[Résolu] La connexion n’est pas sécurisée

Salut Papy,

Tu es chez qu'elle hébergeur ?

A mon avis c'est ton hébergeur qui ta mis automatiquement en https. Je vois que ça.

Bonjour à tous et merci de vos réponses.
Cette affaire est préoccupante, car cela dissuades mes utilisateurs d'utiliser le site, qui donne l'impression d'avoir été piraté.
J'ai écrit un mail à l'hébergeur, on verra ce qu'ils en font.

@bzh tu peux retrouver quelles images? J'avais tenté un test de référencement des images qui me donnait l'impression de ne pas avoir fonctionné, en mettant les images du site de test, qui n'est en fait qu'un sous-répertoire du site principal. Si c'est ça, c'est plutôt une bonne nouvelle!
Modifié par PapyJP (23 Mar 2017 - 10:31)

Je viens de recevoir la réponse de l'hébergeur:

Infomaniak a écrit :

Cher client,

En effet, pour une raison que nous ignorons Google a changé sa politique de référencement et indexe les sites en HTTPS si le serveur web lui répond par une connexion réussie (code 200) via le protocole HTTPS sans vérifier la présence ou non d'un certificat SSL.

Pour empêcher cette indexation, nous générons à présent des erreurs 503 si le certificat SSL n'est pas installé sur le serveur lors d'une connexion en HTTPS.

Il faut patienter le temps que Google ré-indexe votre site.

Nous vous remercions de votre confiance et vous transmettons nos meilleures salutations.

Deux points
1) Il s'agit bien d'une erreur d'Infomaniak, comme leur message le signale:

Infomaniak a écrit :
Pour empêcher cette indexation, nous générons à présent des erreurs 503 si le certificat SSL n'est pas installé sur le serveur lors d'une connexion en HTTPS.

cela veut dire qu'ils auraient dû le faire plus tôt, et donc indirectement ils reconnaissent que c'est une erreur de leur part
J'ai relancé une demande d'indexation du fichier sitemap.xml
2)

bzh a écrit :
Sinon tu devrais faire une redirection 301 de toutes tes urls en https vers http dans ton htaccess pour corriger ce problème. Ou alors passer en SSL.

Je ne sais pas comment on peut faire une redirection des urls en https. A ma connaissance les redirections sont de la forme

Redirect permanent /toto.html  http://www.osirisnet.net/titi.html

on ne dit pas

Redirect permanent  https://www.orsirisnet.net/  http://www.osirisnet.net/

Quant au "SSL" je ne vois pas pourquoi changer http en https (avec tous les problèmes que je subodore sur les adresses des gens qui ont des liens vers le site).
Ce site ne comporte pas de formulaire de saisie, je ne vois pas pourquoi il faudrait le https-iser
Modifié par PapyJP (23 Mar 2017 - 19:28)

Tu peux aussi rediriger toutes les urls d'un site vers https, il y a pleins d'exemple sur le net.

Concernant SSL c'est le standard actuel, les sites qui ne l'utilisent pas sont pénalisés dans les recherches (les clients demandent à cause de ça, ils ne comprennent rien à la sécurité ). Pour utiliser http/2 il me semble qu'il faudra aussi un certificat.

a écrit :
Quant au "SSL" je ne vois pas pourquoi changer http en https (avec tous les problèmes que je subodore sur les adresses des gens qui ont des liens vers le site).
Ce site ne comporte pas de formulaire de saisie, je ne vois pas pourquoi il faudrait le https-iser

Dans le domaine de la protection de la vie privée, c'est une mauvaise réponse classique que celle-ci, à cause d'une mauvaise compréhension du problème de base.

Même si on est bien d'accord que l'égyptologie n'est pas un sujet qui risque de faire beaucoup de dégâts ou de business, les grands groupes et les états n'ont pas à savoir que ceux qui vont sur ton site s'y intéressent.
C'est un premier rempart contre la sureveillance de masse et la pubilicité ciblée.

