HTTPS différents sur Mozilla Chrome et Microsoft Edge

[photoclic]

Bonsoir,

Après acquisition du pack avancé, j'ai passé mon forum en HTTPS il y a quelques jours.

Les points soulevés par @Walt dans ce post : https://forum.forumactif.com/t396541-passage-au-pack-avance  ont été traités.

Avec Mozilla, j'ai bien le cadenas vert, mais je ne l'ai pas avec Chrome et Microsoft Edge.
Avec Chrome, j'ai le message: "Votre connexion à ce site n'est pas complétement sécurisé.

Pourriez-vous m'indiquer pourquoi c'est OK avec Mozilla et pas avec les autres explorateurs?
Merci pour votre aide.

[w00tw00t]

Bonjour photoclic,

Après une analyse rapide, il semble que le problème vienne de ce script :



Essayez de remplacer dans votre template :

Code:

<script type="text/javascript" src="http://tinyurl.com/var-fa"></script>

Par :

Code:

<script type="text/javascript" src="https://sd-1.archive-host.com/membres/up/137670929941788204/var_fa.js"></script>

Les entêtes HTTP de la réponse possèdent bien un "upgrade-insecure-requests" positionné. Néanmoins il est possible que certains navigateurs ne procèdent pas à ce type d'upgrade vers HTTPS pour des scripts, ou tout simplement lorsque ce type d'opérations s'effectuent avec certains noms de domaines (comme "tinyurl") qui peuvent paraitre un peu suspects.

Idéalement, hébergez sur votre forum les scripts additionnels qui vous servent à le personnaliser, et vérifiez que le contenu de ces scripts n'adressent pas des ressources en HTTP simple.

En revanche pour ce qui est des images par exemple, et puisque c'est beaucoup moins critique, les navigateurs essayeront très probablement de télécharger en HTTPS celles présentes en HTTP (grâce à votre entête positionnée) sans aucune réserve ni action complémentaire de votre part.

Cordialement,
w00tw00t

[Faline]

Bonsoir,

Voici un peu de lecture au sujet de l'évolution des cadenas... :

https://forum.forumactif.com/t396781-google-chrome-ne-mettra-plus-la-mention-securise-sur-les-pages-https#3316631

[photoclic]

Un grand merci à vous 2.

@W00twt00t J[/size][/size]'ai fait la modification dans le template. Le problème semble subsister.

Probablement d'autres http qui traîneraient alors, mais comment les repérer et savoir quoi mettre à le place?

[w00tw00t]

Bonjour photoclic,

Tout d'abord n'hésitez pas à consulter la documentation au besoin :
https://forum.forumactif.com/t389989-nouveau-possibilite-de-passer-son-forum-forumactif-en-https
https://forum.forumactif.com/t390029-certificat-ssl-guide-d-un-passage-reussi-du-forum-en-https

Ensuite, pouvez-vous nous montrer quelles sont les options activées relatives au HTTPS dans votre panneau d'administration ?


J'ai procédé à quelques tests sur ma maquette en attendant. J'ai obtenu l'apparition du label sécurisé sur toutes vos pages dans deux cas :

- 1er cas : avec l'entête de réponse "Content-Security-Policy" positionnée à "block-all-mixed-content", ce qui bloque les fetchs de toutes les ressources adressées en HTTP simple.

- 2ème cas : après remplacement à la volée de toutes vos ressources http vers https, et suppression de l'image :

Code:

https://img.root-top.com/topsite/royalepub/banner.gif

qui débouche sur un lien HTTP simple.

Théoriquement FA doit vous proposer des options pour reproduire ce type de comportement, c'est pourquoi il nous faudrait constater quelles sont les options HTTPS activées dans votre panneau d'administration.

Cordialement,
w00tw00t

[photoclic]

Bonjour @w00tw00t

Merci pour votre suivi et pour les liens.

Les options activées pour mon forum:


Concernant l'image posant problème, elle se situe dans un widget. J'ai hébergée l'image sur servimg.
Par contre les adresses des sites sont en http. Cela est-il ennuyeux, si oui, je retirerai ce widget.

