Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web
Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web
plutôt que l’exception sur la toile
Depuis plusieurs mois, Google a annoncé que la version 56 de son navigateur Chrome marquerait les sites web qui collectent les mots de passe ou les informations de cartes de crédit comme non sécurisés. Depuis quelques jours, Chrome 56 est disponible et comme annoncé, le navigateur a commencé à afficher un indicateur « Non sécurisé » dans la barre d’adresse lorsque la page collecte des mots de passe ou autres informations similaires sans utiliser de protocole HTTPS pour ses connexions. À terme, Google explique que la couleur de l’étiquette va changer pour passer au rouge afin de mieux attirer l’attention des utilisateurs pour ces pages non sécurisées qui collectent des informations sensibles.
Cette action, qui en filigrane, vise à forcer les développeurs web afin qu'ils adoptent des connexions sécurisées sur leurs sites web présente de nombreux avantages pour les utilisateurs en évitant que leurs données soient piratées. Mais pour les webmasters, son adoption a été longtemps freinée par de nombreux arguments comme des manques à gagner au niveau des revenus publicitaires, des problèmes de performance des pages HTTPS, le manque d’expertise pour mettre en place des sites sécurisés ou encore des frais élevés pour acquérir ces certificats…
Toutefois, au fil des années, tous ces problèmes ont trouvé des solutions. Concernant les performances connexions HTTPS, l’on note que les pages HTTPS sont aussi rapides que les pages HTTP. En ce qui concerne les demandes publicitaires, une grande proportion des demandes passent maintenant par des connexions HTTPS. Et pour aller encore plus loin, Google a depuis longtemps annoncé qu’elle indexerait par défaut les pages web HTTPS lorsque deux URL (sécurisée et non sécurisée) d’un même domaine renvoient un même contenu. Par ailleurs, toutes ces mesures seraient inefficaces pour amener les développeurs à adopter cette norme s’ils ne disposent pas d’alternatives moins chères pour implémenter ce protocole.
Depuis bien des années, l’autorité de certification StartSSL propose des certificats SSL gratuits pour sécuriser les sites web. Mais cette solution présente des limites en termes de nombre de domaines et de nombre d’emails. Aussi, avec la nouvelle autorité de certification Let’s Encrypt, les développeurs n’ont plus de raison de présenter l’argument de la cherté des certificats ou du manque d’expertise. En effet, Let’s Encrypt offre gratuitement les certificats pour protéger les communications avec le protocole TLS. Par ailleurs, la configuration du serveur web, des courriels de validation et la gestion de l’expiration des certificats sont largement facilitées. Sur un serveur Linux par exemple, la configuration du chiffrement HTTPS ainsi que l’acquisition et l’installation des certificats peuvent se faire juste avec quelques lignes de commande pour un temps très négligeable.
Tous ces éléments ont poussé les sites internet à adopter de plus en plus vers ce protocole HTTPS. Plusieurs sites ont sécurisé leurs connexions avec cette norme. Le Club des développeurs et IT pro n’est pas en reste et est passé au HTTPS aussi bien pour les différentes rubriques Developpez.com que pour les forums sur Developpez.net. En octobre 2016, Let’s Encrypt rapportait sur Twitter que plus de 50 % des pages chargées avec Mozilla étaient chiffrées avec le protocole HTTPS. Même si cela signifie que le nombre de pages exécutées avec Mozilla est plus nombreux que les pages non sécurisées, il ne faut pas croire que plus de la moitié des sites web sur la toile sont sécurisées, car une grande partie du trafic web est drainée par un nombre réduit de sites sécurisés comme Facebook, Gmail, Twitter, Yahoo…
C’est pourquoi Troy Hunt, le créateur du site haveibeenpwned, a entrepris d’investiguer pour voir ce qu’il en est véritablement avec l’ensemble des sites web sur la toile. Pour cela, il s’est tourné vers Scott Helme, le chercheur en sécurité et créateur du site securityheaders.io afin d’analyser les sites figurant dans le top 1 million du classement Alexa (le site fournissant les statistiques sur le trafic web mondial) et qui redirigent les navigateurs des utilisateurs de HTTP vers HTTPS. Après avoir effectué sa dernière analyse, il ressort qu’en l’espace de 12 mois (de février 2016 à février 2017) on est passé de 9,4 % à 18,4 % de sites redirigeant les navigateurs vers des pages HTTPS.
Ces éléments poussent Troy Hunt à déclarer que le protocole HTTPS a atteint un point critique à partir duquel l’on pourra le voir devenir la « norme » du web plutôt que l’exception qu’il a été dans le passé. Et pour aider cette adoption, Hunt met en avant les outils comme SSL flexible de CloudFlare que l’on peut utiliser également pour sécuriser ses pages web en plus de Let’s Encrypt qui offre des certificats gratuits à ce sujet.
Source : Blog Troy Hunt
Et vous ?
Que pensez-vous de l'adoption du protocole HTTPS ?
Voir aussi
Répondre avec citation
Partager