En quoi consiste l’initiative HTTPS Everywhere ?
Parmi les bonnes pratiques qui s’appliquent aux sites web, l’initiative HTTPS Everywhere garantit la protection des internautes sur l’ensemble d’un site. Cette mesure de sécurité consiste tout simplement à utiliser le HTTPS – le protocole web sécurisé reposant sur le TLS/SSL – à l’échelle de tout un site et non de manière sélective. Résultat : chaque page est sécurisée par le chiffrement TLS/SSL et ne s’affiche pas comme étant dangereuse dans les navigateurs web.
Le HTTPS agit sur deux leviers : 1) l’authentification de l’identité du site web ; et 2) le chiffrement de toutes les informations échangées entre le site et les internautes (y compris les cookies), empêchant ainsi toute visualisation, modification ou utilisation non autorisée des données en transit. Dans cet esprit, il est indispensable de sécuriser la connexion pendant toute une session de navigation afin de protéger les internautes contre diverses attaques du type usurpation d’identité, injection et interception.
Comment les navigateurs encouragent-ils la généralisation du HTTPS ?
Il n’est plus acceptable de ne sécuriser qu’une partie des connexions utilisateurs. Car quand on utilise le HTTPS de façon intermittente sur un site web, seules quelques pages sont protégées via le chiffrement et l’authentification TLS/SSL. Les autres restent vulnérables face à diverses menaces : vol de données, injection/modification de contenu et violation de la confidentialité du fait de la surveillance Internet. L’inconvénient d’une telle approche est double : on ne satisfait pas aux attentes et aux droits des utilisateurs, et on ne répond pas non plus aux attentes des navigateurs et des plateformes des systèmes d’exploitation.
Dans le cadre d’une campagne de plusieurs années pour encourager l’adoption de l’extension >HTTPS Everywhere, les principaux navigateurs – notamment Google, Mozilla et Apple – ont petit à petit modifié l’interface de leurs navigateurs pour renforcer le caractère négatif du HTTP et promouvoir le HTTPS.
Pourquoi sécuriser votre site web à l’aide de HTTPS Everywhere ?
La confiance est le fondement de l’économie Internet. Cette confiance passe par une sécurité de bout en bout qui protège chaque page web visitée, et pas seulement les pages de connexion et de paiement. Parallèlement, les récents changements des normes Internet et des navigateurs web avantagent les sites web utilisant le HTTPS et pénalisent les sites non sécurisés qui continuent à employer le protocole HTTP. Pour preuve, Google améliore le classement des pages protégées par HTTPS dans les résultats de recherche depuis 2014. Une notification « Sécurisé » est également affichée dans la barre d’adresse des pages HTTPS. Et depuis juillet 2018, un avertissement « Non sécurisé » s’affiche aussi sur chaque page HTTP.
Chrome a été le premier navigateur à ajouter un avertissement sur toutes les pages HTTP. Les autres navigateurs lui ont emboîté le pas suite à l’avènement de la "sécurité par défaut". En outre, de nombreuses nouvelles technologies web et fonctionnalités de navigateur exigent l’utilisation du HTTPS à l’instar de la géolocalisation, des notifications, des Service Workers, de la norme mobile AMP de Google, des nouvelles méthodes de compression, etc. Quant au HTTP/2, il constitue une amélioration majeure du protocole de communication web, gage de sites nettement plus performants. En clair, faire l’impasse sur le HTTPS revient à figer un site dans le passé.
Trois conseils pour généraliser le HTTPS
1. Veillez à ce que tous les services tiers dont vous dépendez, comme les services de publicité ou d’analyse exécutés sur votre site, soient disponibles sur HTTPS pour éviter les problèmes de "contenu mixte".
2. Achetez des certificats TLS/SSL supplémentaires si différentes parties de votre site web sont exécutées sur différents serveurs ou domaines.
3. Redirigez toutes les pages de votre site vers leur nouvel équivalent HTTPS. N’oubliez pas non plus de mettre à jour vos outils Google Webmaster. Et gardez en tête que la généralisation du HTTPS a des répercussions au niveau du référencement web. Pour Google et d’autres moteurs de recherche, cela s’apparente à un déplacement de site (qui équivaut à un changement de nom de domaine).