Sécuriser un serveur web IIS sous Windows Server 2016

7. Bloquer l'accès non sécurisé (HTTP) à votre site web

Actuellement, votre site web est accessible en HTTP (non sécurisé) et en HTTPS (sécurisé).
Pour éviter d'accéder par erreur à la version non sécurisée de votre site web, vous pouvez configurer votre serveur web pour exiger l'utilisation du SSL pour ce site web.

Attention : ne supprimez pas la liaison "HTTP" de votre site web, sinon la liaison HTTPS ne fonctionnera plus.
En effet, lorsque vous vous connectez de façon sécurisée (en HTTPS) à un site web, une connexion est d'abord effectuée via le protocole HTTP pour transférer le certificat public du serveur web.
Ensuite, le reste est effectué de façon sécurisée via le protocole HTTPS.

Pour bloquer la version non sécurisée (HTTP), sélectionnez votre site web dans le gestionnaire des services Internet (IIS) et allez dans la section : Paramètres SSL.

Cochez la case "Exiger SSL" et cliquez sur Appliquer.

Le message "Les modifications ont été correctement enregistrées" apparait.

Maintenant, si vous tentez d'accéder à la version non sécurisée (HTTP) de votre site web, vous verrez que l'accès est refusé avec un code d'erreur 403.4 (Forbidden).

Comme indiqué par votre serveur web IIS :

Plain Text

La demande de page a été effectuée via HTTP, mais pour le serveur, la demande doit être transmise par un canal sécurisé utilisant HTTPS.

Par contre, la version sécurisée (HTTPS) est toujours accessible.

8. Rediriger la version HTTP vers la version HTTPS sous IIS

8.1. Ajouter le support de la réécriture d'URL sous IIS

Pour ajouter le support de la réécriture d'URL sous IIS, vous devez télécharger l'extension "IIS URL Rewrite" et lancez le fichier téléchargé.
Une petite fenêtre "Microsoft Web Platform Installer 5.1" apparaitra pendant quelques secondes.

Ensuite, le "Web Platform Installer 5.1" apparaitra.

Une fois son chargement terminé, l'extension "Réécriture d'URL 2.0" souhaitée apparaitra.

Cliquez sur le lien "Options" (en bas de la fenêtre) pour désactiver la participation au programme d'amélioration si vous le souhaitez.

Décochez la case "Oui, je souhaite participer au programme d'amélioration du produit" pour éviter que votre serveur n'envoie des données à Microsoft, puis cliquez sur OK.

Ensuite, cliquez sur : Installer.

Acceptez le contrat de licence lié à l'extension que vous souhaitez installer.

Patientez pendant l'installation de cette extension "Réécriture d'URL 2.0".

Une fois l'installation de cette extension terminée, cliquez sur Terminer.

Cliquez sur : Quitter.

8.2. Rediriger la version HTTP vers la version HTTPS via la réécriture d'URL

Maintenant que l'extension "Réécriture d'URL" est installée, fermez le gestionnaire des services Internet (IIS) si celui-ci était resté ouvert, puis ouvrez-le à nouveau.
Sélectionnez votre site web (à gauche), puis allez dans "Réécriture d'URL".

Dans la colonne de droite, cliquez sur le lien : Ajouter des règles.

Dans la section "Règles de trafic entrant", sélectionnez "Règle vide" et cliquez sur OK.

Indiquez "HTTP to HTTPS redirection" comme nom de règle de trafic entrant, puis dans la section "Faire correspondre l'URL, spécifiez ces paramètres :

• URL demandée : Correspond au modèle
• En utilisant : Expressions régulières
• Modèle : (.*)
• cochez la case "Ignorer la casse"

Dans la section "Conditions", cliquez sur : Ajouter.

Dans la fenêtre "Ajouter une condition" qui apparait, indiquez :

• Entrée de la condition : {HTTPS}
• Vérifier si la chaine d'entrée : Correspond au modèle
• Modèle : ^OFF$
• Cochez la case "Ignorer la casse".

Puis, cliquez sur OK.

La condition ajoutée apparait.

Dans la section "Action", sélectionnez "Type de l'action : Rediriger", puis indiquez ceci comme URL de redirection "https://{HTTP_HOST}{REQUEST_URI}".
Ensuite, décochez la case "Ajouter une chaine de requête" et sélectionnez "Type de redirection : Permanent (301)".

Notez qu'une redirection permanente (code HTTP : 301) est recommandée pour le référencement et indique aussi aux visiteurs qu'ils peuvent garder cette redirection en cache sans tenter de redemander l'ancienne URL au serveur.

Pour finir, cliquez sur le lien "Appliquer" (dans la colonne de droite) pour sauvegarder cette réécriture d'URL.

Le message "Les modifications ont été enregistrées" apparait.

Important : si vous aviez bloqué l'accès à la version non sécurisée (HTTP), n'oubliez pas de débloquer celle-ci en décochant la case "Exiger SSL" de la section "Paramètres SSL", puis cliquez sur Appliquer.

Ensuite, redémarrez votre site web.

8.3. Test de la redirection HTTP vers HTTPS

Dans votre navigateur web, tentez d'accéder à la version non sécurisée (HTTP) de votre site web.

Si la réécriture d'URL a été configurée correctement, votre serveur web IIS vous redirigera automatiquement vers la version HTTPS de votre site web.

Si ce n'est pas le cas, c'est que votre navigateur web a affiché la page qui se trouvait dans son cache.
Dans ce cas, rafraichissez la page en appuyant sur F5 ou videz le cache de votre navigateur, redémarrez-le et réessayez.
Maintenant, la version HTTP sera redirigée vers la version HTTPS.

En cas de problème, vous pouvez vérifier si la réécriture a bien été créée pour votre site web.
Pour cela, dans le gestionnaire des services Internet (IIS) de votre serveur web, sélectionnez votre site web et cliquez sur "Explorer" (dans la colonne de droite).

A la racine de votre site web, vous devriez trouver un fichier "web.config".

Note : c'est l'équivalent du fichier ".htaccess" utilisé par le serveur web "Apache" sous Linux.

Le contenu de ce fichier "web.config" devrait ressembler à ceci pour la redirection HTTP vers HTTPS.