Google explique que le trafic en HTTPS de ces deux nouveaux entrés est supérieur à 90 % : Calendar a 93 % de son trafic chiffré en HTTPS tandis que cette portion va jusqu’à 97 % pour YouTube.
Ce pourcentage réalisé par Google sur YouTube est l’aboutissement d’un travail de deux ans. Google a rencontré quelques obstacles à cette réalisation, notamment :
- la quantité de trafic : l’entreprise rappelle que son réseau de diffusion de contenus, le Google Global Cache, sert une quantité massive de vidéos, et faire migrer cet ensemble en HTTPS « relève de l’exploit ». « Heureusement que l’accélération matérielle pour AES est très répandue. Aussi, nous avons été en mesure de chiffrer la quasi-totalité des vidéos sans avoir à ajouter de machines ». Ce qui montre qu’il ne faut pas obligatoirement investir dans de nouvelles infrastructures pour passer en HTTPS ;
- de nombreux dispositifs : il est possible de regarder des vidéos sur YouTube depuis une panoplie de dispositifs, allant du smartphone à la télé. Les ingénieurs de Google ont effectué des tests pour s’assurer que les utilisateurs ne seraient pas négativement affectés. « Nous avons découvert que le HTTPS améliore la qualité de l’expérience de plusieurs clients : en s’assurant de l’intégrité du contenu, nous avons éliminé de nombreux types d'erreurs de streaming » ;
- le nombre important de requêtes : Google explique que le contenu mixte (par exemple une page web télécharge son contenu HTML d'origine de manière sécurisée sur HTTPS, mais charge le contenu restant (images, vidéos, feuilles de style, scripts) via une session de protocole HTTP non sécurisée) constitue un véritable défi pour tout grand site ou application web. « Nous recevons une alerte lorsqu’une requête insécurisée est faite depuis n’importe lequel de nos clients et il nous arrive de bloquer tout contenu mixte sur la base de la politique relative à sécurité du contenu sur le web, App Transport Security sur iOS et CleartextTraffic sur Android ». Et de rappeler que les publicités sur YouTube se servent de HTTPS depuis 2014.
En ce qui concerne les 3 % restants, Google explique qu’il existe encore des appareils qui n’arrivent pas à lire le HTTPS moderne. À terme toutefois, Google compte bien passer l’intégralité des connexions sur ses serveurs par le chiffrement : « avec le temps, pour garder les utilisateurs de YouTube aussi protégés que possible, nous allons graduellement déconnecter toutes les connexions insécurisées ».
Comme sur google.com, YouTube se sert également du mécanisme HTTP Secure Transport Security (HSTS) pour rediriger les liens HTTP vers des HTTPS ce qui conduit à l’amélioration à la fois de la sécurité, mais également de la latence pour les utilisateurs finals. Contrairement à google.com où le temps de vie du HSTS est défini sur 1 jour pour le moment, celui de YouTube est défini sur un an. L’entreprise annonce que ce mécanisme sera bientôt déployé sur les navigateurs web.
Source : blog YouTube
Voir aussi :
Google ajoute le support du mécanisme de sécurité HSTS au domaine google.com afin de renforcer la protection des utilisateurs
Warner Bros est accusée d'avoir financé des publicités dissimulées sur YouTube pour son jeu « La Terre du Milieu : L'Ombre du Mordor »