Alors, qu'est-ce que c'est que ce truc https que je vois sans cesse ? Le nom HTTPS dérive de Hyper Text Transfer Protocol Secure, le nom d'origine du protocole est HTTP, la lettre clé ici est le “s” dans HTTPS qui signifie sécurise.

Lorsque vous envoyez et recevez des données via votre navigateur, cela se fait de 2 manières. Soit Standard ou Sécurisé. Lorsque vous visitez des sites qui utilisent le protocole HTTP standard, cela signifie que votre communication avec le serveur est non cryptée. Dans la plupart des cas, cela convient, car vous ne lisez probablement que le contenu fourni par un site Web, sans fournir de données privées précieuses.

Mais dans les cas où vous fournissez des informations personnelles (en particulier des données de facturation, bancaires ou d'identification), ce n'est pas optimal car un attaquant potentiel pourrait éventuellement intercepter ce contenu et les modifier à la volée. Ce qui peut à son tour conduire à des tentatives de piratage ou à des vols. Cela signifie que pour les entreprises en ligne et les sites Web de commerce électronique sécurisés, l'utilisation de HTTP est absolument pas acceptable.

L'échange de données privées telles que les transactions par carte de crédit exige HTTPS, mais avec l'augmentation actuelle des activités de piratage, la demande de ce que google appelle HTTPS Partout grandit de jour en jour.

Pourquoi HTTPS devient plus important

Maintenant que vous savez ce qu'est HTTP, il est important de comprendre pourquoi c'est important. Pour simplifier à l'extrême : HTTPS permet de sécuriser vos activités de navigation sur le Web.

Un site HTTP qui fonctionne sans chiffrement peut être plus sensible aux attaques. Les sites piratés peuvent également entraîner l'installation de logiciels malveillants sur eux, ce qui affecte les lecteurs, car les logiciels malveillants affecteront également les navigateurs. Cette situation est devenue une préoccupation croissante avec des tentatives de piratage automatisées partout dans le monde. L'utilisation de HTTPS aiderait à annuler bon nombre de ces attaques en convertissant tous les transferts de données en connexions cryptées, qui sont des mécanismes de cryptage plus difficiles à casser.

Avertissement Google Malware

L'utilisation de HTTPS pourrait conduire à un Web plus sûr et plus sécurisé. Mais jusqu'à présent, la route a été longue et il reste encore beaucoup à faire avant que HTTPS ne devienne universel. De plus, il est important de se rappeler que HTTPS n'est pas le seul facteur à prendre en compte dans la création de sites Web sûrs – il existe de nombreuses autres étapes que les gestionnaires Web doivent mettre en œuvre pour la sécurité des blogs.

HTTPS avait de nombreux défauts dans le passé

Pourquoi le HTTPS devient-il plus important ? à présent? Dans le passé, HTTPS a eu du mal à gagner du terrain depuis Certificats SSL (les documents Web réels responsables de la création des mécanismes de cryptage) ont été pas libre. Au lieu de cela, ils devaient être émis par des autorités de certification spécifiques pour être valides.

Avertissement Google non approuvé

Ainsi, la seule autre option pour les personnes à budget limité a été les certificats “auto-signés”. Ce ne sont pas une alternative viable car ils jettent un avertissement sur votre navigateur. L'avertissement des certificats auto-signés est suffisant pour empêcher vos lecteurs d'essayer d'accéder à votre site car cela peut sembler trop dangereux à ignorer. Cela rend les certificats “auto-signés” inutiles pour toute tentative sérieuse d'accroître votre présence en ligne. Ils restent cependant une option lorsqu'ils ne sont utilisés que pour les sites Web qui font partie de votre propre réseau et sont accessibles en interne, mais encore une fois, cela ne fait pas grand-chose pour développer votre marque en ligne.

