Les avantages de https (sécurité, mais pas seulement...)

Qu'est-ce que HTTPS ?

Les sites utilisant HTTPS sont signalés dans votre navigateur par un petit cadenas ou une indication similaire.


[site signalé comme sécurisé - ici dans Chrome sous Windows]

Avantages de HTTPS

Le principal avantage de HTTPS est qu'il apporte une meilleure sécurité aux visiteurs de votre site web, mais en tant qu'éditeur d'un site, vous profitez également d'autres avantages en utilisant HTTPS.

Sécurité

Comme déjà mentionné, le but de HTTPS est d'offrir une meilleure sécurité. Les données échangées via HTTPS sont encryptées de manière à assurer que la communication se fait bien en toute confidentialité entre le serveur du site web et le navigateur du visiteur.

Même si votre site ne collecte pas de données sensibles, utiliser HTTPS est une bonne chose et peut contribuer à donner une image plus sérieuse et fiable à votre site web.

Autres avantages

Outre l'aspect sécurité, mettre en oeuvre pour votre site le protocole HTTPS vous offre un "bonus" de classement dans les résultats de recherche Google2. En effet, Google promeut l'idée de "HTTPS everywhere" (https partout) et considère l'utilisation d'une connexion sécurisée comme un indicateur positif dans le classement des résultats de recherche. Même si les détails ne sont pas connus, Google a prévenu de longue date (depuis 2014 déjà), que la présence de HTTPS impactait favorablement ses algorithmes de recherche et que ce critère risquait de prendre de l'importance.

De manière plus récente (janvier 2017), Google a mis à jour Chrome (navigateur web utilisé par près de 60% des internautes3) afin que le navigateur signale explicitement comme "non sécurisé" tout site non-HTTPS qui semble collecter des données sensibles (mot de passe, numéro de carte de crédit)4. Firefox suit une politique similaire, même si les avertissements sont pour l'heure moins explicites.

 
[site signalé comme non sécurisé - sous Chrome et sous Firefox]

Et ça n'est qu'une première étape ! Google a d'ores et déjà annoncé vouloir étendre à terme ce marquage "non sécurisé" à l'ensemble des sites non-HTTPS, ainsi que renforcer la signalétique associée qui ne se contentera plus d'un petit message grisé, mais se présentera sous la forme d'un triangle rouge de danger.


[future signalétique d'un site non-HTTPS]

Mise en oeuvre

Afin de passer à HTTPS pour votre site, il faut :

  • générer un couple de clés d'encryptage (clé publique et clé privée)
  • obtenir un certificat d'une autorité de certification (CA) à qui vous aurez fourni votre clé publique, que la CA va signer
  • installer le certificat et votre clé privée sur votre serveur web
  • activer le mode HTTPS de votre serveur web

Version simplifiée (ouf!)

En effet, début 2016 (techniquement depuis plus longtemps, mais le service était en phase de test) est apparu Let's Encrypt, une nouvelle autorité de certification gratuite et automatisée. De plus en plus d'hébergeurs web s'interfacent avec Let's Encrypt, ce qui permet souvent d'activer le mode HTTPS pour un site web d'un simple clic (les certificats et autres éléments nécessaires étant générés, installés et configurés automatiquement).

En Suisse par exemple, les hébergeurs Infomaniak, SwissCenter ou Cyon (parmi d'autres) offrent cette possibilité de https facilité.

[passage à HTTPS - exemple chez Infomaniak]

Astuces

Rediriger vos visiteurs vers HTTPS

Une fois votre site accessible via HTTPs, il peut être judicieux de rediriger le trafic non-HTTPS vers HTTPS, ceci afin d'assurer que tous vos visiteurs accèdent bien à votre site en mode sécurisé.

En fonction de votre hébergeur et du CMS utilisé sur votre site la procédure à suivre varie, mais il est souvent possible de forcer la redirection vers HTTPS dans les paramètres de votre CMS ou dans la console d'administration de votre hébergeur. De manière plus générale, si vous utilisez Apache, il est possible de réaliser cette redirection via un fichier .htaccess de la forme suivante:

.htaccessRewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]

Le problème des contenus embarqués

Lors de la migration de votre site vers HTTPS, il se peut que vous remarquiez des comportements étranges (typiquement des vidéos qui ne s'affichent plus), ou que votre navigateur affiche des avertissements à propos de "contenus mixtes" ou d'éléments non sécurisés bloqués.

[avertissement de contenus bloqués]

Pour éviter cela il faut veiller à bien remplacer les URLs (liens) des éventuels contenus embarqués (vidéos, librairies javascript, etc) dans les pages de votre site par leurs versions HTTPS.

 

Si vous rencontrez des difficultés avec votre site lors de son passage à HTTPS, ou que vous souhaitez le migrer vers un nouvel hébergeur offrant une meilleure intégration HTTPS, n'hésitez pas à me contacter !

 

Références

1) Wikipedia - HTTPS (source)
2) Official Google Webmaster Central Blog, août 2014 (source)
3) NetMarketShare.com - January, 2017 (source)
4) Google Online Security Blog, sept. 2016 (source)
5) Let's Encrypt (source)

par Yves Bresson

Yves Bresson est ingénieur en informatique, ex-consultant pour diverses sociétés de service de l'arc lémanique, aujourd'hui développeur web et mobiles (Apps, responsive-web) indépendant à Lausanne. S'il fait beau il est probablement en randonnée quelque part dans les Alpes, idéalement dans un coin reculé sans couverture réseau ;-)