Chers lecteurs, il existe bel et bien un rapport entre :
- un site web consacré aux actualités sur les technologies financières
- de multiples quotidiens basés en Nouvelle-Angleterre
- un organisateur de prix d’excellence dans le domaine des technologies
- et, jusqu’à récemment, le site e-commerce d’une bijouterie réputée, ainsi qu'un acteur clé dans le secteur du e-commerce
Avez-vous deviné lequel ?
Pour Google Chrome, ces sites ne sont pas sécurisés ; pas terrible pour les affaires…
Exemple de site « non sécurisé » dans Chrome v69. Source : badssl.com
Lorsqu’ils s’apercevront que votre site est montré du doigt par Google, vos clients seront très probablement frustrés et mécontents. Chrome étant le navigateur de prédilection d’une majorité d’utilisateurs (près de 60 %, selon de récentes estimations), je mettrais ma main à couper qu’aucun dirigeant ne souhaite un tel scénario.
À vrai dire, on compte aujourd’hui plusieurs centaines de milliers de sites marqués comme n’étant pas sécurisés. Que se passe-t-il ? Pourquoi un tel nombre de sites épinglés ?
Depuis Chrome 68, tous les sites sans le préfixe HTTPS sont considérés comme « non sécurisés »
Depuis plusieurs années, Google mène campagne en faveur du chiffrement SSL/TLS pour tout le Web — c’est-à-dire la technologie derrière le HTTPS. Autrefois, les sites qui utilisaient le SSL étaient marqués comme « sécurisés », mais depuis Chrome 68, Google a changé son fusil d’épaule. Dorénavant, les sites qui n’utilisent pas le SSL seront marqués comme « non sécurisés ».
Source : Google
Ce changement est effectif depuis juillet. D’autres changements interviendront plus tard dans le mois avec le lancement de Chrome 70. À ce stade, le navigateur affichera une étiquette rouge pour indiquer que le site est « non sécurisé » dès qu’un utilisateur commencera à saisir des informations (comme son nom d’utilisateur/mot de passe, des données financières) ou qu’il commencera à remplir un formulaire sur un site sans HTTPS. L’idée est de sensibiliser davantage les utilisateurs à l’absence de chiffrement des informations qu’ils sont sur le point de renseigner avec les risques d’interception ou d’espionnage que cela génère.
Source : Google
Pourquoi le HTTPS ?
Le HTTPS est une version plus sécurisée du protocole HTTP. Il empêche toute modification intrusive des communications entre vos sites Web et les navigateurs utilisés par vos visiteurs. Le HTTPS complique également la tâche de ceux qui seraient tentés d’espionner ce qui transite entre le navigateur et le serveur. Vos sites et vos visiteurs sont également protégés contre les injections par des tiers de publicités susceptibles de créer des failles de sécurité ou contre l’exploitation des images, cookies, scripts, etc. d’un site par des personnes mal intentionnées pour, par exemple, injecter des malwares ou n’importe quel autre programme néfaste.
Malgré les avantages évidents du HTTPS sur le plan de la sécurité, de nombreux sites sont manifestement encore à la traîne pour faire évoluer leurs sites dans ce sens. Nous espérons que les récents changements apportés par Google à son navigateur pousseront les exploitants de sites à se confronter à la réalité pour enfin franchir le pas. La transition exigera cependant une certaine organisation et des efforts, mais la démarche est essentielle pour éviter un effondrement du nombre de visiteurs sur votre site.
Comment basculer votre site en HTTPS
Bien que l’opération ne soit ni très coûteuse ou compliquée à mettre en œuvre, la conversion d’un site en HTTPS exige quelques efforts. La démarche s’effectue en quatre grandes étapes :
- Vous devez obtenir un certificat SSL/TLS auprès du fournisseur de votre choix ; si vous passez par un hébergeur, celui-ci a peut-être une liste de prestataires à vous recommander. Consultez notre guide pas à pas pour identifier le type de certificat dont vous pouvez avoir besoin. Pour consulter nos guides sur les Requêtes de signature de certificat (« RSC » ou CSR) à générer dans le cadre des commandes, c’est par ici (en anglais) : https://support.globalsign.com/customer/en/portal/articles/1229769-certificate-signing-request-csr---overview.
- Installez votre certificat. Consultez les instructions d’installation en fonction des différents types de serveurs ici (en anglais) : https://support.globalsign.com/customer/en/portal/articles/1309527-install-an-ssl-certificate---overview.
- Une fois votre certificat installé, vérifiez la configuration de votre serveur pour vous assurer que les paramètres utilisés sont les bons et qu’ils sont à jour. Vous pouvez utiliser notre outil gratuit ici : https://globalsign.ssllabs.com/.
- Une fois la conversion de votre site terminée, n’oubliez pas d’en informer Google. Cette étape est essentielle et permet d’initier la réindexation de votre site dans la base de données du moteur de Google. Ce processus est décrit par Google qui livre quelques conseils supplémentaires pour la mise en œuvre du SSL ici : https://support.google.com/webmasters/answer/6073543?hl=fr.
Important : vérifiez que votre site est traité en HTTPS !
Pour toute conversion d’un site en HTTPS, assurez-vous que les redirections 301 appropriées sont en place côté serveur pour que les utilisateurs et les moteurs de recherche puissent être redirigés vers la version HTTPS. Il semblerait que dernièrement certains sites n’aient pas avoir correctement configuré cette redirection. Les utilisateurs ont donc continué à être dirigés vers les versions HTTP de ces sites désormais marqués « non sécurisés ».
Vous vérifierez également que chaque page de votre site est sécurisée en SSL, pas uniquement les pages qui recueillent des renseignements personnels ou des données de paiement.
Vous pouvez aussi envisager la mise en œuvre du HSTS (HTTP Strict Transport Security), un mécanisme de sécurité qui force le traitement de toutes les connexions en HTTPS, même si un utilisateur tape manuellement une adresse en HTTP. Avec le HSTS, les utilisateurs ne peuvent se connecter au site que s’il existe un certificat valide et fiable ; toutes les autres connexions sont bloquées, sans possibilité de cliquer pour se connecter.
Pour en savoir plus sur le HSTS et accéder aux consignes de mise en œuvre, consultez notre article sur le sujet : Qu’est-ce que le HSTS et comment le met-on en œuvre ?
Vous pouvez retrouver l’intégralité de cet article sur le site du Journal du Net.
