Discussion :

[Patrick Ruiz]

Google pince à nouveau les webmasters :
Les connexions en HTTP seront marquées comme « non sécurisées » (sous Chrome 62)

Si l’on en croit le site Search Engine Land spécialisé dans les moteurs de recherche et le SEO, les webmasters dont les sites sont toujours en HTTP ont reçu (de Google) une notification par voie de courriel. Ils sont informés (cf. copie d’une notification ci-dessous) que les connexions de leurs sites seront marquées comme non sécurisées sous la version 62 du navigateur Chrome.

La seule nouveauté ici est la notification de Google qui marque la détermination de la firme à poursuivre ce chantier qui, d’ailleurs, porte déjà des fruits. Au mois d’avril dernier, la firme faisait déjà état d’une diminution de 23 % de la fréquentation des sites dont les connexions sont toujours en HTTP. D’avril à ce jour, Google n’a plus communiqué sur ces pourcentages. Il est cependant aisé de comprendre que la firme recherche une augmentation de ces derniers, ce qui laisse entrevoir que le courriel est une mesure destinée à mettre la pression aux responsables de ces sites.

Le marquage desdits sites commence (sous la version 62 de Chrome) dès le 1^er octobre. À ce propos, la précision est qu’il se fera dans deux situations additionnelles : lorsque les utilisateurs entrent des données sur une page en HTTP (une attention particulière sur les sites où les utilisateurs rentrent des informations sensibles comme des mots de passe ou des numéros de crédit depuis la version 56 du navigateur) et lorsqu’ils visitent des pages HTTP via le mode de « navigation privée ».

On ne sait encore si la version 62 du navigateur sera la première à faire précéder la mention « non sécurisé » du triangle rouge d’avertissement. Cette mesure a été annoncée pour les versions ultérieures à la 56, mais n’a pas été implémentée jusqu’ici comme en témoigne cette capture d’écran de la build officielle (60.0.3112.101) de Chrome.

« Nous publierons des mises à jour relatives à la mise en place de ce mécanisme de signalisation à l’approche de releases futures », a déclaré Google en mars dernier. L’échéance d’octobre sera peut-être la bonne.

Sources : Search Engine Land, Blog Chromium

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passé au HTTPS pour vos sites web ?
Google Search indexe désormais les URL HTTPS par défaut lorsque deux URL HTTP et HTTPS d'un même domaine ont le même contenu

[Aiekick]

Google me fatigue

[Spleeen]

Il est temps de faire bouger les lignes. En tant que webmaster (entre autre), je salue l'initiative !

[Invité]

Le fascisme vaincra \o/

[Tillo]

Pfffff ça m'soule !

Chez Amen c'est payant pour mettre son site en https

[Melodie]

certificat SSL gratuit : https://letsencrypt.org/

[Tillo]

certificat SSL gratuit : https://letsencrypt.org/

Super merci !
J'ai jeté un œil, ça a l'air bien compliqué. Je crois que ça ne passera jamais sur mon hébergement mutualisé.

[jojosbiz]

Totalement débile cette idée du tout "https"...

Où est l'utilité de mettre du https sur un site qui donne des recettes de cuisine ? (un exemple parmi beaucoup d'autres)

[Saverok]

Où est l'utilité de mettre du https sur un site qui donne des recettes de cuisine ? (un exemple parmi beaucoup d'autres)

Même sur un site de recette de cuisine, tu peux être amené à poster des commentaires où tu t'identifies par login/mdp.
Le https ne sécurisera pas l'énorme trou béant de sécurité possible (mais encore trop courant) du site qui stocke ton mdp en clair mais le https permettra au moins, de ne pas le laisser circuler en clair sur le réseau.

[jojosbiz]

Même sur un site de recette de cuisine, tu peux être amené à poster des commentaires où tu t'identifies par login/mdp.
Le https ne sécurisera pas l'énorme trou béant de sécurité possible (mais encore trop courant) du site qui stocke ton mdp en clair mais le https permettra au moins, de ne pas le laisser circuler en clair sur le réseau.

Ou l'art d'essayer de faire croire que c'est important alors que ça ne l'est pas.

[Luckyluke34]

Cette décision de Google est tellement extrémiste qu'il est difficile de ne pas y voir la défense des propres intérêts de la compagnie.

Etant donné la population actuelle de sites HTTP par rapport aux HTTPS, les gens vont se mettre à voir des avertissements de sécurité sur énormément de pages qu'ils fréquentent qutotidiennement - que vont-ils faire ? Combien vont cliquer sur l'avertissement et comprendre les risques encourus ? Est-ce que Google va seulement essayer d'expliquer dans quels cas des données transitant sur HTTP peuvent constituer un risque pour la sécurité de l'utilisateur, ou est-ce qu'ils vont se contenter de répandre une peur vague et indéfinie ?

