Qu'est-ce que HTTPS ?

HTTPS est un moyen sécurisé d'envoyer des données entre un serveur web et un navigateur web.

Share facebook icon linkedin icon twitter icon email icon

HTTPS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir HTTPS
  • Découvrez comment HTTPS fonctionne
  • Comprendre l'importance du HTTPS
  • Apprenez à obtenir HTTPS sur un site web

Qu'est-ce que HTTPS ?

Le protocole de transfert hypertexte sécurisé (HTTPS) est la version sécurisée de HTTP , qui est le protocole principal utilisé pour envoyer des données entre un navigateur web et un site web. HTTPS est chiffré afin d'augmenter la sécurité du transfert de données. Ce chiffrement est particulièrement important lorsque les utilisateurs transmettent des données sensibles, par exemple en se connectant à un compte bancaire, à un service de messagerie électronique ou à une compagnie d'assurance maladie.

Tous les sites web, en particulier ceux qui nécessitent des informations de connexion, doivent utiliser HTTPS. Dans les navigateurs web modernes tels que Chrome, les sites web qui n'utilisent pas HTTPS sont marqués différemment de ceux qui l'utilisent. La présence d'un cadenas vert dans la barre d'URL indique que la page web est sécurisée. Les navigateurs web prennent HTTPS au sérieux. Google Chrome et d'autres navigateurs signalent tous les sites web non HTTPS avec le message « non sécurisés ».

Google Chrome Security Example

Vous pouvez utiliser Cloudflare Diagnostic Center pour vérifier si un site web utilise HTTPS.

Comment fonctionne HTTPS ?

HTTPS utilise un protocole de chiffrement pour chiffrer les communications. Le protocole appelé Transport Layer Security (TLS) était auparavant connu sous le nom de Secure Sockets Layer (SSL). Ce protocole sécurise les communications en utilisant ce que l'on appelle une infrastructure à clé publique asymétrique. Ce type de système de sécurité utilise deux clés différentes pour chiffer les communications entre deux parties :

  1. La clé privée - cette clé est contrôlée par le propriétaire d'un site web et maintenue privée, comme le lecteur l'a peut-être spéculé. Cette clé réside sur un serveur web. Elle est utilisée pour déchiffrer les informations chiffrées par la clé publique.
  2. La clé publique - cette clé est disponible pour tous ceux qui souhaitent interagir avec le serveur de manière sécurisée. Les informations chiffrées par la clé publique ne peuvent être déchiffrées que par la clé privée.

Pourquoi le HTTPS est-il important ? Que se passe-t-il si un site web ne dispose pas de HTTPS ?

Le protocole HTTPS empêche les sites web de diffuser leurs informations d'une manière facilement visible par une personne malveillante espionnant le réseau. Lorsque des informations sont envoyées en HTTP, elles sont divisées en paquets de données qui peuvent être facilement « reniflés » à l'aide d'un logiciel gratuit. Dans ce cas la communication sur le support n'est pas sécurisée, tel que le Wi-Fi public, très vulnérable à l'interception. En fait, toutes les communications qui ont lieu en HTTP se font en texte brut, ce qui les rend hautement accessibles à toute personne disposant des outils appropriés et vulnérables à des attaques de l'homme du milieu.

Avec HTTPS, le trafic est chiffré de telle sorte que même si les paquets sont reniflés ou interceptés d'une autre manière, ils apparaîtront comme des caractères absurdes. Examinons un exemple :

Avant le chiffrement :

 Il s'agit d'une chaîne de texte parfaitement lisible  

Après le chiffrement :

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Dans les sites web sans HTTPS, il est possible pour les fournisseurs de services Internet (FAI) ou d'autres intermédiaires d'injecter du contenu dans des pages web sans l'approbation du propriétaire du site. Ce contenu a souvent la forme de publicité, lorsqu'un FAI cherchant à augmenter ses revenus injecte de la publicité payante dans les pages web de ses clients. Sans surprise, lorsque cela se produit, les bénéfices issus des annonces publicitaires et le contrôle qualité de ces annonces ne sont en aucun cas partagés avec le propriétaire du site. HTTPS élimine la capacité des tiers non modérés à injecter de la publicité dans du contenu Wwxeb.

Third-party content injection

Image de Ars Technica

En quoi HTTPS est-il différent de HTTP ?

Techniquement parlant, HTTPS n'est pas un protocole distinct de HTTP. Il utilise simplement le chiffrement TLS/SSL sur le protocole HTTP. HTTPS repose sur la transmission de certificats TLS/SSL , qui vérifient qu'un fournisseur particulier est bien celui qu'il prétend être.

Lorsqu'un utilisateur se connecte à une page web, la page web envoie son certificat SSL qui contient la clé publique nécessaire pour démarrer la session sécurisée. Les deux ordinateurs, le client et le serveur, passent ensuite par un processus appelé handshake SSL/TLS, qui est une série de communications aller-retour utilisées pour établir une connexion sécurisée. Pour approfondir le chiffrement et le handshake SSL/TLS lisez ce qui se passe dans un handshake TLS.

Comment un site web commence-t-il à utiliser HTTPS ?

De nombreux hébergeurs de sites web et d'autres services proposent des certificats TLS/SSL contre rémunération. Ces certificats seront souvent partagés entre de nombreux clients. Des certificats plus chers sont disponibles et peuvent être enregistrés individuellement sur des propriétés web particulières.

Tous les sites web utilisant Cloudflare reçoivent HTTPS gratuitement en utilisant un certificat partagé (le terme technique exact est un certificat SSL multi-domaine). La création d'un compte gratuit garantira à une propriété web une protection HTTPS constamment mise à jour. Vous pouvez également explorer nos offres payantes pour des certificats individuels et d'autres fonctionnalités. Dans les deux cas, une propriété web bénéficie de tous les avantages liés à l'utilisation de HTTPS.