Cela a été un énorme désavantage pour les blogueurs et les petites entreprises du monde entier. Alors que les grandes entreprises n'ont aucun problème avec le coût, les blogueurs à petit budget qui ne génèrent pas encore un revenu suffisant de leur site Web ne peuvent tout simplement pas se permettre de payer pour de tels certificats. Et sans alternative fiable, ils ont été SOL pour SSL.

En plus de tout cela, une fois qu'un site Web a été chargé avec HTTPS, le temps de chargement dudit site a souffert. Cela était dû à la surcharge supplémentaire que le serveur devait supporter en devant Crypter toutes les données avant de les envoyer. Pas du tout un processus efficace si vous vouliez et pouviez vous le permettre en premier lieu.

La version 3 de SSL est désormais obsolète

Pour ajouter plus d'insulte à l'injure, des certificats SSL valides fonctionnaient sur une plate-forme obsolète. La dernière version de SSL appelée version 3 qui a commencé en 1996 avait de plus en plus de failles exposées, à tel point que le Internet Engineering Task Force (IETF) a décidé de le rendre obsolète

ne-pas-utiliser-sslv3

Le nouveau protocole TLS est beaucoup plus sécurisé à tous points de vue, ce qui a conduit à l'interdiction de l'ensemble de SSLv3 sur les principaux navigateurs.

Plus de puissance CPU, Let's Encrypt, TLS et HTTP/2 ont changé la donne

Avec l'avènement de nouveaux matériels, de processeurs plus rapides, de serveurs Web plus rapides (tels que nginx et lighttpd) et de mécanismes de mise en cache plus rapides (tels que vernis), les frais généraux liés à la prise en charge de HTTPS ont été considérablement réduits. Cela signifie que les nouveaux utilisateurs de SSL n'ont pas à s'inquiéter des temps de chargement ralentis.

De plus, le nouveau TLSv1.2 introduit pour SSL a rendu SSLv3 obsolète et a ouvert la voie à une adoption SSL plus rapide.

De plus, le lancement récent de HTTP/2 va être le dernier clou dans le cercueil pour les partisans de HTTP. HTTP/2 est un protocole amélioré par rapport au HTTP original qui a été pensé et développé pour aujourd'hui. HTTP non crypté est un ancien protocole qui fonctionne très bien, mais qui n'est pas aussi optimisé pour les besoins actuels (ne vous inquiétez pas, nous parlerons davantage de HTTP/2 dans un prochain article).

http2-multiplexage

HTTP/2 utilise le multiplexage pour améliorer les performances par rapport au HTTP traditionnel. Image reproduite avec l'aimable autorisation de CloudFlare

Ces facteurs (et plus) ensemble réduisent presque à zéro l'impact d'avoir un site fonctionnant en HTTPS. Mais qu'en est-il du coût ? Cette dernière question a été modifiée par une variable et s'appelle : Chiffrez.

Chiffrez

Encryptons SSL gratuit

Chiffrez est un certificat gratuit autorité. Cela signifie qu'il peut émettre des certificats gratuits d'une durée de validité de 90 jours et les certificats ne coûtent rien à mettre en œuvre. Let's Encrypt est récemment sorti de la version bêta et fonctionne parfaitement bien depuis lors. Cette dernière pièce du puzzle a rapproché l'ensemble du “HTTPS partout” de Google d'un pas de plus vers sa réalisation. Le principal problème de Google en ce moment est adoption.

Heureusement, Let's Encrypt a plusieurs façons d'émettre un certificat, que ce soit via le Web par ZéroSSLpar un plugin wordpress via Chiffrement WP ou par serveur avec les nouveaux packages dans Debian et d'autres distributions Linux appelées Certbot.

Plugin WordPress gratuit WP Encrypt

Plugin WordPress gratuit WP Encrypt

La gratuité Plugin WordPress WP Encrypt facilite l'installation et la gestion de votre certificat SSL Let's Encrypt gratuit. Vous pouvez utiliser le plugin pour créer un certificat, l'enregistrer et déplacer votre site Web vers HTTPS. Mais la meilleure partie absolue est que le plugin renouvellera automatiquement votre certificat pour vous tous les 90 jours, vous aurez donc toujours un certificat SSL valide.

