Les navigateurs signalent les sites non HTTPS comme étant « non sécurisés », ce qui n'est qu'une des nombreuses bonnes raisons de sécuriser un site web.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
HTTPS est HTTP avec le chiffrement TLS. HTTPS utilise TLS (SSL) pour chiffrer les requêtes et réponses HTTP normales, ce qui le rend plus sûr et plus sécurisé. Un site Web qui utilise HTTPS a https:// au début de son URL au lieu de http://, comme https://www.cloudflare.com.
Alors, pourquoi les sites Web devraient-ils utiliser HTTP ?
Un site web utilisant HTTPS est comme un restaurant qui afficherait les résultats satisfaisants des contrôles sanitaires réalisés : les clients potentiels sauront qu'ils qu'ils peuvent fréquenter l'entreprise sans craindre l'intoxication alimentaire. De nos jours, utiliser HTTP reviendrait comme afficher des résultats des contrôles sanitaires imposant à l'établissement de corriger de manière urgente le niveau d'hygiène : rien ne garantit qu'un client n'attrape quelque chose de grave.
HTTPS utilise le protocole SSL/TLS pour chiffrer les communications afin que les attaquants ne puissent pas voler de données. SSL/TLS confirme également qu'un serveur de site web est bien celui qu'il prétend être, empêchant ainsi les usurpations d'identité. Cela arrête plusieurs types de cyberattaques (tout comme les contrôles sanitaires préviennent les maladies).
Même si certains utilisateurs ignorent les avantages de SSL/TLS, les navigateurs modernes veillent à ce qu'ils soient conscients de la fiabilité d'un site web, quoi qu'il arrive.
Google a progressivement mis en place des mesures pour inciter les sites Web à incorporer HTTPS sur plusieurs années. Google utilise également HTTPS comme facteur de qualité dans la façon dont il renvoie les résultats de recherche. Plus le site est sécurisé, moins le visiteur est susceptible de commettre une erreur en cliquant sur le lien fourni par Google.
Depuis juillet 2018 avec la sortie de Chrome 68, tout le trafic HTTP non sécurisé a été signalé dans la barre d'URL comme « non sécurisé ». Cette notification apparaît pour tous les sites Web sans certificat SSL valide. D'autres navigateurs ont emboîté le pas.
Avec HTTPS, les données sont chiffrées en transit dans les deux sens : depuis et vers le serveur d'origine. Le protocole maintient les communications sécurisées afin que les parties malveillantes ne puissent pas observer les données envoyées. Par conséquent, les noms d'utilisateur et les mots de passe ne peuvent pas être volés en transit lorsque les utilisateurs les saisissent dans un formulaire. Si des sites Web ou des applications web doivent envoyer des données sensibles ou personnelles aux utilisateurs (par exemple, les informations de compte bancaire), le chiffrement protège également ces données.
Les utilisateurs d'applications de covoiturage, comme Uber et Lyft, ne sont pas tenus de monter dans une voiture inconnue de bonne foi, simplement parce que le conducteur dit qu'il est venu les prendre. Au contraire, les applications leur donnent des informations sur le conducteur, son nom et son apparence, le type de voiture qu'il conduit et le numéro de la plaque d'immatriculation. L'utilisateur peut vérifier ces données et être sûr qu'il monte dans la bonne voiture, même si chaque voiture de covoiturage est différente et qu'il n'a jamais vu le conducteur auparavant.
De même, lorsqu'un utilisateur accède à un site web, ce qu'il fait en réalité, c'est se connecter à des ordinateurs lointains qu'il ne connaît pas, entretenus par des personnes qu'il n'a jamais vues. Un certificat SSL, qui active HTTPS, est comme les informations sur le conducteur dans l'application de covoiturage. Il représente une vérification externe par un tiers de confiance qu'un serveur web est bien ce qu'il prétend être.
Cette précaution empêche les attaques par usurptation d'identité ou usurpation d'un site Web, qui fait croire aux utilisateurs qu'ils se trouvent sur le site qu'ils avaient l'intention d'atteindre alors qu'ils se trouvent sur un faux site. L'authentification HTTPS fait également beaucoup pour aider un site web d'entreprise à avoir une apparence légitime, et cela influence les attitudes des utilisateurs envers l'entreprise elle-même
De nombreux sites web ont mis du temps à adopter HTTPS. Pour explorer pourquoi c'est le cas, nous devons regarder l'histoire.
Lorsque HTTPS a commencé à être déployé, la mise en œuvre a été difficile, lente et coûteuse. Le protocole a été difficile à mettre en œuvre correctement. Il ralentissait les requêtes Internet et augmentait les coûts en exigeant des services de certificats coûteux. Tous ces obstacles ont été surmontés, mais la peur persiste chez de nombreux propriétaires de sites web, ce qui a empêché certains d'entre eux de franchir le pas vers une meilleure sécurité. Explorons certaines idées fausses sur HTTPS.
