verrez une liste complÚte des ressources chargées via HTTP.
Mais par dĂ©faut, l'extension Lighthouse n'a pas de rapport de contenu mixte. Il doit ĂȘtre exĂ©cutĂ© Ă partir de la ligne de commande. Comment faire:
1. Installez le navigateur de développeur Google Canary .
2. Installez Node.js.
3. Exécutez l'invite de commandes Node.js.
4. Exécutez la commande:
npm install -g lighthouse
L'installation du phare commence.
Une fois l'installation terminée, vous recevrez la notification suivante:
5. Exécutez le rapport à l'aide de la commande (remplacez l'URL par l'adresse de la page au format site.ru ):
lighthouse --preset="mixed-content" URL
La génération du rapport commencera.
Une fois terminé, le systÚme vous informera dans quel dossier le rapport est stocké.
Par défaut, les rapports sont enregistrés au format HTML.
Vous pouvez modifier le format de sortie Ă l'aide de la commande --output. Pour obtenir de l'aide sur ces commandes et d'autres, tapez dans la console:
lighthouse --help
Le rapport comporte deux audits:
- Utilisation de HTTPS
- Chargement sécurisé des ressources.
En cas de problÚme, il sera indiqué quelles ressources sont chargées via HTTP.
Rapport Lighthouse Mixed-Content pour plusieurs URL Ă la fois
Pour vérifier plusieurs URL:
1. Créez un fichier TXT et mettez-y une liste d'URL à vérifier.
2. Créez un fichier BAT et placez-y le code suivant (entre guillemets, indiquez le chemin d'accÚs à votre fichier TXT et son nom):
@For /F "UseBackQ Delims=" %%A In ("C:\Users\light\urls.txt") Do @LightHouse "%%A" --preset="mixed-content"
3. ExĂ©cutez le fichier BAT Ă partir de la ligne de commande. Si le fichier est stockĂ© dans le mĂȘme dossier que les rapports, entrez simplement le nom du fichier et appuyez sur EntrĂ©e. Sinon, vous devez Ă©crire start et spĂ©cifier l'adresse du fichier BAT avec un espace.
Le temps d'attente dépend du nombre d'URL dans le fichier texte. Pour chaque URL, vous recevrez un rapport distinct.
Merci à Christopher Giezendanner pour cette méthode.
Rapport de contenu mixte dans Screaming Frog SEO Spider
C'est probablement le moyen le plus pratique. Mais, contrairement aux précédents, il est payé. Le coût du programme Screaming Frog SEO Spider est de 149 £ par an.
Pour obtenir les données, exécutez le rapport Contenu non sécurisé et vous aurez une liste de ressources avec HTTP.
Découvrez comment analyser presque toutes les données de n'importe quel site à l'aide de Screaming Frog sur le blog PromoPult.
Comment Ă©liminer le contenu mixte
Vous avez donc trouvé un contenu mixte sur votre site. Environ la moitié du travail est effectué. Mais vous devez toujours l'éliminer. Il n'y a pas de solution unique - vous devez agir en fonction de la situation.
Les liens HTTP peuvent conduire Ă des ressources internes et externes.
AprĂšs le passage Ă HTTPS, toutes les ressources internes doivent ĂȘtre chargĂ©es avec HTTPS. Habituellement, ils changent les liens absolus en liens relatifs, configurent des redirections et le problĂšme est immĂ©diatement rĂ©solu.
Avec des ressources externes, ce n'est pas si simple.
Le scénario idéal est le suivant:
- trouver l'URL avec HTTP;
- VĂ©rifiez si la mĂȘme ressource est disponible via HTTPS;
- si c'est le cas, changez le lien de HTTP en HTTPS;
- vérifier - si tout fonctionne, oubliez le problÚme.
Mais il arrive que les ressources ne soient pas disponibles via HTTPS. Dans ce cas, il existe trois solutions:
- Contactez le propriétaire de la ressource et demandez-lui de passer en HTTPS (il s'agit de la catégorie de la science-fiction).
- Trouvez une alternative sûre à une ressource sur HTTP (toutes les ressources décentes sont depuis longtemps passées à HTTPS).
- Ne faites rien (c'est un cas extrĂȘme - si vous ne pouvez tout simplement pas remplacer la ressource du tout, et c'est important pour vos utilisateurs).
Pour des raisons purement techniques, il est plus facile de remplacer une seule URL (par exemple, dans un article auquel vous avez fait référence à un site sans HTTPS). Il suffit d'ouvrir le code source et de faire une modification.
Mais il existe des URL qui ne peuvent pas ĂȘtre corrigĂ©es en une seule fois. Par exemple, cela inclut les liens dans les styles, les scripts, les liens de bout en bout, etc. Dans ce cas, vous devez connecter un programmeur ou utiliser des plugins.
Par exemple, pour WordPress, il existe de tels plugins:
- Fixateur de contenu non sécurisé SSL . Vous permet de corriger automatiquement les liens vers des ressources non sécurisées. Idéalement, vous pouvez choisir une «profondeur» de corrections différente et, si nécessaire, ignorer les sites externes.
- SSL vraiment simple . Il s'agit d'un plugin permettant de passer rapidement en HTTPS. Il modifie automatiquement les liens en relatif et élimine le contenu mixte. La version PRO a la possibilité de scanner le site pour un contenu mixte.
- Rechercher et remplacer . Un plugin pour rechercher et remplacer tout contenu sur le site, y compris le contenu mixte. Les domaines changent dans l'onglet "Remplacer l'URL du domaine".
AprÚs le remplacement, vous pouvez voir les détails - quels liens et dans quelles parties du code ont été remplacés.
Lorsque vous utilisez des plugins, il est important de comprendre clairement ce que vous faites. Nous ne recommandons pas d'apporter des modifications sans avoir préalablement sauvegardé le site. Vous pouvez donc toujours revenir au point de départ.
Et que la puissance du HTTPS soit avec vous.