HTTP vs HTTPS

HTTP vs HTTPS

HTTP vs HTTPS

Certains d’entre vous avez peut-être vu passer un message semblable à celui-ci de la part de Google:

À compter d'octobre 2017, Chrome (version 62) signalera les pages HTTP comportant des formulaires de saisie de texte comme non sécurisées. Il fera de même pour toutes les pages HTTP en mode navigation privée.

Ce nouvel avertissement s'inscrit dans un objectif à long terme consistant à signaler toutes les pages utilisant le protocole HTTP comme n'étant pas sécurisées.

Pour résoudre ce problème : passez à HTTPS

Pour éviter que votre site soit signalé comme n'étant pas sécurisé lorsque des internautes le consultent sur Chrome, recueillez seulement les données des internautes saisies sur des pages utilisant le protocole HTTPS.

En quoi est-ce que ça vous concerne?

Avant de répondre à cette question, il serait sans doute utile d’expliquer ce qu’est HTTPS.

HTTPS (Hyper Text Transfer Protocol Secure) est la version sécurisée de HTTP, le protocole qui gère la transmission de données entre votre ordinateur et le site web que vous consultez. Avec HTTPS, les données transmises entre votre ordinateur et le site web sont cryptées. Ce protocole sécurisé est habituellement utilisé pour protéger des données confidentielles lors de transactions bancaires et lors d’achats en ligne, ce qu’on appelle de l’information « sensible ».

Dans le cas d'une connexion sécurisée, la plupart des navigateurs affichent l'adresse du site précédée de https ainsi qu'une icone représentant un cadenas indiquant qu'une connexion sécurisée est en cours.

Pour gérer ce type de communication sécurisée, le site web en question doit être muni d'un certificat permettant de « dire » à votre navigateur qu'il s'agit bien d'une communication cryptée et établissant les paramètres secrets de cette communication.

Mais je ne fais pas de transactions sur mon site, pourquoi aurais-je besoin d'un certificat et du protocole HTTPS?

D'abord parce que la notion d'information « sensible » ne se limite plus seulement au strict cadre des transactions financières. Dans un monde de plus en plus hyperconnecté, nous interagissons constamment et de plus en plus avec le web. Notre relation à internet s'intensifie et les risques liés à la vie privée et la sécurité accompagnent cette croissance.

Toutes les communications envoyées sur des connexions HTTP régulières sont en texte normal et pourraient être lues par un tiers qui parviendrait à intercepter la connexion entre votre navigateur et le site Web. Cela présente un danger évident si la communication est sur un formulaire de commande et inclut les détails de votre carte de crédit ou de votre numéro d’assurance sociale.

Mais nous utilisons maintenant des formulaires en ligne à toutes sortes de fins : commentaires laissés sur un site, abonnements à des listes d’envoi, etc. Toute connexion non protégée peut ainsi potentiellement révéler des informations relatives à notre personne ou à notre comportement en ligne, si bien que la notion d'interaction ou d’information « non sensible » n'existe tout simplement plus.

Avec une connexion HTTPS, toutes les communications sont cryptées en toute sécurité. Cela signifie que même si quelqu'un a réussi à intercepter la connexion, il ne serait pas possible de décrypter les données qui passent entre vous et le site web.

En utilisant toujours HTTPS plutôt que HTTP, les concepteurs et les utilisateurs de services Web n'ont plus à se questionner sur ce qui est «sensible» ou pas. Cela laisse moins de place à l'erreur. Les organismes de normalisation, les navigateurs web, les entreprises technologiques et les communautés de pratique d'internet ont compris que HTTPS devrait désormais être la norme.

Ainsi, les navigateurs tels que Firefox et Chrome vont bientôt signaler les connexions HTTP comme étant non-sécurisées. Google a par ailleurs indiqué depuis plusieurs mois que les sites non sécurisés seraient pénalisés sur le plan des résultats de recherche.

OK, je suis convaincu! Comment fais-je pour installer un certificat de sécurité sur mon site?

Normalement, il faut acheter un certificat en créant d'abord une « requête de signature ». Pour tout site hébergé par Percumédia, ceci peut facilement se faire à partir du panneau de contrôle CPanel de votre compte. Le cout d'un certificat peut varier, selon les options retenues et les garanties offertes, de 30$ à 200$ par année. Ce type de certificat est sans doute recommandable pour tout site sur lequel se font des transactions financières.

Mais, bonne nouvelle: Percumédia fournit des certificats de sécurité gratuits sur tous les comptes hébergés sur son serveur. Nos clients bénéficient de deux options: un certificat "AutoSSL" installé par défaut sur tous les comptes, ou, à votre choix, un certificat "Let's Encrypt" que vous pouvez installer vous-même à partir du panneau de contrôle CPanel.

Vos sites web sont donc tous munis d'un certificat gratuit par défaut! Il vous suffit ensuite de configurer votre site web pour afficher ses pages en HTTPS. Le développeur de votre site pourra facilement vous aider à cet égard.

Sachez cependant que tous les sites qui ont été développés par Percumédia vont graduellement migrer vers le protocole HTTPS dans les prochaines semaines. Ces clients n'ont donc rien à faire, leur site sera automatiquement sécurisé.

Ceux et celles qui préféreront utiliser un certificat dont ils auront fait l’acquisition pourront le faire en toute quiétude, tout certificat installé par un utilisateur aura préséance sur le certificat gratuit déjà fourni par Percumédia

Ainsi, les visiteurs de vos sites web qui auront à y laisser des informations verront leurs interactions bien protégées et ne verront pas apparaître sur leur navigateur des avertissements inquiétants à l’effet que votre site n’est pas sécurisé.

 

Ajouter un commentaire

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.

HTML restreint

  • Balises HTML autorisées : <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et les adresses courriel se transforment en liens automatiquement.