web-dev-qa-db-fra.com

Iframe SSL est intégré à un autre site Web

Iframe du domaine avec SSLcertificate sera intégré sur un autre site (foo.com). 

  1. Foo.com doit-il avoir un certificat SSL?
  2. Si foo.com a un certificat SSL, s'agira-t-il d'une erreur de sécurité? foo.com a un certificat SSL pour foo.com, mais le domaine iframe a un autre certificat SSL.
  3. Si foo.com n'a pas de certificat SSL, s'agira-t-il d'une erreur de sécurité?
30
Sanhe
  1. Non.
  2. Vous obtiendrez une erreur de sécurité uniquement si le site d'intégration utilise SSL, mais pas celui d'iFramed. Que les sites utilisent des certificats différents ou non, cela n'a pas d'importance.
  3. Non (n'est-ce pas la même question que le n ° 1?)

Résumé

Avoir des certificats différents entre la page principale et les pages iframed n'est pas un problème.

L'incorporation de pages https:// avec <iframe /> sur une page http:// n'est pas un problème.

Toutefois, si vous exécutez une page sécurisée https:// intégrant des pages non sécurisées via http://, vous obtiendrez peut-être un résultat similaire à celui-ci (Internet Explorer):

enter image description here

Cela dépend du navigateur et de ses paramètres. Par exemple, dans IE, vous pouvez désactiver ceci:

enter image description here

28
Tower

La meilleure façon de regarder un iFrame est de le voir presque comme un navigateur séparé. Si foo.com n'est pas SSL mais que le site iFramed est SSL, vous ne recevrez aucune erreur.

Si vous permutez cela, où foo.com utilise SSL et le site IFramed, vous pouvez obtenir un avertissement de sécurité concernant le contenu mixte à partir du navigateur.

7
Mitchel Sellers

Peu importe que les deux sites Web utilisent des certificats SSL différents. Toutefois, si le site Web qui est en train d'être iframed n'est pas protégé par SSL, un message d'erreur partiellement chiffré s'affichera même si le site Web sur lequel l'iframe est incorporé est protégé par SSL. Je le sais seulement parce que c'est ce à quoi je suis confronté en ce moment. Ma page Web n'a été sécurisée qu'après avoir retiré le site Web iframed sans protection SSL. 

1
Ben Lewis

Bien que le site Web principal (qui contient l'iframe) ne doive pas utiliser SSL, cela devrait être le cas, du moins si la sécurité est une préoccupation (c'est le but de l'utilisation de SSL).

Dans le cas contraire, l'utilisateur ne peut pas vérifier que l'iframe est bien servi et de quel site il provient, ce qui rend son utilisation de SSL inutile. (Exemples ici .)

0
Bruno