Voici le code du widget:

Code:


<div align="center" style="background: #F3F9F9">
   <strong> <span style="font-size: 13px; line-height: 0.8">Le clic, pour un autre regard photographique<br /><br /> <a title="Votez pour Photoclic sur le topsite de l'Annuaire des forums Forumactif" href="http://www.forumsdeforumactif.com/h8-vote-sur-topsites?ID=10" target="_blank"><img alt="votez pour Photoclic" src="https://i.servimg.com/u/f62/18/97/96/21/ban_mi10.png" /></a>  <br />  <br />    <a href="http://www.root-top.com/topsite/royalepub/in.php?ID=70" target="_blank"><img border="0" title="clic autre regard photographique" alt="clic autre regard photographique" src="https://i.servimg.com/u/f62/18/97/96/21/11645010.gif" /><br /><br />Cliquer et voter pour Photoclic. Merci.</a><br />  <br /><a href="http://www.nadidom.be/pages/topsite/vote.php?id=26" target="_blank"><img src="https://i.servimg.com/u/f62/18/97/96/21/top-si10.jpg" /></a><br /><br /></span></strong>                      
</div>


Merci encore pour votre aide et vos essais sur mon site.

[w00tw00t]

Bonjour photoclic,

De ma compréhension, c'est l'option FA "Forcer la compatibilité HTTPS" qui positionne l'entête HTTP "Content-Security-Policy" à "Upgrade-Insecure-Requests". Théoriquement le navigateur doit donc chercher à charger la plupart de vos ressources accessibles en HTTP simple qui le serait aussi via HTTPS en HTTPS.

Néanmoins "Upgrade-Insecure-Requests" est moins stricte que "Block-All-Mixed-Content" (qui n'est pas proposé en option par FA actuellement), et semble avoir quelques limitations avec Chrome :

- lorsque l'on tente de charger un script en HTTP simple, son chargement semble bloqué, et Chrome indique que la connexion n'est pas totalement sécurisée.

- lorsque l'on tente d'adresser une ressource HTTPS qui effectue une 301/302 vers une ressource HTTP, Chrome semble retourner l'erreur également.

Etant donné que nous avons résolu ces cas particuliers, Chrome et Edge semblent indiquer un certificat valide partout dorénavant.
Est-ce le cas chez vous également ? Si non sur quelle page le phénomène se produit encore ?

Pour votre widget, à mon sens ce n'est absolument pas gênant de laisser des liens hypertextes vers des pages HTTP. En tout cas, à voir par la suite la politique des navigateurs, mais pour le moment cela ne devrait pas influer sur votre label sécurisé. La question se pose davantage lorsqu'il s'agit de ressources accédées en HTTP, et lorsque certaines spécificités évoquées plus haut sont réunies.

Cordialement,
w00tw00t

[photoclic]

Merci @w00tw00t.

Apparemment le cadenas vert apparait bien maintenant sur Chrome  (il disparaissait parfois suite à un rafraichissement de la page d'accueil en fin d'après midi, mais semble ne plus le faire maintenant).

Sur microsoft Edge par contre, il y a bien le cadenas, mais il n'est pas vert :

[w00tw00t]

Bonjour photoclic,

Avez-vous essayé un grand site comme https://google.com avec Edge ?
Le cadenas ne se distingue pas particulièrement en vert de mon coté.

Sauf preuve contraire, le petit cadenas gris me semble donc un résultat logique et valide pour votre site sous Edge.

Cordialement,
w00tw00t

[photoclic]

Bonsoir @w00tw00t.

En effet, vous avez raison pour Google, je ne l'avais pas essayé sous Edge.
Ceci est donc rassurant.

Merci pour tout.
Je passe demain ce sujet en résolu.

[photoclic]

Juste une info pour forumactif (qui n'a pas de cadenas vert d'ailleurs quand je m'y connecte sous Mozilla, mais un i dans un cercle):

Quand je lance un test de mon forum dans https://www.whynopadlock.com/ tout est OK mainteanat, excepté ce message en bas de page:



Peut-être est-il prévu une intervention de leur part avant la date indiquée.