Encryptons l'hébergement compatible

Encryptons l'hébergement compatible

Le deuxième moyen simple d'ajouter Let's Encrypt consiste à passer par votre hébergeur. De nombreux hébergeurs populaires ont intégré Let's Encrypt à leurs packages pour permettre à leurs clients d'ajouter facilement et à moindre coût SSL à leurs sites WordPress. Quelques-uns de nos favoris incluent Cloudways, WP Engine et Flywheel. Ces premiers utilisateurs ont fait de l'ajout de SSL une partie facile de leurs processus de configuration de site Web déjà simples.

Google pousse déjà HTTPS avec SEO Ranking Boost

Google avait déjà commencé à envisager l'adoption de HTTPS dans le cadre de son propre algorithme de classement SEO en 2015. Puis ils ont annoncé en 2016 qu'ils allaient mettre en œuvre un très mineur boost de classement à tous les sites Web qui passent de HTTP à HTTPS. Selon Google, ce n'est actuellement pas assez fort pour affecter les classements de manière significative, mais c'est une indication des choses à venir.

Comme vous pouvez le voir, Google a déjà apporté des changements révélateurs en 2015 et 2016, et maintenant ils vont repousser encore plus les limites en 2017.

Il y aura un avertissement sur Google Chrome en 2017

Avec le protocole HTTP/2 désormais largement adopté et peut-être même la prolifération des utilisateurs de Let's Encrypt qui se comptent désormais par millions dans le monde entier, Google a commencé à faire son prochain pas. Google a récemment annoncé qu'ils commenceront à afficher un point d'exclamation pour tous les sites non cryptés, en commençant par leur Mise à jour de Google Chrome.

point d'exclamation google

Puis, à partir de janvier 2017, ils prévoient de signaler les sites Web HTTP qui transmettent des données utilisateur sensibles (telles que des mots de passe, des informations de carte de crédit, etc.) avec un panneau d'avertissement rouge. Cela va sans aucun doute commencer à créer de la méfiance avec tous ces sites qui ne font pas le changement.

avertissement-rouge-google

La décision est audacieuse, j'en suis sûr, mais elle en dit long sur la direction que prend le Web. Avec de plus en plus de sites passant au HTTPS et l'augmentation de l'utilisation d'Internet dans le monde entier, le HTTPS va devenir le norme de facto Dans les années à venir.

résumer

De nouvelles technologies sont enfin arrivées pour rendre le HTTPS beaucoup plus attractif. Avec l'inclusion de serveurs Web plus rapides, de processeurs plus rapides, de meilleurs mécanismes de cryptage de protocole via TLSv1.2, le protocole HTTP/2 récemment lancé et Let's Encrypt donnant des certificats gratuits à tous ceux qui le souhaitent ont ouvert la voie à une adoption HTTPS plus rapide. En plus de cela, l'application par Google du changement par les futures mises à jour est une autre poussée vers HTTPS.

Mais ne vous inquiétez pas – comme mentionné dans le premier article de ce post, pour les blogs et les magazines, vous ne devriez pas vous sentir obligé de vous précipiter vers HTTPS. Vous devez bien réfléchir à votre passage de HTTP à HTTPs, car cela pourrait affecter votre classement dans les moteurs de recherche. Mais pour les sites Web de commerce électronique et d'adhésion, vous aurez besoin de HTTPS activé et actif sur vos pages de connexion et de paiement pour empêcher les utilisateurs de voir un avertissement en 2017.

Vous ai-je donné suffisamment de raisons pour changer ? Dans mon prochain article, je vais examiner comment passer en HTTPS dans WordPress à l'aide de plugins, comment ajouter votre certificat dans cPanel, Vesta ou votre VPS personnalisé avec nginx. Restez à l'écoute!