« Je ne traite aucune information sensible sur mon site web, je n'ai donc pas besoin de HTTPS »
Une des raisons courante pour laquelle les sites web n'implémentent pas la sécurité tient au fait qu'ils pensent qu'elle n'a pas de raison d'être par rapport à leurs besoins. Après tout, si vous ne traitez pas de données sensibles, qui pourrait se soucier que quelqu'un vous espionne ? Il s'agit d'une vision trop simpliste de la sécurité web à plusieurs titres. Par exemple, certains fournisseurs d'accès à Internet injectent en fait de la publicité dans les sites web en HTTP. Ces publicités peuvent ou non correspondre au contenu du site web et peuvent potentiellement être offensantes, outre le fait que le fournisseur de site web n'a pas contribué à leur création et n'en tire aucun profit. Ces publicités injectées ne peuvent plus se produire une fois qu'un site est sécurisé.
Les navigateurs web modernes limitent désormais les fonctionnalités des sites qui ne sont pas sécurisés. Les fonctionnalités importantes qui améliorent la qualité du site Web nécessitent désormais HTTPS. La géolocalisation, les notifications push et les Service Workers nécessaires pour exécuter des Progressive Web Apps (PWA) nécessitent tous une sécurité renforcée. Ceci est tout à fait logique. Des données telles que l'emplacement d'un utilisateur sont sensibles et peut être utilisées à des fins néfastes.
« Je ne veux pas affecter les performances de mon site web en augmentant les temps de chargement de ma page »
La performance est un facteur important à la fois dans l'expérience utilisateur et dans la manière dont Google renvoie les résultats de la recherche. Naturellement, l'augmentation de la latence est à prendre au sérieux. Heureusement, au fil du temps, des améliorations ont été apportées à HTTPS pour réduire la surchage de performance nécessaire pour configurer une connexion chiffrée.
Lorsqu'une connexion HTTP se produit, la connexion doit effectuer un certain nombre de trajets entre le client demandant la page web et le serveur. Outre la latence normale associée à un handshake TCP (indiquée en bleu ci-dessous), un handshake TLS/SSL supplémentaire (représenté en jaune) doit se produire pour utiliser HTTPS.
Des améliorations ont été mises en œuvre dans TLS pour réduire la latence totale de la création d'une connexion TLS, comme la reprise de session TLS et le faux démarrage TLS.
En utilisant la reprise de session, un serveur peut conserver une connexion active plus longtemps en reprenant la même session pour des requêtes supplémentaires. Le fait de garder la connexion active permet d'économiser le temps passé à renégocier la connexion lorsque le client a besoin d'extraire des données non mises en cache du serveur d'origine, ce qui réduit le RTT total de 50 %.
Une autre amélioration de la vitesse à laquelle un canal chiffré peut être créé consiste à implémenter un processus appelé TLS False Start, qui réduit la latence en envoyant les données chiffrées avant que le client n'ait terminé l'authentification. Pour plus d'informations découvrez comment le TLS/SSL fonctionne sur un RDC.
Enfin, TLS 1.3 offre des améliorations de performance encore plus significatives. Les poignées de main TLS dans TLS 1.3 ne nécessitent qu'un seul aller-retour - et si le client s'est connecté précédemment, zéro aller-retour. En s'inscrivant à Cloudflare, il est facile d'activer TLS 1.3 pour une propriété web.
« L'implémentation de HTTPS me revient trop cher »
Cela peut avoir été vrai par le passé, mais désormais le coût n'est plus un problème. Cloudflare offre aux sites Web la possibilité de chiffrer le transit gratuitement. Nous avons été les premiers à fournir gratuitement SSL, et nous continuons de le faire. En améliorant la sécurité d'Internet dans son ensemble, nous contribuons à rendre Internet plus sûr et plus rapide.
« Je vais perdre mon classement dans les moteurs de recherche lors de la migration de mon site en HTTPS »
La migration de sites web présente certains risques, et si elle mal faite, un impact Negative SEO est possible. Les pièges potentiels incluent les temps d'arrêt du site web, les pages web non consultées et la pénalisation pour la duplication de contenu lorsque deux copies du site existent en même temps. Cela dit, la migration des sites web vers HTTPS peut être effectuée en toute sécurité en suivant les bonnes pratiques.
Deux des pratiques de migration les plus importantes sont les suivantes :
1) en utilisant les redirections 301 et 2) le placement correct des balises canoniques. En utilisant les redirections 301 du serveur sur le site HTTP pour rediriger vers la version HTTPS, un site Web indique à Google de se déplacer vers le nouvel emplacement pour tout ce qui concerne les recherches et l'indexation. En plaçant des balises canoniques uniquement sur le site HTTPS, les robots d'indexation tels que Googlebot sauront que le nouveau contenu sécurisé doit être considéré comme canonique à l'avenir.
Si vous avez un grand nombre de pages et craignez que la nouvelle exploration prenne trop de temps, contactez Google et dites leur combien de trafic vous êtes prêt à mettre sur votre site web. Les ingénieurs réseau augmenteront ensuite le taux d'exploration pour aider à analyser rapidement votre site et à l'indexer.