Lorsqu’ils consultent des sites protégés par SSL, les visiteurs s’attendent à être en sécurité et protégés – ce qu’ils sont en droit d’exiger. Lorsqu’un site ne protège ou ne sécurise pas intégralement ses contenus, le navigateur affiche une alerte de type « contenu mixte ». C’est notamment le cas lorsqu’une page Web contenant un mélange de contenus sécurisés (HTTPS) et non sécurisés (HTTP) est transmise au navigateur en SSL. Théoriquement, les contenus non sécurisés peuvent être lus ou modifiés par des pirates, même si la page parent est traitée en HTTPS.
En voyant les messages d’alerte, les visiteurs peuvent réagir de deux façons. Première possibilité, ils peuvent ignorer l’alerte et les risques de sécurité afin de poursuivre leur navigation, avec les risques potentiels associés. Deuxième possibilité : s’ils tiennent compte de cette alerte, ils peuvent quitter votre site, en pensant que la sécurité n’est visiblement pas une priorité pour vous – ce qui est encore pire.
La meilleure solution consiste bien entendu à empêcher ce type d’alerte et/ou de blocage en configurant correctement votre site pour qu’il n’affiche que des contenus sécurisés. Une alerte de contenus mixtes signifie que la page appelée – qui devrait être entièrement chiffrée – contient à la fois des éléments sécurisés et non sécurisés. Sur n’importe quelle page portant une adresse HTTPS, tous les contenus doivent provenir d’une source sécurisée. Toute page renvoyant vers une ressource HTTP est considérée comme dangereuse. Votre navigateur la marque alors comme présentant un risque pour la sécurité.
Types de contenus mixtes
Il existe deux types de contenus mixtes. Les plus dangereux sont les « contenus mixtes actifs » ou « scripts mixtes ». Le risque survient notamment lorsqu’un site HTTPS charge un fichier script en HTTP. Le chargement d’un script sur une connexion non sécurisée endommage complètement la sécurité de la page active. Généralement, les navigateurs Web bloquent entièrement ce type de contenus mixtes.
Le second type, plus fréquent, correspond à ce que l’on appelle les « contenus mixtes passifs » ou « contenus mixtes non actifs ». C’est notamment le cas lorsqu’un site HTTPS charge une image ou un fichier audio sur une connexion HTTP. Ce type de contenu ne peut pas vraiment endommager la sécurité de la page. Les navigateurs Web ne réagissent donc pas aussi strictement qu’avec les « contenus mixtes actifs ». Cette mauvaise pratique de sécurité risque néanmoins de poser problème. Les alertes de « contenus mixtes » s’affichent la plupart du temps lorsqu’un site censé être sécurisé est configuré pour récupérer des images à partir d’une source qui ne l’est pas.
Identifier et résoudre les problèmes liés aux contenus mixtes
À la recherche des contenus mixtes
La meilleure manière d’éviter les problèmes de contenus mixtes consiste à traiter tous les contenus en HTTPS plutôt qu’en HTTP. Pour retrouver facilement les contenus mixtes, il suffit de rechercher les éléments HTTP directement via votre code source.
1) Ouvrez le code source de n’importe quelle page
2) À l’aide d’une fonction de recherche, recherchez « src=http » pour localiser les images, JavaScript et liens appelés par une connexion non sécurisée (HTTP).
Réparation des contenus mixtes
Lorsque vous trouvez des contenus traités en HTTP, alors qu’ils devraient l’être en HTTPS, le simple fait d’ajouter un « s » aux préfixes (https:// au lieu de http://) suffit souvent à résoudre le problème.
Vous vérifierez tout d’abord si la ressource est disponible en HTTPS. Pour cela, vous copierez et collerez l’URL HTTP dans un nouveau navigateur Web, et modifierez le préfixe HTTP en HTTPS. Si la ressource (l’image ou l’URL) est disponible en HTTPS, il vous suffira de modifier le préfixe HTTP en HTTPS dans votre code source.
L’essentiel est que l’ensemble des images, vidéos, fichiers audio et ressources soit hébergé sur une source sécurisée.