Pages :
Bonjour à tous
en recherchant une image sur Google, je tombe sur une image du site auquel je contribue
Je clique dessus et j'obtiens une adresse en https avec le message:
"La connexion n’est pas sécurisée"
Nous n'avons jamais effectué une demande quelconque de passage de http à https, la raison principale étant que ce site ne demande aucune information aux utilisateurs et n'a donc aucun besoin de ce genre de protection.
En allant plus loin on trouve
Google a écrit :
www.osirisnet.net utilise un certificat de sécurité invalide.
Le certificat n’est valide que pour *.infomaniak.ch.
Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN

et en cliquant sur le code d'erreur on a
Google a écrit :
https://www.osirisnet.net/docu/akhenaton/akhenaton_01.htm
Impossible de communiquer en mode sécurisé avec le pair : le nom de domaine demandé ne correspond pas au certificat du serveur.
HTTP Strict Transport Security : false HTTP Public Key Pinning : false
suivi d'une longue chaîne de caractères qui donne le fameux code

Auriez vous une idée de la façon dont ce genre d'erreur a pu se produire et comment faire pour s'en protéger?
Merci de vos conseils
Modifié par PapyJP (22 Mar 2017 - 14:27)
Salut Papy,

Tu es chez qu'elle hébergeur ?

A mon avis c'est ton hébergeur qui ta mis automatiquement en https. Je vois que ça.

Smiley lol
C'est étrange en effet, j'ai pas de solution pour ton problème mais en passant j'ai vu que google avait indexé certaines images depuis ton sous domaine tests (et donc aussi des pages je suppose)
Bonjour à tous et merci de vos réponses.
Cette affaire est préoccupante, car cela dissuades mes utilisateurs d'utiliser le site, qui donne l'impression d'avoir été piraté.
J'ai écrit un mail à l'hébergeur, on verra ce qu'ils en font.

@bzh tu peux retrouver quelles images? J'avais tenté un test de référencement des images qui me donnait l'impression de ne pas avoir fonctionné, en mettant les images du site de test, qui n'est en fait qu'un sous-répertoire du site principal. Si c'est ça, c'est plutôt une bonne nouvelle!
Modifié par PapyJP (23 Mar 2017 - 10:31)
Je viens de recevoir la réponse de l'hébergeur:
Infomaniak a écrit :

Cher client,

En effet, pour une raison que nous ignorons Google a changé sa politique de référencement et indexe les sites en HTTPS si le serveur web lui répond par une connexion réussie (code 200) via le protocole HTTPS sans vérifier la présence ou non d'un certificat SSL.

Pour empêcher cette indexation, nous générons à présent des erreurs 503 si le certificat SSL n'est pas installé sur le serveur lors d'une connexion en HTTPS.

Il faut patienter le temps que Google ré-indexe votre site.

Nous vous remercions de votre confiance et vous transmettons nos meilleures salutations.
Google, l'avait bien dit qu'il y aurait du changement dans le référencement avec une priorité au https.

Moi, je suis full https Smiley lol
Plutôt une erreur d'infomaniak alors même si c'est pas tourné comme cela dans leur message car j'ai beaucoup de site qui ne sont pas en https et je n'ai pas ce soucis.

@JP potentiellement tout ton sous domaine tests est indexé car tu laisses l'accès ouvert. Tape site:tests.osirisnet.net dans google et tu verras.
A mon avis bzh, le changement de référencement doit ce faire par section. Google ne peut pas modifier l'ensemble des sites d'un seul coup.

Bref, il faudra voir avec le temps.
M'étonnerai que google serve toutes les adresses en https, il y a encore tellement de site qui sont en http.

Mais oui tout les sites finiront par passer en https. Smiley smile
Sinon tu devrais faire une redirection 301 de toutes tes urls en https vers http dans ton htaccess pour corriger ce problème. Ou alors passer en SSL.
Deux points
1) Il s'agit bien d'une erreur d'Infomaniak, comme leur message le signale:
Infomaniak a écrit :
Pour empêcher cette indexation, nous générons à présent des erreurs 503 si le certificat SSL n'est pas installé sur le serveur lors d'une connexion en HTTPS.

cela veut dire qu'ils auraient dû le faire plus tôt, et donc indirectement ils reconnaissent que c'est une erreur de leur part
J'ai relancé une demande d'indexation du fichier sitemap.xml
2)
bzh a écrit :
Sinon tu devrais faire une redirection 301 de toutes tes urls en https vers http dans ton htaccess pour corriger ce problème. Ou alors passer en SSL.

Je ne sais pas comment on peut faire une redirection des urls en https. A ma connaissance les redirections sont de la forme
Redirect permanent /toto.html  http://www.osirisnet.net/titi.html

on ne dit pas
Redirect permanent  https://www.orsirisnet.net/  http://www.osirisnet.net/

Quant au "SSL" je ne vois pas pourquoi changer http en https (avec tous les problèmes que je subodore sur les adresses des gens qui ont des liens vers le site).
Ce site ne comporte pas de formulaire de saisie, je ne vois pas pourquoi il faudrait le https-iser
Modifié par PapyJP (23 Mar 2017 - 19:28)
Tu peux aussi rediriger toutes les urls d'un site vers https, il y a pleins d'exemple sur le net.

