CommunityTip - FAQ sur la sécurité

International Français
1

Veuillez lire avant de poster

Veuillez consulter cet article et ceux qui y sont liés et utilisez le bouton :search: (recherche) en haut à droite pour rechercher votre problème. Ce conseil de la communauté contient des questions et des réponses aux questions les plus fréquemment posées sur SSL/TLS. La fonction :search:(recherche) vous permettra d’obtenir des conseils et des informations supplémentaires.

Contexte
Cette FAQ sur la sécurité couvre Cloudflare Spectrum, Cloudflare Access, Free Universal SSL, les certificats de périphérie, les certificats auto-signés et les certificats d’origine, TLS, HSTS, et tout ce qui concerne l’application SSL/TLS.

Boucle de redirection
Si vous utilisez le mode SSL flexible sous l’onglet Aperçu de l’application SSL/TLS de Cloudflare et que vous forcez HTTPS sur votre origine, c’est la cause la plus probable du problème. Le mode flexible fonctionne en ne chiffrant pas le trafic vers et depuis votre origine et Cloudflare. Étant donné que votre origine force https et que la demande est ensuite redirigée vers Cloudflare où Cloudflare essaie à nouveau d’envoyer la même demande http, une boucle infinie se produit. Ce problème est abordé dans ce guide de la base de connaissances -- Pourquoi le SSL flexible provoque-t-il une boucle de redirection ?

Pour résoudre ce problème, vous avez plusieurs possibilités :

Apprenez-en davantage sur SSL dans ce tutoriel communautaire,
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Sous-domaine trop profond/Certificats personnalisés et certificats à validation étendue
Une fois que Cloudflare a provisionné avec succès notre offre « Universal SSL » sur votre zone, veuillez noter que ces certificats ne couvriront qu’un seul niveau de sous-domaines (*.exemple.com, non *.*.example.com) :

  • Fonctionnera - www.example.com
  • Fonctionnera - example.com
  • Fonctionnera - test.example.com
  • NE fonctionnera PAS - www.test.example.com
  • NE fonctionnera PAS - staging.www.example.com

Si vous avez besoin d’un certificat qui couvre des sous-domaines à plusieurs niveaux, vous pouvez acheter un certificat SSL dédié avec noms d’hôtes personnalisés, où vous pouvez déclarer tout sous-domaine à plusieurs niveaux lors de l’achat.

Si vous préférez utiliser votre propre certificat plutôt qu’un certificat Universal SSL que nous fournissons, vous devrez passer à notre Offre Business et télécharger un Certificat personnalisé.

Veuillez noter que Cloudflare ne propose pas de certificats de « Validation prolongée » pour le moment. Si vous souhaitez en utiliser un, vous devrez en acheter un séparément et le charger sur votre compte Cloudflare à l’aide du chargement SSL personnalisé.

En option, vous pouvez acheter le Gestionnaire de certificat avancé et créer le certificat dédié avec des données personnalisées.

Comprendre le gestionnaire de certificats avancé
Gestion des certificats SSL dédiés

Clients pris en charge (SNI uniquement)

Nos certificats SSL sur les plans payants (Pro, Business et Enterprise) fonctionneront avec tous les navigateurs de bureau. Si vous êtes préoccupé(e) par la compatibilité ou si vous avez de nombreux utilisateurs avec de vieux navigateurs, il est recommandé de passer à l’un de nos plans payants.

Les certificats dédiés et Universal SSL utilisent tous les deux des certificats Indication du nom du serveur (Server Name Indication, SNI) utilisant l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm). Les certificats SNI et ECDSA fonctionnent avec les navigateurs modernes suivants :

Navigateurs de bureau installés sur Windows Vista ou OS X 10.6 ou ultérieur :

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (avec TLS 1.1 activé)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Navigateurs mobiles

  • Mobile Safari pour iOS 4.0
  • Android 3.0 (Honeycomb) et versions ultérieures
  • Windows Phone 7

Notez que tout service API ou passerelle de paiement communiquant avec votre site doit également prendre en charge SNI et ECDSA afin de se connecter à votre site Web via Cloudflare.

Modes SSL - SSL vers l’origine

Cloudflare propose les modes SSL suivants :

  1. SSL flexible : SSL prend fin au niveau des serveurs périphériques de Cloudflare. Tout est chiffré entre votre client et Cloudflare, mais pas entre Cloudflare et votre origine. Vous n’avez pas besoin d’installer un certificat pour cela.
  2. SSL complet : SSL prend fin au serveur de périphérie de Cloudflare. Il est ensuite chiffré à nouveau et renvoyé à vos serveurs entièrement chiffré. Vous devez avoir installé un certificat SSL sur votre serveur. Vous pouvez également utiliser un certificat auto-signé pour cette option.
  3. Full SSL (Strict) : Identique à SSL Full, mais vous devez disposer d’un certificat signé par une autorité de certification, telle que GlobalSign. Si vous souhaitez activer l’option Full Strict, vous pouvez installer un certificat d’origine Cloudflare gratuit sur votre hôte.

Une vue d’ensemble complète de nos paramètres SSL est disponible [ici] (https://support.cloudflare.com/hc/en-us/articles/200170416).