Pourquoi les gens feraient-ils la différence entre cet énième avertissement de leur navigateur et tous les autres, potentiellement plus importants ?

Derrière l'apparence de chevalier blanc de la cyber-sécurité, il y a aussi une volonté de modeler un web à son image, un web canalisé, contrôlé par une poignée de grands acteurs officialisés. Une sorte de réseau autoroutier bienveillant géré par quelques géants qui cherchent à tout prix à détourner les automobilistes des petites départementales à leur profit.

[Volgaan]

Bon nombre d'hébergeurs proposent maintenant du TLS (SSL est mort depuis des années) gratuit via Let's Encrypt

Par exemple, chez OVH, c'est automatique. Parfois il faut quand même aller activer HTTPS pour un sous-domaine précis et régénérer le certificat depuis la console d'administration, mais ça se fait en quelques clics.

[dvilink]

Je fais le pari que cette mesure se retournera contre eux. À force de voir la mention "non sécurisé" sur tout un tas de sites corrects les gens vont s'y habituer et finir par ne plus y prêter attention. Pour le reste il est évident que c'est un pas de plus en direction de la fin de la neutralité du web pour laquelle militent si activement les GAFA.

[Bigb]

On peut comprendre certains points avancés par Google, mais une roadmap claire en amont aurait été préférable plutot qu'un délai de quelques mois. Oui Google avait prévenu, mais pourquoi ne pas avoir donné son calendrier alors ?

[Battant]

Bonjour,

Peut-on utiliser d'autres produits que ceux des GAFAM ?

Regardez ce lien :
https://degooglisons-internet.org/
Pourquoi ne pas utiliser le moteur de recherche libre searx.me ?
https://searx.me/

J'espère que c'est bien vous intéresseront

Meilleures salutations

[electroremy]

Quel est l'intérêt de passer en https un site perso, un blog photo, un site consacré à l'électronique ou toute sorte de site sur lequel il n'y a ni base de données ni possibilité d'écrire des commentaires ???

Beaucoup de sites ne sont pas interactifs parce qu'il n'ont pas besoin de l'être.

Un site consacré aux fables de la fontaine, aux mathématiques, ou des reportages photos c'est comme un livre, juste du texte et des photos en "lecture seule". Pas besoin de https !

[Comak]

Pour ma part, ce sont les API Google qui m'empêchent de passer au S sur un de mes sites.

[Violette89]

Le problème de ce "tout HTTPS" imposé par Google est qu'il ne fait pas la différence entre les connexions en local (notamment via l'ip du périphérique) et distantes a des sites internet.Donc les interfaces domotiques,de routeurs,de box ... auront également un gros triangle rouge alors qu'il est impossible d'utiliser HTTPS sans installer des certificats manuellement.

[SergeJ]

À tous ceux qui critiquent Google de cette décision, rappelez-vous qu'une chaîne ne vaut pas plus que son maillon le plus faible et considérez le scénario suivant:

- un utilisateur lambda se connecte (login/mdp) sur son site favori (recettes de cuisine, collection de timbres postaus ou autre) en http
- comme c'est non sécurisé, un vilain pas gentil intercepte le flux et note le login et le mdp
- et comme l'utilisateur est lambda, il utilise les mêmes identifiants pour tous ses comptes
- résultat: notre vilain pas gentil à accès à tous les comptes (mail, banque,…) de l'utilisateur, même si ceux-là sont en https

Pour moi, le problème n'est pas que ce soit Google qui le propose; le problème est que le https ne soit pas le défaut partout, maintenant que c'est techniquement possible. Et à ceux qui disent que ça coûte, faut savoir ce qu'on veut: gratuité ou sécurité, sans compter qu'il existe des certificats gratuits comme letsencrypt (un peu plus long à mettre en place, mais ce n'est pas si terrible, et vos utilisateurs vous remercieront)

[SergeJ]

Bonjour,

Peut-on utiliser d'autres produits que ceux des GAFAM ?

Regardez ce lien :
https://degooglisons-internet.org/
Pourquoi ne pas utiliser le moteur de recherche libre searx.me ?
https://searx.me/

J'espère que c'est bien vous intéresseront

Meilleures salutations

Vous ne comprenez donc pas: ce n'est pas Google qui est en cause, c'est le http non sécurisé. Les sites que vous proposez sont en https, et c'est heureux: c'est exactement ce que veut promouvoir Google avec ce changement