IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web
Plutôt que l'exception sur la toile

Le , par Olivier Famien

88PARTAGES

6  0 
Depuis plusieurs mois, Google a annoncé que la version 56 de son navigateur Chrome marquerait les sites web qui collectent les mots de passe ou les informations de cartes de crédit comme non sécurisés. Depuis quelques jours, Chrome 56 est disponible et comme annoncé, le navigateur a commencé à afficher un indicateur « ;Non sécurisé ;» dans la barre d’adresse lorsque la page collecte des mots de passe ou autres informations similaires sans utiliser de protocole HTTPS pour ses connexions. À terme, Google explique que la couleur de l’étiquette va changer pour passer au rouge afin de mieux attirer l’attention des utilisateurs pour ces pages non sécurisées qui collectent des informations sensibles.

Cette action, qui en filigrane, vise à forcer les développeurs web afin qu'ils adoptent des connexions sécurisées sur leurs sites web présente de nombreux avantages pour les utilisateurs en évitant que leurs données soient piratées. Mais pour les webmasters, son adoption a été longtemps freinée par de nombreux arguments comme des manques à gagner au niveau des revenus publicitaires, des problèmes de performance des pages HTTPS, le manque d’expertise pour mettre en place des sites sécurisés ou encore des frais élevés pour acquérir ces certificats…

Toutefois, au fil des années, tous ces problèmes ont trouvé des solutions. Concernant les performances connexions HTTPS, l’on note que les pages HTTPS sont aussi rapides que les pages HTTP. En ce qui concerne les demandes publicitaires, une grande proportion des demandes passent maintenant par des connexions HTTPS. Et pour aller encore plus loin, Google a depuis longtemps annoncé qu’elle indexerait par défaut les pages web HTTPS lorsque deux URL (sécurisée et non sécurisée) d’un même domaine renvoient un même contenu. Par ailleurs, toutes ces mesures seraient inefficaces pour amener les développeurs à adopter cette norme s’ils ne disposent pas d’alternatives moins chères pour implémenter ce protocole.

Depuis bien des années, l’autorité de certification StartSSL propose des certificats SSL gratuits pour sécuriser les sites web. Mais cette solution présente des limites en termes de nombre de domaines et de nombre d’emails. Aussi, avec la nouvelle autorité de certification Let’s Encrypt, les développeurs n’ont plus de raison de présenter l’argument de la cherté des certificats ou du manque d’expertise. En effet, Let’s Encrypt offre gratuitement les certificats pour protéger les communications avec le protocole TLS. Par ailleurs, la configuration du serveur web, des courriels de validation et la gestion de l’expiration des certificats sont largement facilitées. Sur un serveur Linux par exemple, la configuration du chiffrement HTTPS ainsi que l’acquisition et l’installation des certificats peuvent se faire juste avec quelques lignes de commande pour un temps très négligeable.

Tous ces éléments ont poussé les sites internet à adopter de plus en plus vers ce protocole HTTPS. Plusieurs sites ont sécurisé leurs connexions avec cette norme. Le Club des développeurs et IT pro n’est pas en reste et est passé au HTTPS aussi bien pour les différentes rubriques Developpez.com que pour les forums sur Developpez.net. En octobre 2016, Let’s Encrypt rapportait sur Twitter que plus de 50 % des pages chargées avec Mozilla étaient chiffrées avec le protocole HTTPS. Même si cela signifie que le nombre de pages exécutées avec Mozilla est plus nombreux que les pages non sécurisées, il ne faut pas croire que plus de la moitié des sites web sur la toile sont sécurisées, car une grande partie du trafic web est drainée par un nombre réduit de sites sécurisés comme Facebook, Gmail, Twitter, Yahoo…

C’est pourquoi Troy Hunt, le créateur du site haveibeenpwned, a entrepris d’investiguer pour voir ce qu’il en est véritablement avec l’ensemble des sites web sur la toile. Pour cela, il s’est tourné vers Scott Helme, le chercheur en sécurité et créateur du site securityheaders.io afin d’analyser les sites figurant dans le top 1 million du classement Alexa (le site fournissant les statistiques sur le trafic web mondial) et qui redirigent les navigateurs des utilisateurs de HTTP vers HTTPS. Après avoir effectué sa dernière analyse, il ressort qu’en l’espace de 12 mois (de février 2016 à février 2017) on est passé de 9,4 % à 18,4 % de sites redirigeant les navigateurs vers des pages HTTPS.


Ces éléments poussent Troy Hunt à déclarer que le protocole HTTPS a atteint un point critique à partir duquel l’on pourra le voir devenir la « ;norme ;» du web plutôt que l’exception qu’il a été dans le passé. Et pour aider cette adoption, Hunt met en avant les outils comme SSL flexible de CloudFlare que l’on peut utiliser également pour sécuriser ses pages web en plus de Let’s Encrypt qui offre des certificats gratuits à ce sujet.

Source : Blog Troy Hunt

Et vous ?

Que pensez-vous de l'adoption du protocole HTTPS ?

Partagez-vous les prévisions optimistes de Troy Hunt sur le devenir du HTTPS sur la toile ?

Voir aussi

Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier et donne plus de détails sur son plan
Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passés au HTTPS pour vos sites web ?
Google Search indexe désormais les URL HTTPS par défaut lorsque deux URL HTTP et HTTPS d'un même domaine ont le même contenu

La Rubrique Développement web, Forum Sécurité développement web, Cours et tutoriels web, FAQ Web

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 02/02/2017 à 9:44
Concernant les performances connexions HTTPS, l’on note que les pages HTTPS sont aussi rapides que les pages HTTP.
J'ai une question pour les spécialistes: il semble qu'il ne faille pas activer la compression gzip avec HTTPS, du coup, en terme de trafic réseau et temps de chargement, c'est plus lourd non?
0  0 
Avatar de plorieul
Membre à l'essai https://www.developpez.com
Le 02/02/2017 à 12:47
Il est généralement "déconseillé" d'utiliser la compression HTTP avec SSL car elle (la compression) peut permettre à un attaquant d'obtenir des informations sur le contenu chiffré (cf. BREACH) .

Concernant la lourdeur, Adam Langley, un ingénieur de Google ayant travaillé sur leur infrastructure HTTPS, a écrit un billet de blog sur l'impact qu'a eu l'utilisation globale du protocol HTTPS pour Gmail.

En résumé, dans leur cas, l'utilisation de SSL/TLS compte pour
  • Moins d'1% de charge CPU supplémentaire
  • Moins de 2% de "surcoût" réseau
0  0