HTTPS est la version sécurisée du protocole HTTP de communication web (d'où le 'S' en plus). HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède et garantit la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment les informations saisies dans les formulaires) et reçues du serveur.
Les sites utilisant HTTPS sont signalés dans votre navigateur par un petit cadenas ou une indication similaire.
[site signalé comme sécurisé - ici dans Chrome sous Windows]
Le principal avantage de HTTPS est qu'il apporte une meilleure sécurité aux visiteurs de votre site web, mais en tant qu'éditeur d'un site, vous profitez également d'autres avantages en utilisant HTTPS.
Comme déjà mentionné, le but de HTTPS est d'offrir une meilleure sécurité. Les données échangées via HTTPS sont encryptées de manière à assurer que la communication se fait bien en toute confidentialité entre le serveur du site web et le navigateur du visiteur.
Si votre site collecte des données potentiellement sensibles ou privées, il faut absolument utiliser HTTPS.
Même si votre site ne collecte pas de données sensibles, utiliser HTTPS est une bonne chose et peut contribuer à donner une image plus sérieuse et fiable à votre site web.
Outre l'aspect sécurité, mettre en oeuvre pour votre site le protocole HTTPS vous offre un "bonus" de classement dans les résultats de recherche Google2. En effet, Google promeut l'idée de "HTTPS everywhere" (https partout) et considère l'utilisation d'une connexion sécurisée comme un indicateur positif dans le classement des résultats de recherche. Même si les détails ne sont pas connus, Google a prévenu de longue date (depuis 2014 déjà), que la présence de HTTPS impactait favorablement ses algorithmes de recherche et que ce critère risquait de prendre de l'importance.
De manière plus récente (janvier 2017), Google a mis à jour Chrome (navigateur web utilisé par près de 60% des internautes3) afin que le navigateur signale explicitement comme "non sécurisé" tout site non-HTTPS qui semble collecter des données sensibles (mot de passe, numéro de carte de crédit)4. Firefox suit une politique similaire, même si les avertissements sont pour l'heure moins explicites.
[site signalé comme non sécurisé - sous Chrome et sous Firefox]
Et ça n'est qu'une première étape ! Google a d'ores et déjà annoncé vouloir étendre à terme ce marquage "non sécurisé" à l'ensemble des sites non-HTTPS, ainsi que renforcer la signalétique associée qui ne se contentera plus d'un petit message grisé, mais se présentera sous la forme d'un triangle rouge de danger.
[future signalétique d'un site non-HTTPS]
Pour un site sans HTTPS, le message aux utilisateurs sera clairement "évitez ce site!".
Afin de passer à HTTPS pour votre site, il faut :
Bonne nouvelle, dans la plupart des cas il n'est plus nécessaire de vous soucier des détails d'implémentation - passer à HTTPS ne requiert que quelques clics !
En effet, début 2016 (techniquement depuis plus longtemps, mais le service était en phase de test) est apparu Let's Encrypt, une nouvelle autorité de certification gratuite et automatisée. De plus en plus d'hébergeurs web s'interfacent avec Let's Encrypt, ce qui permet souvent d'activer le mode HTTPS pour un site web d'un simple clic (les certificats et autres éléments nécessaires étant générés, installés et configurés automatiquement).
En Suisse par exemple, les hébergeurs Infomaniak, SwissCenter ou Cyon (parmi d'autres) offrent cette possibilité de https facilité.
[passage à HTTPS - exemple chez Infomaniak]
Une fois votre site accessible via HTTPs, il peut être judicieux de rediriger le trafic non-HTTPS vers HTTPS, ceci afin d'assurer que tous vos visiteurs accèdent bien à votre site en mode sécurisé.
En fonction de votre hébergeur et du CMS utilisé sur votre site la procédure à suivre varie, mais il est souvent possible de forcer la redirection vers HTTPS dans les paramètres de votre CMS ou dans la console d'administration de votre hébergeur. De manière plus générale, si vous utilisez Apache, il est possible de réaliser cette redirection via un fichier .htaccess de la forme suivante:
.htaccessRewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]
Lors de la migration de votre site vers HTTPS, il se peut que vous remarquiez des comportements étranges (typiquement des vidéos qui ne s'affichent plus), ou que votre navigateur affiche des avertissements à propos de "contenus mixtes" ou d'éléments non sécurisés bloqués.
[avertissement de contenus bloqués]
Pour éviter cela il faut veiller à bien remplacer les URLs (liens) des éventuels contenus embarqués (vidéos, librairies javascript, etc) dans les pages de votre site par leurs versions HTTPS.
Si vous rencontrez des difficultés avec votre site lors de son passage à HTTPS, ou que vous souhaitez le migrer vers un nouvel hébergeur offrant une meilleure intégration HTTPS, n'hésitez pas à me contacter !
1) Wikipedia - HTTPS (source)
2) Official Google Webmaster Central Blog, août 2014 (source)
3) NetMarketShare.com - January, 2017 (source)
4) Google Online Security Blog, sept. 2016 (source)
5) Let's Encrypt (source)
Yves Bresson est ingénieur en informatique, ex-consultant pour diverses sociétés de service de l'arc lémanique, aujourd'hui développeur web et mobiles (Apps, responsive-web) indépendant à Lausanne. S'il fait beau il est probablement en randonnée quelque part dans les Alpes, idéalement dans un coin reculé sans couverture réseau ;-)