Que se passera-t-il le jour où le gouvernement affirmera que l'égyptologie est dangereuse et inspire les terroristes ?
L'accès au savoir, en tant que bien commun de l'humanité, est censé rester libre; la liberté d'information est essentielle, et théoriquement, quelque soit le domaine, y compris sensible.

C'est pour ça que le sujet est si compliqué; la limite peut être très mince entre protection de la vie privée et sécurité collective.

Après, je dis ça, mais moi-même je suis comme tout le monde, schyzophrène sur ce genre de question: je n'estime pas nécessaire de devoir absolument aller en HTTPS pour consulter des sites parlant de science ou d'histoire; je pense qu'il y a peu de chances que savoir que je m'intéresse à ces sujets puisse se retourner contre moi; je me trompe peut-être.
C'est à chacun d'estimer ce risque pour lui-même... et dans le doute on fait sans doute très très bien de généraliser HTTPS.

De l'autre côté, Google met en avant le HTTPs, mais il ne faut pas se voiler la face: pour eux ça ne change strictement rien dans leur collecte masive de données, au travers d'adsense ou analytics par exemple.
Ils ne vont quand même pas promouvoir quelque chose qui est contre leurs propres intérêts.

Ca ne change rien pour eux, car on a beau entourer ses moutons de blindage, la pub et l'analyse de trafic sont les loups qui sont... déjà à l'intérieur de la bergerie
Modifié par QuentinC (24 Mar 2017 - 08:38)

QuentinC a écrit :

Même si on est bien d'accord que l'égyptologie n'est pas un sujet qui risque de faire beaucoup de dégâts ou de business, les grands groupes et les états n'ont pas à savoir que ceux qui vont sur ton site s'y intéressent.

Sauf que c'est une mauvaise raison. Car le SSL ne protège que le contenu, pas les métadonnées. On saura donc quelle page tu as consulté. Pour un site statique et public, c'est comme d'avoir le contenu.

Cette technologie n'a pas pour but de protéger la vie privée, mais de garantir une certaine sécurité. Le but est d'éviter qu'un intermédiaire modifie le contenu entre toi et le serveur. Eviter qu'un fournisseur d'accès insère un script sniffeur dans la page, qu'un Hotspot insère de la pub dans ta page, ou qu'un pirate/gouvernement insère un script malicieux dans ta page.

Lorsque le contenu n'est pas public, SSL protège aussi le contenu, mais seulement si le contenu est privé.

bzh a écrit :

@JP potentiellement tout ton sous domaine tests est indexé car tu laisses l'accès ouvert. Tape site:tests.osirisnet.net dans google et tu verras.

Effectivement, tout le sous-site est indexé.
Peux tu me donner un pointeur vers un document expliquant comment faire pour éviter cela?
Dans le cas précis ce n'est pas un gros problème, mais ça pourrait le devenir.

Dans la mesure où l'intérêt du propriétaire du site est d'avoir un bon référencement Google, je crois qu'il va falloir un jour ou l'autre passer en SSL même si c'est totalement inutile du point de vue protection.
Est-ce que vous connaissez un bon mode d'emploi "comment migrer un site de http à https", avec toutes les astuces pour que les gens qui ont des liens vers le site ne se fassent pas jeter et autres subtilités qui doivent vraisemblablement être nécessaires?
Modifié par PapyJP (24 Mar 2017 - 13:58)

Bonjour.

Vous avez écrit : "Peux tu me donner un pointeur vers un document expliquant comment faire pour éviter cela?"

Cette page a l'air sérieuse :
http://blog.axe-net.fr/noindex-nofollow-robots-txt-attention-erreurs/

Merci à tous pour vos réponses.
J'ai ajouté dans le répertoire /tests du site, qui est la racine du site de tests, la commande

Header set X-Robots-Tag "noindex"

J'espère que ça suffira à éviter l'indexation de ce répertoire, mais je pense qu'il va me falloir plusieurs semaines pour en avoir la confirmation.

Je me plonge dans la lecture du document sur le SSL