Mon site est-il HTTPS ? Drôle de retour de la part d'internautes

WRInaute discret
Bonjour,

Hier soir, j'ai eu un drôle de retour de la part d'internautes qui ont visiblement découvert mon site sur Reddit france.

Une partie d'entre eux recevait un warning de leur anti-virus en se connectant à mon site, comme quoi il serait "dangereux". Je suis allé voir le thread et ce serait (mais ça reste assez trouble) une histoire de HTTPS et d'absence de certificat SSL.

A ce niveau là, je suis assez perplexe puisque je n'ai pas activé le HTTPS sur mon site, je n'en vois pas vraiment l'usage puisqu'il s'agit juste d'une plateforme de contenu... (qui tourne sous WP)

Avez-vous une idée d'où ce blocage peut provenir ?
Est-ce possible que redit renvoie directement vers un https:// ?
Avez-vous aussi un https:// en vous connectant sur le site ?

Merci pour vos avisés conseils !
 
WRInaute accro
non mais ton site est accessible en HTTPS donc HTTPS est activé sur ton serveur :-h/t/t/p/s://jeretiens./net/.
 
WRInaute discret
D'accord merci !

Et je dois faire quelque chose de spécial ou ça n'a aucune importance ? Parce que fondamentalement, à part les retours de la communauté Reddit, je n'ai jamais eu vent de cette histoire !
 
WRInaute impliqué
il y a des liens quelque part vers ton site en https, les gens qui cliquent sur ces liens ont le message d'avertissement, et vont voir ailleurs dans la plupart des cas, d'où une perte de trafic. à toi de voir si c'est gênant.
 
WRInaute discret
Quand tu dis des liens vers ton site, c'est bien de backlinks dont tu parles ?

Je constate plutôt une forte hausse du trafic...
 
WRInaute accro
désactive le HTTPS dans la configuration serveur, ça peut posé des soucis de SEO, en plus cela donne une très mauvaise image aux béotiens de l'informatique.

donc si tu a accès à httpd.conf ou à .htaccess regarde dedans pour voir se qui cloche.
 
WRInaute accro
mipc a dit:
désactive le HTTPS dans la configuration serveur, ça peut posé des soucis de SEO, en plus cela donne une très mauvaise image aux béotiens de l'informatique.
euh, pas tout compris ?! pour tous les internautes ou juste ceux suivant un lien vers la version https de son site ?
 
WRInaute discret
Je suis sur OVH et je n'ai pas accès (me semble-t-il à httpd.conf)

Je ne pense pas que mon htaccess fasse mention du HTTPS ?!

Code:
SetEnv PHP_VER 5_4
SetEnv REGISTER_GLOBALS 0
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

RewriteCond %{HTTP_HOST} ^jeretiens.be
RewriteRule (.*) http://jeretiens.net/$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^www.jeretiens.be
RewriteRule (.*) http://jeretiens.net/$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^jeretiens.org
RewriteRule (.*) http://jeretiens.net/$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^www.jeretiens.org
RewriteRule (.*) http://jeretiens.net/$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^jeretiens.fr
RewriteRule (.*) http://jeretiens.net/$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^www.jeretiens.fr
RewriteRule (.*) http://jeretiens.net/$1 [R=301,L]

# compress text, html, javascript, css, xml:
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/x-javascript
AddType x-font/otf .otf
AddType x-font/ttf .ttf
AddType x-font/eot .eot
AddType x-font/woff .woff
AddType image/x-icon .ico
AddType image/png .png


# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Header unset ETag
FileETag None

# BEGIN Expire headers
<ifModule mod_expires.c>
    ExpiresActive On
    ExpiresDefault "access plus 5 seconds"
    ExpiresByType image/x-icon "access plus 2592000 seconds"
    ExpiresByType image/jpeg "access plus 2592000 seconds"
    ExpiresByType image/png "access plus 2592000 seconds"
    ExpiresByType image/gif "access plus 2592000 seconds"
    ExpiresByType application/x-shockwave-flash "access plus 2592000 seconds"
    ExpiresByType text/css "access plus 604800 seconds"
    ExpiresByType text/javascript "access plus 216000 seconds"
    ExpiresByType application/javascript "access plus 216000 seconds"
    ExpiresByType application/x-javascript "access plus 216000 seconds"
    ExpiresByType text/html "access plus 600 seconds"
    ExpiresByType application/xhtml+xml "access plus 600 seconds"
</ifModule>
# END Expire headers

# BEGIN Cache-Control Headers
<ifModule mod_headers.c>
    <filesMatch "\.(ico|jpe?g|png|gif|swf)$">
        Header set Cache-Control "public"
    </filesMatch>
    <filesMatch "\.(css)$">
        Header set Cache-Control "public"
    </filesMatch>
    <filesMatch "\.(js)$">
        Header set Cache-Control "private"
    </filesMatch>
    <filesMatch "\.(x?html?|php)$">
        Header set Cache-Control "private, must-revalidate"
    </filesMatch>
</ifModule>
# END Cache-Control Headers

Le fichier .ovhconfig ne semble pas mentionner non plus un https...
Code:
app.engine=php
app.engine.version=5.4
http.firewall=none
environment=production
 
WRInaute discret
Okay après avoir retrouvé sur Reddit le thread (et ce n'était pas facile car je n'ai rien pigé à ce site %D), c'est bien là bas que le lien est en https://

Donc en principe, pas de soucis ?
 
