Comment rendre une page entièrement sécurisée via des connexions SSL ?

Dans ce post, il montre les configurations nécessaires pour faire fonctionner un SSL (sur le port 443) sur les serveurs Ubuntu.

Cependant, pour certaines pages (en particulier les anciens messages/pages), il affichera des informations "pas entièrement sécurisées", si vous utilisez le navigateur Chrome,

ssl-pas-si-sécurisé

Les causes, comme il est dit, sont que la page utilise des connexions non sécurisées aux fichiers images, css ou javascript. Si vous allez sur https://www.whynopadlock.com/ (outil de vérification SSL en ligne), vous pouvez voir les raisons détaillées pour lesquelles cette page n’est pas entièrement sécurisée.

Outil de vérification SSL

Alternativement, vous pouvez accéder à la console du navigateur Chrome et vous verrez les avertissements en détail.

Détails/connexions SSL dans la console du navigateur Google Chrome

Si nous ne rendons pas ces ressources image/js/css SSL, alors quelqu’un pourrait/pourrait être en mesure de changer l’apparence du site Web, rendant inutile l’utilisation de SSL.

De plus, si vous utilisez la balise HTML iframe pour inclure des pages, elles doivent également utiliser HTTPS, sinon cela sera bloqué par la plupart des navigateurs en raison de risques de sécurité potentiels.

De plus, si vous avez des formulaires qui sont des URL non sécurisées (champ d’action ), vous aurez toujours des avertissements. Par exemple, vous devez utiliser la version SSL du formulaire de recherche Google au lieu d’une version non SSL.

Si les ressources sont hébergées sur d’autres domaines

Il n’y a pas grand chose à faire si les ressources sont hébergées sur d’autres domaines. Dans ce cas, vous pouvez utiliser les versions HTTPS si elles le fournissent, mais ce n’est pas toujours possible. Les grandes entreprises ont à la fois des versions HTTP et HTTPS, par exemple Google. Sinon, vous pouvez télécharger une copie et la télécharger sur votre propre FTP et ainsi modifier l’URL, qui est sécurisée.

SQL pour changer l’URL des publications wordpress

Si vous utilisez wordpress, vous pouvez utiliser l’URL suivante pour modifier les URL dans le message.

UPDATE wp_posts SET post_content = REPLACE (post_content, '

Ce qui suit modifie également le GUID pour chaque publication.

UPDATE wp_posts SET guid = REPLACE (guid,  '

Et vous devez vous connecter au panneau de configuration wordpress pour mettre à jour l’URL du site.

paramètres du panneau de configuration wordpress ssl

Alternativement, vous pouvez le faire via SQL :

UPDATE wp_options SET option_value = replace(option_value, '

Si vous hébergez plusieurs sites/domaines sur la même adresse IP (VPS ou serveur dédié)

Comme vous pouvez le voir dans les captures d’écran ci-dessus, si vous hébergez plusieurs sites Web/domaines sur la même adresse IP et si vous utilisez ces images dans vos messages, vous pouvez alors soit sécuriser également ces domaines (achat de nouveaux certificats SSL) ou changer les URL.

Pour la deuxième méthode, vous pouvez télécharger des images/css/js et les télécharger à nouveau sur le domaine SSL que vous utilisez, ou vous pouvez mapper les URL de ressources non SSL sur les domaines SSL.

Par exemple, vous pouvez vous connecter à votre VPS ou serveur dédié et faire un lien symbolique (similaire aux raccourcis sous Windows).

ln -s  /var/non-ssl-domains/images /var/ssl-domain/images

Ensuite, vous pouvez remplacer http://non-ssl-domains/images par https://ssl-domain/images en utilisant le SQL ci-dessus.

Parfois, les liens symboliques ne sont pas suivis par le serveur Apache, et dans ce cas, vous pouvez, bien sûr, faire des liens physiques à la place (sans l’option -s)

ln  /var/non-ssl-domains/images /var/ssl-domain/images

Utilisation de PHP pour rediriger les URL non sécurisées vers SSL sécurisé

L’autre solution consiste à créer un fichier PHP et basé sur les paramètres $_GET des URL, et à lire les fichiers de ressources d’un autre domaine, puisqu’ils sont tous hébergés sur la même machine (VPS ou serveur dédié).

  function hell() {
    header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found'); 
    die();
  }
  $r = '';
  if (isset($_GET['r'])) {
    $r = trim($_GET['r']);
  }
  if (!strlen($r)) {
    hell();
  }
  $url = '/var/www/codingforspeed.com/images/'.$r;
  if (!is_file($url)) {
    hell();   
  }
  $ext = strtoupper(pathinfo($url, PATHINFO_EXTENSION));
  $type = exif_imagetype($url);
  if (($ext == 'JPG') && ($type == IMAGETYPE_JPEG)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/jpeg");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefromjpeg($url);
            imagejpeg($im);
            imagedestroy($im);
            die();
  }
  else if (($ext == 'GIF') && ($type == IMAGETYPE_GIF)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/gif");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            readfile($url);   
            die(); 
  } 
  else if (($ext == 'PNG') && ($type == IMAGETYPE_PNG)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/png");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefrompng($url);
            imagepng($im);
            imagedestroy($im); 
            die(); 
  }
  else if (($ext == 'BMP') && ($type == IMAGETYPE_BMP)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/bmp");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefrombmp($url);
            imagebmp($im);
            imagedestroy($im);  
            die();
  }
  else {
    hell();
  }

Enregistrez le code PHP ci-dessus sous votre domaine SSL, par exemple, https://helloacm.com/ssl et faites-le index.php.

Ensuite, par exemple, si l’URL non sécurisée précédente est https://codingforspeed.com/images/logo.png, la nouvelle URL SSL sécurisée est https://helloacm.com/ssl/?rlogo.png

Et, remplacez les URL en conséquence dans wordpress en utilisant SQL ci-dessus. Ces méthodes sont un peu temporaires puisque si vous avez des budgets, il vaut mieux faire tous vos domaines en SSL.

Bienvenue dans le monde SSL! Et en récompense, certains moteurs de recherche (algorithmes de Google) préfèrent les pages SSL au HTTP non sécurisé. Vos pages SSL ont tendance à gagner un meilleur référencement.

URL double barre oblique

Parfois, vous pouvez voir que ‘ // helloacm.com/images/logo.png ‘. Les doubles barres obliques détecteront automatiquement le protocole de la page en cours. S’il s’agit de HTTP et qu’il utilisera HTTP ou s’il s’agit de HTTPS, l’image sera accessible via HTTPS. Vous pouvez envisager de remplacer toutes les URL par des doubles barres obliques pour une meilleure compatibilité, c’est-à-dire que quel que soit le protocole utilisé, vous êtes toujours sur le bon. Aussi simple que cela!

réécriture du mod d’URL htaccess

Une fois que vos URL SSL sont entièrement testées, vous devez déplacer vos anciennes URL non sécurisées vers le SSL. Vous pouvez le faire dans .htaccess (réécriture du mod du serveur apache ). Placez simplement les deux lignes suivantes dans le dossier racine de votre site Web, par exemple blog wordpress.

La redirection 301 indique au moteur de recherche que le score SEO de l’URL non sécurisée actuelle doit être transféré vers l’URL SSL. Maintenant, commencez à propager votre SSL au lieu du HTTP non sécurisé.