Pour rappel, le test ne s'effectue qu'à la racine, page d'accueil, du (sous-)domaine testé.
Donc cela ne concerna pas ce forum pour ce protocole de test, mais Qualys envisage en 2018 à mettre un grade C quand le test repère du contenu HTTP avec du HTTPS.... si ce contenu est passif. Sinon, ce sera grade F pour du contenu actif en HTTP avec du HTTPS.
Autre nouveauté de taille attendue: grade C si le HTTP ne redirige pas vers le HTTPS. Ce sera alors fini le grade A encore possible pour les sites avec aucune redirection entre HTTP et HTTPS (même si c'est juste pour tester le HTTPS)... ou même ceux qui redirigent le HTTPS vers le HTTP! Pour ces derniers, la communauté avait demandé un grade F ou T. Mais la 1ere sanction viendra des navigateurs, en fonction de l'importance de la sécurité vu par les utilisateurs (site de banque sans cadenas vert et en HTTP par exemple^^).
Encore en réflexion, mais très important, concernant le certificat TLS:
- le grade T doit-il se muer en grade F? Faire cette mutation en plusieurs étapes? Ou statu quo? Pour rappel, le grade T est inférieur au grade F, dans l'attribution des grades.
- Suite a l'affaire WoSign/StartCom, d'autres pourraient suivre... Et au vu de la durée de certains certificats côté site (jusqu'à 3 ans parfois, généralement 1 an quand même), faut-il mettre ses régressions de confiance en grade intermédiaire (grade T aujourd'hui pour ces cas)? Sous quelles conditions? Quelle grade? Ou statu quo avec la position binaire d'aujourd'hui sur la confiance? Et que penser d'un certificat auto-signé sur des sites fréquentés? etc.
Réponses très probable en janvier.