Si vous souhaitez utiliser les options de configuration Full ou Full (Strict), vous devrez disposer d’un certificat sur votre serveur web d’origine.

Si vous utilisez l’option Full (Strict), ce certificat SSL doit être valide et signé par une autorité de certification ou utiliser notre service Origine CA.

Erreurs de contenu mixte et boucles de redirection

Si vous remarquez que le cadenas vert n’apparaît pas dans votre navigateur lorsque vous vous connectez via HTTPS, il s’agit probablement d’un problème de contenu mixte. Les erreurs de contenu mixte signifient que votre site Web est chargé en HTTPS mais que certaines ressources sont chargées en HTTP. Pour résoudre ce problème, vous devez modifier votre code source et changer toutes les ressources pour qu’elles soient chargées via un chemin relatif ou directement via HTTPS.

Par exemple, si vous chargez vos images avec une URL complète :

<img src="http://example.com/image.jpg" />

Vous voudriez changer cela en :

<img src="//example.com/image.jpg" />

En supprimant la mention http:, le navigateur utilisera le protocole que le visiteur utilise déjà. Voir cet article pour plus d’informations. Vous pouvez également installer un plugin Mixed-Content Fixer qui remplacera automatiquement le http par le https dans ces sections. Pour Wordpress, nous avons obtenu de bons résultats avec le plugin SSL Insecure Content Fixer.

Une autre option serait d’activer la fonctionnalité Automatic HTTPS Rewrites (Réécritures HTTPS automatiques) qui peut potentiellement corriger ces erreurs pour vous automatiquement. Soyez conscient de ce que les ressources chargées par JavaScript ou des CSS ne seront pas automatiquement réécrites et que les avertissements de contenu mixte seront toujours visibles.

Ces problèmes concernent le plus souvent les utilisateurs du service SSL Flexible de Cloudflare. Vous pouvez vérifier si vous utilisez le service SSL Cloudflare en mode Full ou Flexible en vous connectant à votre tableau de bord Cloudflare et en cliquant sur l’onglet Overview de l’application SSL/TLS puis en vous dirigeant vers le paramètre SSL :

Utilisateurs SSL Flexible

Le mode flexible fonctionne en ne chiffrant pas le trafic vers et depuis votre origine et Cloudflare. Étant donné que votre origine force https et que la demande est ensuite redirigée vers Cloudflare où Cloudflare essaie à nouveau d’envoyer la même demande http, une boucle infinie se produit. J’ai pu confirmer que votre site est bien en train d’appliquer une redirection HTTPS.

Pour résoudre ce problème, vous avez plusieurs possibilités :

  • Active le mode Full ou Full Strict. Que signifient les options SSL ?

En outre, Cloudflare ajoute également un en-tête X-Forwarded-Proto, qui peut être soit http soit https en fonction du protocole utilisé par l’utilisateur pour visiter le site, comme ceci :

X-Forwarded-Proto : https

Lorsque le SSL Flexible est activé et qu’un visiteur demande à Cloudflare par HTTPS, Cloudflare demande à l’origine par HTTP. Dans ce scénario, le serveur d’origine peut savoir que le visiteur a utilisé HTTPS en inspectant cet en-tête.

Certificat non provisionné Consultez les enregistrements DNS app pour vérifier que (example.com ) et www.example.com ou example.com sont en nuage orange.

Pour que le certificat SSL universel Cloudflare soit provisionné, vous devez mettre en nuage orange tous les enregistrements requis. Une fois que l’enregistrement DNS a été mis en nuage orange, votre certificat SSL universel Cloudflare commencera à être approvisionné.

Vous trouverez de plus amples informations sur la manière de procéder dans le guide de configuration rapide ci-dessous :

Autres erreurs SSL/TLS

Correction de l’erreur 520 : Le serveur Web renvoie une erreur inconnue Correction de l’erreur 521 : le serveur Web est hors service
Correction de l’erreur 525 : l’échange de données SSL a échoué Correction de l’erreur 526 : certificats SSL non valides

Si vous avez besoin d’aide supplémentaire
Cette communauté d’autres utilisateurs de Cloudflare peut être en mesure de vous aider, connectez-vous à Cloudflare et posez votre question à la communauté. Lorsque vous publiez un message sur la Communauté, veillez à inclure autant d’informations que possible : le message d’erreur spécifique que vous voyez, les URL sur lesquelles cela se produit, une capture d’écran de l’erreur et les étapes pour reproduire l’erreur. Veuillez indiquer les étapes de dépannage que vous avez essayées afin de nous permettre de vous aider.

Les commentaires des experts sont appréciés
Ce conseil communautaire restera ouvert aux contributions des experts de la Communauté et de ceux qui connaissent bien cette question. Nous apprécions vraiment les commentaires tels que : « Quelles sont les trois choses à toujours essayer », ou « Faites ceci en premier » ou « D’après mon expérience ».

Ceci est un conseil de la communauté Cloudflare, pour consulter d’autres conseils cliquez ici.

Çevirme…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: Traduire ce conseil

AQSECT 030321