Discussion :

[Amine Horseman]

Mozilla déclare la guerre contre le HTTP non-sécurisé
Et veut forcer les développeurs à migrer vers le protocole HTTPS

Dans un billet de blog, Mozilla annonce son intention de marquer le protocole HTTP comme étant obsolète afin de privilégier l’utilisation du protocole HTTPS utilisant le cryptage lors du transfert de données pour assurer l’intégrité et une meilleure sécurité.

Pour cela, Mozilla propose de définir une date après laquelle toute nouvelle fonctionnalité ne sera disponible qu’aux sites web utilisant le protocole sécurisé. Après cela, tous les autres sites se verront révoquer le droit d’utiliser certaines fonctions du navigateur, en particulier celles qui présentent des risques pour la sécurité et le respect de la vie privée des utilisateurs. Le but final de cet effort est d’envoyer un message d’alerte aux développeurs Web pour les inciter à adopter le protocole HTTPS partout sur leurs sites.

Mais Mozilla veut aller plus loin en proposant cette stratégie au W3C à travers son groupe de travail responsable sur la sécurité des applications web. En effet, si une telle décision est adoptée par le groupe de standardisation international, l’initiative serait beaucoup plus efficace puisqu’elle serait coordonnée et adoptée par l’ensemble de la communauté web et en particulier par les autres navigateurs.

Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web. Comme cité sur le billet de blog, « interdire des fonctionnalités pour les sites web non-sécurisés est susceptible de rompre le fonctionnement certains sites. Nous devons donc surveiller le degré de rupture et l'équilibrer avec les gains en termes de sécurité ». Une telle décision ne devrait donc pas être prise à la légère.

D’autres propositions ont également été proposées sur la liste de diffusion de Mozilla telles que la limitation de la portée des cookies générés par les sites non sécurisés, ou encore la traduction automatique du schéma HTTP en HTTPS par le navigateur, ce qui permettrait aux internautes de visiter, en toute sécurité, des sites web utilisant encore le protocole obsolète.

Source: Mozilla Blog

Et vous ?

Que pensez-vous de cette proposition ?
Forcer les développeurs à utiliser le protocole HTTPS permettrait-il de mieux sécuriser le web ?

[TiranusKBX]

mais dite moi il sont près à payer les certificats SSL de tous les sites en nous sortant ça ?

[cocowin]

Je n'approuve pas du tout.

Pour commencer un certificat SSL est cher. Si, pour une entreprise, cela ne pose pas trop de problème, Mozilla ne devrait pas forcer les gens à en acheter un.

Ensuite, certains sites n'en ont pas du tout besoin, au hasard : developpez.com , qui est en http, mais je m'en fiche car je n'ai aucune info sensible sur ce site.

Mozilla veut forcer les développeurs à acheter un certificat SSL qui la plupart du temps sera inutile. Merci Mozilla.

Et puis franchement : Bloquer des fonctionnalités sur les site http ? BLOQUER des fonctionnalités ? Donc il faudra débourser pour avoir ces fonctionnalités. Parfait. Nous aurons donc 2 versions du Web : Normal et Prenium. Je suis peut-être HS, mais : Depuis quand Mozilla applique une politique comme celle-ci ? On dirait Apple.

[ail5urfer]

Pareil, moi j'ai rien contre tout passer en https (quoique)... si j'ai pas à payer le coût exorbitants des certificats SSL, et à renouveler chaque année de plus !
D'un autre coté, si les certificats deviennent gratuit, pas sûr que ce soit une bonne chose pour le sérieux des offres.

[RyzenOC]

Moi je me suis auto-certifier sur mon serveur dédié, bizarrement on pourrais croire que mon site est un site pirate (message d'alerte, barre d'adresse rouge...) alors que techniquement mon site et plus sécurisé qu'avec http uniquement.

C'est un peu le monde a l'envers.


En juillet, je crois que mozilla vas sortir un projet proposant de certifier ces site gratuitement, je me rappelle plus du nom, bref coïncidence ?

[JayGr]

Moi je me suis auto-certifier sur mon serveur dédié, bizarrement on pourrais croire que mon site est un site pirate (message d'alerte, barre d'adresse rouge...) alors que techniquement mon site et plus sécurisé qu'avec http uniquement.

C'est un peu le monde a l'envers.

C'est un peu fort de dire ça.
Le principe de l'auto-certification ce n'est pas de dire : "Je me délivre un certificat à moi-même donc je suis plus sûr qu'avant" => FAUX FAUX ET FAUX.
Partant de ce principe à quoi sert une CA ?

Il ne faut pas tout mélanger.
Désolé ça tombe sur toi mais je suis un peu las de lire des posts de gens qui mélange tout sur les certificats en disant qu'une fois qu'il y en a un c'est la fête à neuneu...

Je pense être bien placer pour te répondre, que NON!!!!

Mon site est en https, je me suis auto certifier, résultat ?
Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.

Tu croit sincèrement qu'un utilisateur lambda qui n'y connait rien en info va aller sur mon site ?

Je ne vais pas me répéter mais attention ... De l'auto-signé c'est pas du tout rassurant et c'est normal !!!

Ben ouais, moi je trouve ça complètement normalement, le principe d'un certificat c'est qu'il soit signé par un tiers de confiance. Si cette condition n'est pas remplie il est complètement normal que le navigateur affiche une alerte à ce sujet puisque seul toi atteste assure que c'est bien toi (super comme garantie !)

Voilà

Mon bilan sur ce sujet c'est que je pense que Mozilla ne souhaite pas "éradiquer" les sites en HTTP, ni même forcer les utilisateurs à tout passer en HTTPS tout de suite, mais plutôt éduquer la population à comprendre que les sites en HTTP ne sont pas sûrs. Le seuls sites qui peuvent être considérés comme "sûrs" sont ceux qui sont chiffrés avec un certificat délivrés par un tiers de confiance (et pas moi même dans mon garage).