WRInaute accro
Leonick a dit:
mipc a dit:
désactive le HTTPS dans la configuration serveur, ça peut posé des soucis de SEO, en plus cela donne une très mauvaise image aux béotiens de l'informatique.
euh, pas tout compris ?! pour tous les internautes ou juste ceux suivant un lien vers la version https de son site ?

ceux qui suivent le liens en HTTPS, ils peuvent croire à tord que le site internet tente d'infecter leurs ordinateurs, car il n'y a pas de certificat valide par un organisme autoriser, du coup le visiteur peux paniquer.

en plus google-bot suivent les liens HTTPS.
 
WRInaute discret
Mais globalement, je ne peux rien faire contre ce lien https placé sur un site tiers et il ne devrait pas trop me nuire malgré le passage de GG ?!
 
WRInaute impliqué
si
si des gens qui n'ont pas l'avertissement font des liens vers le site en https
si google décide de lister le site en https au lieu de http dans les résultats, cela s'est déjà vu sur le forum.
la bonne réponse est de desactiver la possibilité d'accéder au site en https
 
WRInaute accro
si tu désactive, ça veut dire que tes internautes venant via un bl en https auront carrément une erreur d'accès au lieu de "juste" un problème de "faux" certificat !
 
WRInaute discret
Et admettons que j'arrive à désactiver le https en contactant OVH, ce dont je doute, si je fais une redirection 301 ça marche ?
 
WRInaute accro
vérifie tous les BL entrant, si tu trouve un liens entrant avec HTTPS, alors tu demande au site internet de le modifier en HTTP.

si vraiment tu ne peux pas viré la configuration HTTPS, alors tu est condamné à commander un Certificat SSL Valide:

je t'invite à lire le topic https://www.webrankinfo.com/forum/https-impact-positif-sur-referencement-go ... 74776.html pour trouver ou acheter un certificat de sécurité SSL, j'ai lu que dans certains cas ça n'était pas trop prohibitif.

https://www.webrankinfo.com/dossiers/conseils/https-critere-seo
 
WRInaute discret
Pfiou, cela me semble un peu démesuré pour un mauvais lien fait par je ne sais qui...
Mon site est non marchand et je dois gagner 1€/mois en publicité ce qui couvre à peine l'hébergement... je me vois mal investir pour un SSL pour contrer un mauvais lien !
J'avais lu l'article sur l'impact du https... mais rien à faire, mon site est non marchand, il n'y a pas d'utilisateurs enregistrés... je ne vois pas trop l'intérêt de la connexion sécurisée du coup !

Au pire, je désavouerai reddit si jamais il pop dans GWT...

Mais donc en substance ce que tu indiques, cela signifie que si quelqu'un de mal intentionné veut plomber un site, il s'amuse à faire des liens https:// ? Moche moche :(
 
WRInaute accro
le problème c'est qu'en l'état, HTTPS est activé et tant que celui-ci n'est pas désactivé les les liens en HTTPS transformer en HTTP y a une risque.
 
WRInaute impliqué
pour un internaute qui tombe sur une url avec https qui est redirigée vers le site en http, cela va d'abord demander le certificat et mettre l'avertissement car il n'est pas valide.
il faut donc bien trouver le moyen de désactiver le https.
 
WRInaute accro
donc j'ai raison il faut viré le module HTTPS du serveur, après je ne sais pas le quel ni comment est configurer HTTPD.Conf sur le serveur en plus c'est peut être pas un serveur APACHE.
 
WRInaute discret
Ca devient un peu ésotérique pour moi à ce niveau :s

J'ai regardé l'aide OVH qui n'est pas très userfriendly pour les littéraires mais passons, et j'ai vu ceci:
"Astuce: Vous pouvez rediriger votre nom de domaine automatiquement vers l'accès HTTPS via un fichier .htaccess construit de la manière suivante :"
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.domaine.com/$1 [R,L]

J'imagine que si je remplace le https:// de la dernière ligne par http:// ça résout le souci non ? :eek:s
 
WRInaute discret
J'ai réussi à contacter l'auteur du thread et il l'a gentiment supprimé... mais ça me fait mal de perdre une telle source de clics :'(
 
WRInaute accro
oui, mais au delà de l'aspect purement seo, un bl peut apporter énormément de visites.
supprimer le ssh n'est pas non plus la solution, car l'internaute aura une erreur d'accès, au lieu d'avoir une erreur de certificat.
En plus, sur ta partie backoffice, c'est quand même appréciable de pouvoir y accéder en ssh/https
 
Discussions similaires
C
Réponses
4
Affichages
2K
christele2
C
Haut