Éliminer le contenu mixte d'un site Web utilisant le protocole SSL
Veuillez utiliser la fonction « Imprimer » au bas de la page pour créer un PDF.
Pour les certificats SSL gérés IONOS de type SSL Starter, GeoTrust QuickSSL Premium (SSL Starter) ou GeoTrust QuickSSL Premium Wildcard SSL Starter Wildcard).
Cet article vous explique comment reconnaître et supprimer du contenu mixte (mixed content) et comment faire en sorte que tous les contenus de votre site Web soient chiffrés.
Si le contenu de votre site Web n'est pas entièrement sécurisé, un symbole d'avertissement apparaît dans votre navigateur. Les visiteurs de votre site Web peuvent reconnaître qu'il s'agit d'une connexion chiffrée grâce au cadenas apparaissant dans la barre d'adresse du navigateur.
Qu'est-ce qu'un contenu mixte ?
On parle de contenu mixte lorsqu'un site Web utilisant le protocole sécurisé HTTPS, inclut tout de même certains contenus non chiffrés via le protocole non sécurisé HTTP. Typiquement, les sources potentielles de contenu mixte sont les images, les fichiers audio ou vidéo, iFrames, les fichiers CSS et JavaScript ainsi que les objets.
Il existe deux types de contenu mixte
- Le contenu mixte passif : contenu Web qui ne peut pas avoir d'influence sur d'autres éléments du site Web. Ce type de contenus est simplement transmis. On parle ici par exemple des images, des vidéos, des fichiers audio ou bien des sous-contenus (content subresource) inclus dans une page Web.
- Le contenu mixte actif : contenu Web qui fait partie du modèle objet de document (DOM) d'un site Web. Ces contenus peuvent modifier durablement certains éléments de la page Web et leur comportement. On parle ici par exemple des liens, des scripts (par exemple JavaScript), des objets XMLHttpRequest, des éléments de type iFrame, des fichiers CSS faisant référence à des URL et des attributs d'objets.
Veuillez noter : Si vous utilisez WordPress Standard u bien l'une de nos offres de type Hébergement Mutualisé WordPress, veuillez suivre les instructions de la IONOS Community.
Supprimer et remplacer du contenu mixte
La meilleure solution pour éviter les contenus mixtes est de fournir tous les contenus via HTTPS au lieu du protocole HTTP.
Veuillez suivre la procédure ci-dessous :
Étape 1
Vérifiez à laide de l'outil en ligne Why No Padlock si certains contenus de votre site Web déclenchent un avertissement de contenu mixte.
Remplacez tous les chemins d'accès qui commencent par http:// par https://.
Suivant le système de gestion de contenu (CMS) utilisé, le fait d'effectuer cette modification du chemin d'accès du site Web dans le fichier de configuration du CMS peut suffire. En revanche, si la base de données du site contient des chemins d'accès absolus, il faut effectuer les ajustements nécessaires directement dans la base de données. Avant toute chose, veuillez réaliser une sauvegarde de la base de données. Certains CMS proposent des plug-ins pour cela. Nous vous conseillons de vérifier directement sur le site Web du CMS si un tel plug-in existe.
Étape 2
Une fois que vous avez remplacé tous les liens du site Web HTTP par HTTPS, il faut encore mettre en place une redirection 301 permanente. Une redirection 301 est une redirection permanente qui s'effectue côté serveur et qui indique au moteur de recherche Google que le contenu auquel le visiteur veut accéder a été définitivement transféré.
Rajoutez les lignes de code suivantes dans votre fichier .htaccess :
# Exemple RewriteRule:
#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.votre-domaine.fr/$1 [R,L]
</IfModule>
Étape 3
Adapter les paramètres des outils Google pour webmasters et Google Analytics
En théorie, les variantes HTTP et HTTPS font référence à deux sites Web distincts. Il faut donc aussi, après la modification, enregistrer la variante HTTPS dans l'outil utilisé par le webmaster du site.
Si votre navigateur affiche encore l'avertissement de contenu mixte, cela peut venir d'images, d'iFrames, de fichiers CSS ou JavaScript provenant de pages externes qui ne sont pas transmises via HTTPS. Dans un tel cas, il n'existe malheureusement pas de solution générale pour éradiquer le problème.