Comprendre les problèmes de sécurité à l’aide de l’outil Sécurité

Utilisez l’outil Sécurité pour inspecter la sécurité d’une page.

Ouvrir l’outil Sécurité

Pour ouvrir l’outil Sécurité :

  1. Pour ouvrir DevTools, cliquez avec le bouton droit sur une page web, puis sélectionnez Inspecter. Vous pouvez également appuyer sur Ctrl+Maj+I (Windows, Linux) ou Cmd+Option+I (macOS). DevTools s’ouvre.

  2. Dans DevTools, dans la barre d’activité, cliquez sur l’onglet Sécurité . Si cet onglet n’est pas visible, cliquez sur le bouton Autres outils (icône Autres outils).

    L’outil Sécurité s’ouvre :

    Panneau de sécurité

Déboguer les problèmes de sécurité courants

L’outil Sécurité est utile pour déboguer divers problèmes de sécurité. Les sections ci-dessous décrivent certains problèmes courants pour lesquels vous pouvez utiliser l’outil Sécurité .

Origines main non sécurisées

Lorsque l’origine main d’une page n’est pas sécurisée, la vue d’ensemble de la sécurité indique Cette page n’est pas sécurisée.

Une page non sécurisée

Ce problème se produit lorsque l’URL que vous avez visitée a été demandée via HTTP. Pour le sécuriser, vous devez le demander via HTTPS. Par exemple, si vous examinez l’URL dans votre barre d’adresses, elle ressemble probablement à http://example.com. Pour la sécuriser, l’URL doit être https://example.com.

Si vous avez déjà configuré HTTPS sur votre serveur, il vous suffit de configurer votre serveur pour rediriger toutes les requêtes HTTP vers HTTPS pour résoudre ce problème.

Si vous n’avez pas configuré HTTPS sur votre serveur, Let’s Encrypt offre un moyen gratuit et relativement simple de démarrer le processus. Vous pouvez également envisager d’héberger votre site sur un CDN. La plupart des principaux CDN hébergent désormais des sites sur HTTPS par défaut.

Astuce

L’indicateur Utiliser HTTPS dans webhint peut vous aider à automatiser le processus de vérification que toutes les requêtes HTTP sont dirigées vers HTTPS.

Contenu mixte

Contenu mixte signifie que l’origine main d’une page est sécurisée, mais que la page a demandé des ressources à partir d’origines non sécurisées. Les pages de contenu mixte ne sont que partiellement protégées, car le contenu HTTP est accessible aux renifleurs et vulnérable aux attaques de l’intercepteur.

Contenu mixte

Dans Microsoft Edge, les demandes de contenu mixte sont automatiquement mises à niveau vers HTTPS lorsque cela est possible. Si la ressource n’est pas disponible via HTTPS, la requête est bloquée.

Afficher plus de détails

L’outil Sécurité fournit plus de détails sur les origines auxquelles une page web a demandé des ressources et sur la sécurité de ces origines. Les sections ci-dessous décrivent comment afficher plus de détails.

Afficher main certificat d’origine

Pour inspecter rapidement le certificat de l’origine main, dans vue d’ensemble de la sécurité, cliquez sur Afficher le certificat. La visionneuse de certificats s’ouvre :

Un certificat d’origine main

Afficher les détails de l’origine

Pour afficher les détails d’une origine, dans le volet de navigation gauche, cliquez sur l’une des origines. Des informations détaillées sur l’origine s’affichent :

Détails de l’origine principale

À partir de la page de détails, vous pouvez afficher :

  • Informations de connexion .
  • Informations sur le certificat .
  • Informations de transparence du certificat , le cas échéant.

Remarque

Certaines parties de cette page sont des modifications fondées sur le travail créé et partagé par Google et utilisées conformément aux conditions décrites dans la licence internationale 4,0 d’attribution créative. La page d’origine se trouve ici et est créée par Kayce Basques (Rédacteur technique, Chrome DevTools & Lighthouse).

Licence Creative Commons Cette œuvre est concédée sous licence creative commons attribution 4.0 international.