Concernant SSL c'est le standard actuel, les sites qui ne l'utilisent pas sont pénalisés dans les recherches (les clients demandent à cause de ça, ils ne comprennent rien à la sécurité Smiley lol ). Pour utiliser http/2 il me semble qu'il faudra aussi un certificat.
a écrit :
Quant au "SSL" je ne vois pas pourquoi changer http en https (avec tous les problèmes que je subodore sur les adresses des gens qui ont des liens vers le site).
Ce site ne comporte pas de formulaire de saisie, je ne vois pas pourquoi il faudrait le https-iser


Dans le domaine de la protection de la vie privée, c'est une mauvaise réponse classique que celle-ci, à cause d'une mauvaise compréhension du problème de base.

Même si on est bien d'accord que l'égyptologie n'est pas un sujet qui risque de faire beaucoup de dégâts ou de business, les grands groupes et les états n'ont pas à savoir que ceux qui vont sur ton site s'y intéressent.
C'est un premier rempart contre la sureveillance de masse et la pubilicité ciblée.

Que se passera-t-il le jour où le gouvernement affirmera que l'égyptologie est dangereuse et inspire les terroristes ?
L'accès au savoir, en tant que bien commun de l'humanité, est censé rester libre; la liberté d'information est essentielle, et théoriquement, quelque soit le domaine, y compris sensible.

C'est pour ça que le sujet est si compliqué; la limite peut être très mince entre protection de la vie privée et sécurité collective.

Après, je dis ça, mais moi-même je suis comme tout le monde, schyzophrène sur ce genre de question: je n'estime pas nécessaire de devoir absolument aller en HTTPS pour consulter des sites parlant de science ou d'histoire; je pense qu'il y a peu de chances que savoir que je m'intéresse à ces sujets puisse se retourner contre moi; je me trompe peut-être.
C'est à chacun d'estimer ce risque pour lui-même... et dans le doute on fait sans doute très très bien de généraliser HTTPS.

De l'autre côté, Google met en avant le HTTPs, mais il ne faut pas se voiler la face: pour eux ça ne change strictement rien dans leur collecte masive de données, au travers d'adsense ou analytics par exemple.
Ils ne vont quand même pas promouvoir quelque chose qui est contre leurs propres intérêts.

Ca ne change rien pour eux, car on a beau entourer ses moutons de blindage, la pub et l'analyse de trafic sont les loups qui sont... déjà à l'intérieur de la bergerie
Modifié par QuentinC (24 Mar 2017 - 08:38)
Modérateur
QuentinC a écrit :

Même si on est bien d'accord que l'égyptologie n'est pas un sujet qui risque de faire beaucoup de dégâts ou de business, les grands groupes et les états n'ont pas à savoir que ceux qui vont sur ton site s'y intéressent.

Sauf que c'est une mauvaise raison. Car le SSL ne protège que le contenu, pas les métadonnées. On saura donc quelle page tu as consulté. Pour un site statique et public, c'est comme d'avoir le contenu.

Cette technologie n'a pas pour but de protéger la vie privée, mais de garantir une certaine sécurité. Le but est d'éviter qu'un intermédiaire modifie le contenu entre toi et le serveur. Eviter qu'un fournisseur d'accès insère un script sniffeur dans la page, qu'un Hotspot insère de la pub dans ta page, ou qu'un pirate/gouvernement insère un script malicieux dans ta page.

Lorsque le contenu n'est pas public, SSL protège aussi le contenu, mais seulement si le contenu est privé.
bzh a écrit :

@JP potentiellement tout ton sous domaine tests est indexé car tu laisses l'accès ouvert. Tape site:tests.osirisnet.net dans google et tu verras.

Effectivement, tout le sous-site est indexé.
Peux tu me donner un pointeur vers un document expliquant comment faire pour éviter cela?
Dans le cas précis ce n'est pas un gros problème, mais ça pourrait le devenir.
Dans la mesure où l'intérêt du propriétaire du site est d'avoir un bon référencement Google, je crois qu'il va falloir un jour ou l'autre passer en SSL même si c'est totalement inutile du point de vue protection.
Est-ce que vous connaissez un bon mode d'emploi "comment migrer un site de http à https", avec toutes les astuces pour que les gens qui ont des liens vers le site ne se fassent pas jeter et autres subtilités qui doivent vraisemblablement être nécessaires?
Modifié par PapyJP (24 Mar 2017 - 13:58)
Modérateur
En effet on va devoir y passer la main forcé tôt ou tard (j'ai des dizaines de sites en production et je ne suis pas chaud-chaud de me lancer là-dedans Smiley smile

Nico a publié un dossier bien documenté sur alsacreations:

https://www.alsacreations.com/article/lire/1723-tour-horizon-https-et-en-tetes-de-securite.html

a écrit :
Peux tu me donner un pointeur vers un document expliquant comment faire pour éviter cela?


Un simple robots.txt devrait faire ton bonheur.
Merci à tous pour vos réponses.
J'ai ajouté dans le répertoire /tests du site, qui est la racine du site de tests, la commande
Header set X-Robots-Tag "noindex"

J'espère que ça suffira à éviter l'indexation de ce répertoire, mais je pense qu'il va me falloir plusieurs semaines pour en avoir la confirmation.

Je me plonge dans la lecture du document sur le SSL
Pages :