HTTPS différents sur Mozilla Chrome et Microsoft Edge

3 participants

Voir le sujet précédent Voir le sujet suivant Aller en bas

Résolu HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par photoclic Dim 20 Mai 2018 - 0:38

Bonsoir,

Après acquisition du pack avancé, j'ai passé mon forum en HTTPS il y a quelques jours.

Les points soulevés par @Walt dans ce post : https://forum.forumactif.com/t396541-passage-au-pack-avance  ont été traités.

Avec Mozilla, j'ai bien le cadenas vert, mais je ne l'ai pas avec Chrome et Microsoft Edge.
Avec Chrome, j'ai le message: "Votre connexion à ce site n'est pas complétement sécurisé.

Pourriez-vous m'indiquer pourquoi c'est OK avec Mozilla et pas avec les autres explorateurs?
Merci pour votre aide.
photoclic

photoclic
Membre habitué

Masculin
Messages : 1333
Inscrit(e) le : 20/11/2015

http://photoclic.forum-pro.fr/
photoclic a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par w00tw00t Dim 20 Mai 2018 - 1:34

Bonjour photoclic,

Après une analyse rapide, il semble que le problème vienne de ce script :

HTTPS différents sur Mozilla Chrome et Microsoft Edge OYNsUqr

Essayez de remplacer dans votre template :
Code:
<script type="text/javascript" src="http://tinyurl.com/var-fa"></script>

Par :
Code:
<script type="text/javascript" src="https://sd-1.archive-host.com/membres/up/137670929941788204/var_fa.js"></script>

Les entêtes HTTP de la réponse possèdent bien un "upgrade-insecure-requests" positionné. Néanmoins il est possible que certains navigateurs ne procèdent pas à ce type d'upgrade vers HTTPS pour des scripts, ou tout simplement lorsque ce type d'opérations s'effectuent avec certains noms de domaines (comme "tinyurl") qui peuvent paraitre un peu suspects.

Idéalement, hébergez sur votre forum les scripts additionnels qui vous servent à le personnaliser, et vérifiez que le contenu de ces scripts n'adressent pas des ressources en HTTP simple.

En revanche pour ce qui est des images par exemple, et puisque c'est beaucoup moins critique, les navigateurs essayeront très probablement de télécharger en HTTPS celles présentes en HTTP (grâce à votre entête positionnée) sans aucune réserve ni action complémentaire de votre part.

Cordialement,
w00tw00t
w00tw00t

w00tw00t
***

Messages : 118
Inscrit(e) le : 09/05/2018

http://forum.forumactif.org
w00tw00t a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par Faline Dim 20 Mai 2018 - 3:15

Faline

Faline
Membre habitué

Féminin
Messages : 1480
Inscrit(e) le : 16/08/2006

https://laststickers.forumactif.com
Faline a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par photoclic Dim 20 Mai 2018 - 8:38

Un grand merci à vous 2.

@W00twt00t J[/size][/size]'ai fait la modification dans le template. Le problème semble subsister.

Probablement d'autres http qui traîneraient alors, mais comment les repérer et savoir quoi mettre à le place?
photoclic

photoclic
Membre habitué

Masculin
Messages : 1333
Inscrit(e) le : 20/11/2015

http://photoclic.forum-pro.fr/
photoclic a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par w00tw00t Dim 20 Mai 2018 - 13:26

Bonjour photoclic,

Tout d'abord n'hésitez pas à consulter la documentation au besoin :
https://forum.forumactif.com/t389989-nouveau-possibilite-de-passer-son-forum-forumactif-en-https
https://forum.forumactif.com/t390029-certificat-ssl-guide-d-un-passage-reussi-du-forum-en-https

Ensuite, pouvez-vous nous montrer quelles sont les options activées relatives au HTTPS dans votre panneau d'administration ?
HTTPS différents sur Mozilla Chrome et Microsoft Edge 26-01-12

J'ai procédé à quelques tests sur ma maquette en attendant. J'ai obtenu l'apparition du label sécurisé sur toutes vos pages dans deux cas :

- 1er cas : avec l'entête de réponse "Content-Security-Policy" positionnée à "block-all-mixed-content", ce qui bloque les fetchs de toutes les ressources adressées en HTTP simple.

- 2ème cas : après remplacement à la volée de toutes vos ressources http vers https, et suppression de l'image :
Code:
https://img.root-top.com/topsite/royalepub/banner.gif

qui débouche sur un lien HTTP simple.

Théoriquement FA doit vous proposer des options pour reproduire ce type de comportement, c'est pourquoi il nous faudrait constater quelles sont les options HTTPS activées dans votre panneau d'administration.

Cordialement,
w00tw00t
w00tw00t

w00tw00t
***

Messages : 118
Inscrit(e) le : 09/05/2018

http://forum.forumactif.org
w00tw00t a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par photoclic Dim 20 Mai 2018 - 15:47

Bonjour @w00tw00t

Merci pour votre suivi et pour les liens.

Les options activées pour mon forum:
HTTPS différents sur Mozilla Chrome et Microsoft Edge Captur44

Concernant l'image posant problème, elle se situe dans un widget. J'ai hébergée l'image sur servimg.
Par contre les adresses des sites sont en http. Cela est-il ennuyeux, si oui, je retirerai ce widget.

