Qu'est-ce que le HTTPS ?
Le HTTPS (HyperText Transfer Protocol Secure) est un protocole sécurisé de communication entre un serveur et un navigateur donc créé pour le Web. Le HTTPS c'est donc l'utilisation du HTTP couplé avec une couche de sécurité (par exemple SSL ou TLS).
Le HTTPS à la différence du HTTP permet deux choses :
- Contrôler et confirmer l'identité du site web que vous visitez
- Chiffrer les données échangées entre le navigateur web et le serveur web
L'utilisation d'un certificat HTTPS valide se décrit sur votre navigateur comme dans l'image ci-dessous :
Google, le fer de lance du HTTPS
Google avait annoncé dès mi-2016 une volonté forte de passer l'ensemble des sites internet de la planète sous HTTPS. Pour se faire ils ont commencé par annoncer une évolution de chrome :
« à partir de janvier 2017, Chrome 56 indiquera dans la barre d’adresse un message signalant un danger pour certains sites web non accessibles en HTTPS. »
A travers cette évolution, qui peut paraître mineure, de Google Chrome, Google lance un pavé dans la mare. En effet Google Chrome est un des navigateurs les plus utilisés au monde, comme le montrent les dernières statistiques de juin 2017, et cette prise de position impose une migration rapide de nombreux sites internet.
Pour conforter sa position avec les certificats SSL, Google avait annoncé dès 2014 :
« Nous commençons à utiliser le protocole HTTPS en tant que facteur de positionnement. Pour l’instant, cet indicateur a très peu de poids et ce afin de laisser le temps aux webmasters de passer au protocole HTTPS. »
Puis en 2015 ils surenchérissent :
« Gmail, la recherche Google et YouTube bénéficient de connexions sécurisées depuis longtemps. Nous avons également commencé à légèrement améliorer le classement des URL HTTPS dans les résultats de recherche l’an dernier. La navigation sur le Web devrait être une expérience privée entre l’utilisateur et le site Web, sans que cela ne donne lieu à des actes d’espionnage, à des attaques dites « de l’homme du milieu » ni à des modifications de données. C’est pourquoi nous appuyons fortement la généralisation du HTTPS. »
La situation a un peu évoluée depuis, puisqu'en matière de référencement il est fortement conséillé de mettre en place un certificat HTTPS.
Aucune obligation
Il n'y a aucune obligatoire, pour le moment, de sécuriser votre site internet avec le certificat HTTPS. Pour le moment, cela ne se traduira que par un affichage indiquant que la connexion n'est pas sécurisée.
Nous tenons à rappeler que la mise en place d'un certificat de sécurité est vivement recommandée pour les sites collectant des données sensibles (Mots de passe, paiement en ligne, ...).
Google veut rendre le HTTPS obligatoire
C'est récemment que les équipes de Google Chrome ont annoncées une nouvelle étape dans la sécurisation du Web. Dès Octobre 2017, Google Chrome traitera les sites qui possèdent des formulaires de saisie de données utilisateur non sécurisés par un certificat SSL différemment.
Dès lors que vous vous rendrez sur une page qui possède un formulaire de saisie non sécurisé et que vous souhaiterez remplir, le navigateur fera précédé l'URL du site de la mention 'Non sécurisé', comme le montre l'animation ci-dessous :
Ils annoncent même vouloir aller plus loin et afficher ce fameux label "non sécurisé" sur toutes les pages non accessibles en HTTPS.
En conclusion
Il est évident que les grands acteurs du Web tendent à faire pencher les sites web vers l'utilisation du HTTPS. Même si aujourd'hui, rien ne rend obligatoire la mise en place de certificats SSL, elle devient une bonne pratique.
De nombreux hébergeurs (ainsi qu'Integral Service) ont déjà mis en place des solutions (gratuites ou payantes) pour pouvoir bénéficier facilement de certificats SSL.
Vous avez des questions ? N'hésitez pas à nous contacter à travers notre page de contact ou directement à partir de notre page Facebook.