[Dossier] Tout savoir sur le protocole HTTPS et le SSL

Qu'est-ce qui se cache réellement derrière ces acronymes ? Pourquoi est-il important de passer son site web en HTTPS ? Quels en sont les bénéfices ? Comment faire ? Vous trouverez tous les éléments de réponse dans le dossier ci-dessous. Bonne lecture.

Le HTTP (ou « HyperText Transfer Protocol ») est un protocole de communication utilisé pour établir la connexion entre un navigateur web (Firefox, Google Chrome, Safari, Internet Explorer,...) et un serveur hébergeant les données d'un site internet.

Développé pour le World Wide Web, le HTTP est indispensable au bon déroulement de la navigation sur internet. Il permet aux internautes de communiquer avec le serveur du site visité pour recevoir ou envoyer des informations (afficher une page web, lancer un téléchargement, envoyer des coordonnées via un formulaire de contact, payer avec sa carte bancaire...).

Ce protocole peut représenter un grand danger pour les internautes car il ne crypte pas les échanges de données entre le serveur et le navigateur. Les informations sont donc diffusées en clair, ce qui permet à tout un chacun de les intercepter et de les lire sans difficulté.

Cela pose un énorme problème pour les sites e-commerce, où des données bancaires et des informations personnelles transitent quotidiennement. Néanmoins, les sites internet dit "vitrines" sont eux aussi soumis à des risques. À titre d'exemple, au moment de la communication client/serveur, une personne mal intentionnée peut remplacer la page demandée par l'internaute par une toute autre page au contenu douteux.

C'est pour corriger cette faille de sécurité qu'un protocole plus sécurisé est né : le HTTPS.

Le HTTPS (« HyperText Transfer Protocol Secure ») est également un protocole qui permet au navigateur et au serveur d'échanger des informations. Mais contrairement au HTTP, le HTTPS va permettre de crypter les échanges avec une couche de chiffrement SSL ou TLS, rendant les données illisibles si elles venaient à être interceptées par la mauvaise personne.

Ce protocole repose sur trois principes pour garantir la sécurité de l'internaute et développer sa confiance envers le site internet visité :

1. Il permet à l'internaute de vérifier l'identité du site auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce.
2. Il garantit la confidentialité des données envoyées par le visiteur (notamment les informations communiquées dans les formulaires) et celles reçues du serveur (c'est l'assurance que les données reçues proviennent du site web visité et qu'il n'y a aucun doute possible sur l'identité de l'entreprise avec laquelle l'internaute échange)
3. Il garantit l'intégrité des données échangées (c'est la garantie que les données reçues en provenance du site internet visité n'ont pas été modifiées par une tierce personne durant la communication navigateur/serveur.)

Un certificat SSL est un fichier de données qui lie une clé cryptographique aux informations d'une organisation ou d'un individu. Installé sur un serveur, le certificat active le cadenas et le protocole « https » (via le port 443) dans les navigateurs, afin d'assurer une connexion sécurisée entre le serveur web et le navigateur.

En savoir plus

Les certificats payants, disponibles dans notre solution de gestion de projets web, le webo-facto, et les gratuits, proposés par Let's Encrypt, permettent tous de crypter les données lorsqu'elles transitent entre le navigateur et le serveur. Il est ainsi beaucoup plus compliqué d'intercepter ces informations et de les exploiter. Il existe toutefois quelques avantages à commander un certificat payant depuis le webo-facto :

• Les certificats du webo-facto sont compatibles avec 99% des navigateurs. Let's encrypt impose l'utilisation d'un navigateur à jour.
• Les certificats du webo-facto sont délivrés et validés par un tiers de confiance. Les certificats Let's encrypt sont émis automatiquement sans une autorité de confirmation.
• Les certificats du webo-facto sont compatibles avec tous les noms de domaine, y compris les domaines accentués. Ce n'est pas le cas pour Let's encrypt.
• Les certificats du webo-facto sont émis pour une validité de 1 an contre 3 mois pour Let's encrypt. Lors de chaque renouvellement, les internautes revenant régulièrement sur le site peuvent avoir une erreur liée à la mise à jour du certificat (4 fois plus de risque pour Let's encrypt)
• L'offre multi est disponible pour les certificats du webo-facto. Cette offre permet de couvrir, grâce à un certificat, un nom de domaine et tous ses alias. Let's encrypt propose exclusivement des certificats couvrant un nom de domaine ou un alias.
• Les certificats du webo-facto peuvent être utilisés même si le nom de domaine ne pointe pas (encore) sur le serveur. Un certificat Let's encrypt impose que le domaine pointe sur le serveur hébergeant le site.
• Lors de l'émission ou du renouvellement (tous les 3 mois) d'un certificat Let's encrypt, le serveur web hébergeant le site doit être coupé, le temps d'assurer la communication avec les serveurs de Let's encrypt

Comme évoqué précédemment, ce sont toutes ces mesures de sécurité qui ont poussé - depuis près d'un an - Google Chrome (en version 56) et Mozilla Firefox (en version 51) à identifier et à signaler les sites internet qui recueillent des données sensibles sans utiliser le protocole HTTPS (via les formulaire, les pages de connexion, les paiements en ligne...).

Ces navigateurs ont ainsi décidé d'afficher directement à côté de l'URL un signal d'alerte lorsque le site n'utilise pas le HTTPS. Cela se traduit par un cadenas barré pour Firefox et la mention « Non Sécurisé » pour Chrome. À contrario, les sites internet qui utilisent le HTTPS pour crypter les échanges de données se voient récompensés par un cadenas vert dans Firefox et de la mention Sécurisé dans Chrome.

Depuis le 7 mars 2017, Firefox 52 indique que le site n'est pas sécurisé directement dans les champs du formulaire de connexion.

Depuis août, Firefox 55 bloque automatiquement la géolocalisation pour les sites qui ne disposent pas de certificat SSL (chose que Chrome fait depuis un an).

Pour forcer l'adoption massive du HTTPS, Google a commencé par envoyer des notifications d'alerte depuis Search Console à tous les propriétaires de sites internet. Et depuis le mois d'octobre 2017, Chrome pénalise les sites qui n'ont toujours pas effectué la bascule du HTTP vers le HTTPS.

Selon MozCast, un outil d'analyse des résultats de recherche Google (SERP), en octobre 2017, 68,3% des résultats renvoyés par le moteur de recherche sont des sites sécurisés, et la courbe est en constante progression.

Aujourd'hui, Google souhaite passer à la vitesse supérieure pour convaincre les retardataires. Après avoir annoncé que Google Shopping et AMP ne fonctionneraient que sur des sites sécurisés, la prochaine action de la firme de Mountain View serait-elle d'afficher la mention "Non Sécurisé" directement dans les résultats de recherche (SERP), et non plus exclusivement dans la barre d'adresse ? C'est la question que Jennifer Slegg a posé à Gary Illyes lors de la "Brighton SEO".

Chaque jour apporte son lot de nouvelles annonces. Si vous n'êtes pas encore passé au HTTPS, pensez-y !

Nous vous invitons à lire ou à relire l'article que nous avons déjà écrit sur le sujet.

Vous êtes un concepteur de sites internet et vous souhaitez approfondir le sujet ? Contactez-nous via le formulaire ci-dessous ou par téléphone au 02 41 19 19 92.