Voici le code du widget:
Code:

<div align="center" style="background: #F3F9F9">
   <strong> <span style="font-size: 13px; line-height: 0.8">Le clic, pour un autre regard photographique<br /><br /> <a title="Votez pour Photoclic sur le topsite de l'Annuaire des forums Forumactif" href="http://www.forumsdeforumactif.com/h8-vote-sur-topsites?ID=10" target="_blank"><img alt="votez pour Photoclic" src="https://i.servimg.com/u/f62/18/97/96/21/ban_mi10.png" /></a>  <br />  <br />    <a href="http://www.root-top.com/topsite/royalepub/in.php?ID=70" target="_blank"><img border="0" title="clic autre regard photographique" alt="clic autre regard photographique" src="https://i.servimg.com/u/f62/18/97/96/21/11645010.gif" /><br /><br />Cliquer et voter pour Photoclic. Merci.</a><br />  <br /><a href="http://www.nadidom.be/pages/topsite/vote.php?id=26" target="_blank"><img src="https://i.servimg.com/u/f62/18/97/96/21/top-si10.jpg" /></a><br /><br /></span></strong>                      
</div>

Merci encore pour votre aide et vos essais sur mon site.
photoclic

photoclic
Membre habitué

Masculin
Messages : 1333
Inscrit(e) le : 20/11/2015

http://photoclic.forum-pro.fr/
photoclic a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par w00tw00t Dim 20 Mai 2018 - 16:40

Bonjour photoclic,

De ma compréhension, c'est l'option FA "Forcer la compatibilité HTTPS" qui positionne l'entête HTTP "Content-Security-Policy" à "Upgrade-Insecure-Requests". Théoriquement le navigateur doit donc chercher à charger la plupart de vos ressources accessibles en HTTP simple qui le serait aussi via HTTPS en HTTPS.

Néanmoins "Upgrade-Insecure-Requests" est moins stricte que "Block-All-Mixed-Content" (qui n'est pas proposé en option par FA actuellement), et semble avoir quelques limitations avec Chrome :

- lorsque l'on tente de charger un script en HTTP simple, son chargement semble bloqué, et Chrome indique que la connexion n'est pas totalement sécurisée.

- lorsque l'on tente d'adresser une ressource HTTPS qui effectue une 301/302 vers une ressource HTTP, Chrome semble retourner l'erreur également.

Etant donné que nous avons résolu ces cas particuliers, Chrome et Edge semblent indiquer un certificat valide partout dorénavant.
Est-ce le cas chez vous également ? Si non sur quelle page le phénomène se produit encore ?

Pour votre widget, à mon sens ce n'est absolument pas gênant de laisser des liens hypertextes vers des pages HTTP. En tout cas, à voir par la suite la politique des navigateurs, mais pour le moment cela ne devrait pas influer sur votre label sécurisé. La question se pose davantage lorsqu'il s'agit de ressources accédées en HTTP, et lorsque certaines spécificités évoquées plus haut sont réunies.

Cordialement,
w00tw00t
w00tw00t

w00tw00t
***

Messages : 118
Inscrit(e) le : 09/05/2018

http://forum.forumactif.org
w00tw00t a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par photoclic Lun 21 Mai 2018 - 1:05

Merci @w00tw00t.

Apparemment le cadenas vert apparait bien maintenant sur Chrome  (il disparaissait parfois suite à un rafraichissement de la page d'accueil en fin d'après midi, mais semble ne plus le faire maintenant).

Sur microsoft Edge par contre, il y a bien le cadenas, mais il n'est pas vert :
HTTPS différents sur Mozilla Chrome et Microsoft Edge Captur45
photoclic

photoclic
Membre habitué

Masculin
Messages : 1333
Inscrit(e) le : 20/11/2015

http://photoclic.forum-pro.fr/
photoclic a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par w00tw00t Lun 21 Mai 2018 - 1:45

Bonjour photoclic,

Avez-vous essayé un grand site comme https://google.com avec Edge ?
Le cadenas ne se distingue pas particulièrement en vert de mon coté.

Sauf preuve contraire, le petit cadenas gris me semble donc un résultat logique et valide pour votre site sous Edge.

Cordialement,
w00tw00t
w00tw00t

w00tw00t
***

Messages : 118
Inscrit(e) le : 09/05/2018

http://forum.forumactif.org
w00tw00t a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par photoclic Lun 21 Mai 2018 - 1:56

Bonsoir @w00tw00t.

En effet, vous avez raison pour Google, je ne l'avais pas essayé sous Edge.
Ceci est donc rassurant.

Merci pour tout.
Je passe demain ce sujet en résolu.
photoclic

photoclic
Membre habitué

Masculin
Messages : 1333
Inscrit(e) le : 20/11/2015

http://photoclic.forum-pro.fr/
photoclic a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS différents sur Mozilla Chrome et Microsoft Edge

Message par photoclic Lun 21 Mai 2018 - 13:47

Juste une info pour forumactif (qui n'a pas de cadenas vert d'ailleurs quand je m'y connecte sous Mozilla, mais un i dans un cercle):

Quand je lance un test de mon forum dans https://www.whynopadlock.com/ tout est OK mainteanat, excepté ce message en bas de page:

HTTPS différents sur Mozilla Chrome et Microsoft Edge Captur46

Peut-être est-il prévu une intervention de leur part avant la date indiquée.
photoclic

photoclic
Membre habitué

Masculin
Messages : 1333
Inscrit(e) le : 20/11/2015

http://photoclic.forum-pro.fr/
photoclic a été remercié(e) par l'auteur de ce sujet.

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum