+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    590
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 590
    Points : 12 205
    Points
    12 205

    Par défaut Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web

    Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web
    plutôt que l’exception sur la toile

    Depuis plusieurs mois, Google a annoncé que la version 56 de son navigateur Chrome marquerait les sites web qui collectent les mots de passe ou les informations de cartes de crédit comme non sécurisés. Depuis quelques jours, Chrome 56 est disponible et comme annoncé, le navigateur a commencé à afficher un indicateur « Non sécurisé » dans la barre d’adresse lorsque la page collecte des mots de passe ou autres informations similaires sans utiliser de protocole HTTPS pour ses connexions. À terme, Google explique que la couleur de l’étiquette va changer pour passer au rouge afin de mieux attirer l’attention des utilisateurs pour ces pages non sécurisées qui collectent des informations sensibles.

    Cette action, qui en filigrane, vise à forcer les développeurs web afin qu'ils adoptent des connexions sécurisées sur leurs sites web présente de nombreux avantages pour les utilisateurs en évitant que leurs données soient piratées. Mais pour les webmasters, son adoption a été longtemps freinée par de nombreux arguments comme des manques à gagner au niveau des revenus publicitaires, des problèmes de performance des pages HTTPS, le manque d’expertise pour mettre en place des sites sécurisés ou encore des frais élevés pour acquérir ces certificats…

    Toutefois, au fil des années, tous ces problèmes ont trouvé des solutions. Concernant les performances connexions HTTPS, l’on note que les pages HTTPS sont aussi rapides que les pages HTTP. En ce qui concerne les demandes publicitaires, une grande proportion des demandes passent maintenant par des connexions HTTPS. Et pour aller encore plus loin, Google a depuis longtemps annoncé qu’elle indexerait par défaut les pages web HTTPS lorsque deux URL (sécurisée et non sécurisée) d’un même domaine renvoient un même contenu. Par ailleurs, toutes ces mesures seraient inefficaces pour amener les développeurs à adopter cette norme s’ils ne disposent pas d’alternatives moins chères pour implémenter ce protocole.

    Depuis bien des années, l’autorité de certification StartSSL propose des certificats SSL gratuits pour sécuriser les sites web. Mais cette solution présente des limites en termes de nombre de domaines et de nombre d’emails. Aussi, avec la nouvelle autorité de certification Let’s Encrypt, les développeurs n’ont plus de raison de présenter l’argument de la cherté des certificats ou du manque d’expertise. En effet, Let’s Encrypt offre gratuitement les certificats pour protéger les communications avec le protocole TLS. Par ailleurs, la configuration du serveur web, des courriels de validation et la gestion de l’expiration des certificats sont largement facilitées. Sur un serveur Linux par exemple, la configuration du chiffrement HTTPS ainsi que l’acquisition et l’installation des certificats peuvent se faire juste avec quelques lignes de commande pour un temps très négligeable.

    Tous ces éléments ont poussé les sites internet à adopter de plus en plus vers ce protocole HTTPS. Plusieurs sites ont sécurisé leurs connexions avec cette norme. Le Club des développeurs et IT pro n’est pas en reste et est passé au HTTPS aussi bien pour les différentes rubriques Developpez.com que pour les forums sur Developpez.net. En octobre 2016, Let’s Encrypt rapportait sur Twitter que plus de 50 % des pages chargées avec Mozilla étaient chiffrées avec le protocole HTTPS. Même si cela signifie que le nombre de pages exécutées avec Mozilla est plus nombreux que les pages non sécurisées, il ne faut pas croire que plus de la moitié des sites web sur la toile sont sécurisées, car une grande partie du trafic web est drainée par un nombre réduit de sites sécurisés comme Facebook, Gmail, Twitter, Yahoo…

    C’est pourquoi Troy Hunt, le créateur du site haveibeenpwned, a entrepris d’investiguer pour voir ce qu’il en est véritablement avec l’ensemble des sites web sur la toile. Pour cela, il s’est tourné vers Scott Helme, le chercheur en sécurité et créateur du site securityheaders.io afin d’analyser les sites figurant dans le top 1 million du classement Alexa (le site fournissant les statistiques sur le trafic web mondial) et qui redirigent les navigateurs des utilisateurs de HTTP vers HTTPS. Après avoir effectué sa dernière analyse, il ressort qu’en l’espace de 12 mois (de février 2016 à février 2017) on est passé de 9,4 % à 18,4 % de sites redirigeant les navigateurs vers des pages HTTPS.

    Nom : Alexa-Top-1-Million-Sites-Redirecting-to-HTTPS.png
Affichages : 2484
Taille : 36,0 Ko

    Ces éléments poussent Troy Hunt à déclarer que le protocole HTTPS a atteint un point critique à partir duquel l’on pourra le voir devenir la « norme » du web plutôt que l’exception qu’il a été dans le passé. Et pour aider cette adoption, Hunt met en avant les outils comme SSL flexible de CloudFlare que l’on peut utiliser également pour sécuriser ses pages web en plus de Let’s Encrypt qui offre des certificats gratuits à ce sujet.

    Source : Blog Troy Hunt

    Et vous ?

    Que pensez-vous de l'adoption du protocole HTTPS ?

    Partagez-vous les prévisions optimistes de Troy Hunt sur le devenir du HTTPS sur la toile ?

    Voir aussi

    Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier et donne plus de détails sur son plan
    Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passés au HTTPS pour vos sites web ?
    Google Search indexe désormais les URL HTTPS par défaut lorsque deux URL HTTP et HTTPS d'un même domaine ont le même contenu

    La Rubrique Développement web, Forum Sécurité développement web, Cours et tutoriels web, FAQ Web

  2. #2
    Expert éminent

    Profil pro
    Inscrit en
    juin 2003
    Messages
    5 549
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 5 549
    Points : 8 369
    Points
    8 369
    Billets dans le blog
    3

    Par défaut

    Concernant les performances connexions HTTPS, l’on note que les pages HTTPS sont aussi rapides que les pages HTTP.
    J'ai une question pour les spécialistes: il semble qu'il ne faille pas activer la compression gzip avec HTTPS, du coup, en terme de trafic réseau et temps de chargement, c'est plus lourd non?

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    décembre 2006
    Messages
    22
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2006
    Messages : 22
    Points : 20
    Points
    20

    Par défaut

    Il est généralement "déconseillé" d'utiliser la compression HTTP avec SSL car elle (la compression) peut permettre à un attaquant d'obtenir des informations sur le contenu chiffré (cf. BREACH) .

    Concernant la lourdeur, Adam Langley, un ingénieur de Google ayant travaillé sur leur infrastructure HTTPS, a écrit un billet de blog sur l'impact qu'a eu l'utilisation globale du protocol HTTPS pour Gmail.

    En résumé, dans leur cas, l'utilisation de SSL/TLS compte pour
    • Moins d'1% de charge CPU supplémentaire
    • Moins de 2% de "surcoût" réseau

Discussions similaires

  1. Ajout du protocole https
    Par Nixar dans le forum ASP.NET
    Réponses: 4
    Dernier message: 10/03/2006, 17h34
  2. Réponses: 1
    Dernier message: 08/09/2005, 12h01
  3. Protocole HTTP: methode POST
    Par Nyx dans le forum Général Conception Web
    Réponses: 15
    Dernier message: 01/04/2005, 18h45
  4. identification sur le protocole HTTP
    Par windob dans le forum Développement
    Réponses: 20
    Dernier message: 31/03/2004, 23h52
  5. Problème lié au protocole HTTP.
    Par giviz dans le forum Développement
    Réponses: 2
    Dernier message: 03/10/2003, 18h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo