Configurer des redirections HTTPS dans IIS et sécuriser vos URL
Afin de forcer votre site Web à se charger via SSL, vous devrez probablement intégrer la redirection pour pousser toutes les URL non sécurisées vers leur homologue sécurisé. Ceci est nécessaire pour être sûr que tous les utilisateurs et pages prennent en charge et utilisent votre certificat SSL pour crypter les communications entre votre serveur Web et le visiteur.
Sommaire
Pourquoi aurais-je besoin de rediriger de HTTP vers HTTPS?
Pour sécuriser correctement votre site Web avec des certificats SSL, vous pouvez décider d’incorporer des redirections sur votre site Web, forçant tout http URL à rediriger pour sécuriser https URL, (c.-à-d. http://mondomaine.com redirige vers https://mondomaine.com). De cette façon, quelle que soit l’URL visitée par un utilisateur sur votre site, il sera automatiquement dirigé vers la version sécurisée de cette page.
Sans les redirections en place, certains utilisateurs ou pages peuvent accéder à des URL non sécurisées et ne bénéficieront pas des avantages d’avoir un certificat SSL en place. Voyons comment incorporer ces modifications dans IIS avec le module de redirection de réécriture d’URL!
Accéder au module de redirection
La première chose à faire est d’accéder à notre module de redirection. Pour ce faire, ouvrez le Gestionnaire des services Internet (inetmgr.exe), développez votre serveur et sélectionnez le site sur lequel vous souhaitez incorporer les redirections.
Dans le volet de la fenêtre principale, faites défiler vers le bas jusqu’à ce que vous trouviez «Réécriture d’URL» sous la sous-catégorie IIS et double-cliquez sur cette icône.
Si vous ne voyez pas ce module, vous devrez l’installer depuis le site officiel IIS, ici.
Notez que le module de réécriture d’URL n’est disponible que pour IIS 7 ou supérieur.
Création de votre première règle de redirection
Maintenant que vous avez ouvert le module de réécriture d’URL, sélectionnez «Ajouter des règles» dans le menu d’actions en haut à droite. Nous allons créer une règle vierge.
Pour créer une règle de redirection qui force toutes les URL HTTP vers HTTPS, vous devrez créer une règle avec les paramètres suivants:
URL demandée: Correspond au modèle
En utilisant: Expressions régulières
Patten: (. *)
… Avec la case «Ignorer» Case cochée.
En définissant le modèle sur (. *) Et en faisant correspondre les expressions régulières, la règle de redirection correspondra et traitera toute URL qu’elle reçoit. Le modèle d’expression régulière (. *) Correspond à toutes les combinaisons possibles de caractères dans l’URL.
Une fois ces paramètres en place, faites défiler jusqu’à la section «Conditions» et développez le menu déroulant.
Sélectionnez «Ajouter» et entrez les paramètres suivants:
Entrée de condition: {HTTPS}
Vérifiez si la chaîne d’entrée: Correspond au modèle
Modèle: ^ OFF $
Cliquez sur OK. »
Maintenant, sur la page «Modifier la règle entrante» de notre nouvelle règle, faites défiler jusqu’à la section «Action».
Vous allez définir le type d’action sur « Redirection » et saisir l’URL suivante dans la section URL de redirection:
https: // {HTTP_HOST} {REQUEST_URI}
Assurez-vous de décocher « Ajouter une chaîne de requête » et assurez-vous que le type de redirection est « Permanent (301) ».
Remarque: Si vous rencontrez des difficultés avec la redirection à la fin de cet article, une autre option à essayer pour votre URL de redirection serait:
https: // {HTTP_HOST} / {R: 1}
Nous utilisons des redirections permanentes (301) pour notre site car nous souhaitons que toutes les URL non sécurisées soient automatiquement et définitivement redirigées vers la version https sécurisée de l’URL. Il existe plusieurs autres types de redirections disponibles, mais la redirection 301 permettra à notre site Web de se comporter comme nous le souhaitons pour HTTPS.
Une fois que vous avez confirmé que tous les paramètres ci-dessus sont corrects, sélectionnez «Appliquer» dans le volet Actions en haut à droite.
Test des redirections pour confirmer la redirection de toutes les URL de sites Web vers HTTPS
Une fois que vous avez appliqué la nouvelle règle de redirection à votre site Web, vous pouvez maintenant tester la redirection dans votre navigateur.
Pour vous assurer que votre navigateur n’utilise pas les données mises en cache lors de l’accès, ouvrez une fenêtre «Privé» ou «Incognito» et accédez à n’importe quelle URL http sur votre site.
Lors de l’accès à ces URL, il devrait automatiquement rediriger vers la version HTTPS de votre page. En supposant que vous ayez déjà testé votre certificat SSL avant la redirection, lorsque votre URL non sécurisée est redirigée, elle devrait maintenant afficher https et une icône de verrouillage sécurisé près de la barre d’URL.
Si vous rencontrez des difficultés avec votre redirection ou si vous voyez qu’elle ne redirige pas correctement, il est dans notre intérêt de vérifier le fichier web.config dans le site Web associé pour être sûr que notre règle de redirection a été correctement ajoutée.
Vous pouvez vérifier cela en accédant à votre site dans IIS, en cliquant avec le bouton droit sur son nom et en sélectionnant «Explorer».
Cela vous amènera au répertoire racine de votre site Web où vous trouverez un fichier nommé web.config. Ouvrez ce fichier dans le Bloc-notes pour voir son contenu.
Votre web.config doit contenir les informations suivantes quelque part dans son contenu:
Si vous n’avez pas de section qui le dit dans votre fichier web.config, ajoutez le bloc de code ci-dessus juste avant la balise de fermeture et enregistrez votre fichier.
Vous devriez maintenant pouvoir accéder à toutes les URL http sur votre site Web et voir qu’elles redirigent vers l’URL https sécurisée! Félicitations, toutes les pages de votre site et les URL sont redirigées vers leur homologue sécurisé!