L'idée et l'envie est bonne ! Même très bonne. On ne peut pas reprocher à Mozilla de vouloir sensibiliser et améliorer la sécurité de la navigation de ces utilisateurs.

Pour les fans de la théorie du complot :

En juillet, je crois que mozilla vas sortir un projet proposant de certifier ces site gratuitement, je me rappelle plus du nom, bref coïncidence ?

Non ce n'est pas une coïncidence. C'est logique !
C'est normal de proposer une solution associé à la démarche.

@+

JayGr

[RyzenOC]

Il ne faut pas tout mélanger.
Désolé ça tombe sur toi mais je suis un peu las de lire des posts de gens qui mélange tout sur les certificats en disant qu'une fois qu'il y en a un c'est la fête à neuneu...

Si tu as un certificat ssl auto-signé, théoriquement la connexion est crypté, donc plus sécurisé qu'avant avec du simple http.
J'ai dit site internet au lieu de connexion,mais bon on va pas jouer sur les mots.

Non ce n'est pas une coïncidence. C'est logique !
C'est normal de proposer une solution associé à la démarche.

C'était humoristique, évidement que ce n'est pas une coïncidence a 2-3 mois de la sortie du projet.

j'ai pas spécialement envie de re-basculer mes serveur sur des certificats 128 bits hors que j'ai du cryptage en 256

Si le gouvernement me l'ordonnait, je lui répondrais qu'il peut aller se faire mettre ou je pense, et je louerais un serveur a l'étranger si la justice me force la main.

[JayGr]

Si tu as un certificat ssl auto-signé, théoriquement la connexion est crypté, donc plus sécurisé qu'avant avec du simple http.
J'ai dit site internet au lieu de connexion,mais bon on va pas jouer sur les mots.

Si tu as un certificat SSL auto-signé, tu ne peux pas être sûr que la personne qui a délivré ce certificat est un tiers de confiance et par conséquent, ta connexion à beau être chiffrée (et pas cryptée -> Je joue sur les mots ) ça ne te rassure pas plus sur la sécurité de ta connexion.

Une exemple concret :
Demain si je te propose de te connecter sur un site qui est celui d'un partenaire de ta banque. Ce site est auto-signé. Super !!! C'est un partenaire de ta banque, tu le connais . Il te demande tes infos de connexion puisque c'est un partenaire tu fais quoi ? Est-ce que tu penses que tu vas accorder autant confiance à ce certificat puisque finalement tu ne sais pas vraiment qui est derrière.

Enfin (puisque j'aime que les choses soient claires), je te conseille de lire ça : Man in the middle
Et ensuite d'essayer de comprendre le risque associé au certificat auto-signé.
Tu as plein d'infos sur le net. Les certificats auto-signé existent uniquement pour les tests... Le reste c'est 0 sécurité.

C'était humoristique, évidement que ce n'est pas une coïncidence a 2-3 mois de la sortie du projet.

J'avais mal compris . Autant pour moi.

@+

[RyzenOC]

Si tu as un certificat SSL auto-signé, tu ne peux pas être sûr que la personne qui a délivré ce certificat est un tiers de confiance et par conséquent, ta connexion à beau être chiffrée (et pas cryptée -> Je joue sur les mots ) ça ne te rassure pas plus sur la sécurité de ta connexion.

Moi je parle d'un point de vu purement technique, toi de confiance, donc on ne parle pas de ma même chose, mais je suis a 100% d'accord avec toi sur ce que tu dis.

Demain si je te propose de te connecter sur un site qui est celui d'un partenaire de ta banque.

Sa c'est l'exemple extrême, et non je ne ferais pas confiance a ce site bancaire, si developpez.com mais un certificat auto signé, auras tu peur par contre ? car ce n'est qu'un forum, donc a priori tu n'a pas d'information sensible a mettre dessus.

[hannibal.76]

Effectivement, Mozilla ( et d'autres ) prévois de fournir des certif SSL gratuitement --> https://letsencrypt.org/
(Le fournir reste a définir pour moi)

[fenkys]

Sans compter qu'il n'est pas sur que ton hébergeur fournisse une interface https.
Il serait bon aussi de savoir quelles seraient les fonctionnalités Mozilla désire bloquer.

[BugFactory]

Si les sites en HTTP ne s'affichent plus correctement sous Firefox, c'est Firefox qui va perdre des parts de marché. Le seul moyen d'imposer ça serait que Google et Microsoft participent, mais ils ne voudront jamais.

[Saverok]

Mozilla nous refait exactement la même chose qu'avec le DoNotTrack
Au début, un discours ultra ferme (limite despotique) puis, quand la fondation se rend compte qu'elle ne fédère pas et qu'elle se retrouve un peu isolée, elle modère son propos pour finir par se ranger sur la même ligne que les autres

Ce mode de communication me fait penser un peu à un roquet qui gueule très fort pour qu'on le remarque mais une fois que tous les regards se braquent sur lui, il part se planquer dans un coin la queue entre les jambes

A noter que je critique uniquement la communication de la fondation et non pas la fondation en elle même
Je suis plutôt de leur avis par ailleurs, le plus souvent en tout cas
Par contre, je suis plus pragmatique (certains diront pessimiste) sur la façon de s'y prendre

Rome ne s'est pas construite en 1 jour et pas avec 1 seul ouvrier

[NSKis]

La vérité est que l'utilisateur "lambda" est de plus en plus la victime des géants du web (Google qui veut imposer le site merdique mais compatible mobile, Mozilla et sa croisade "https", etc), chacun veut tirer la couverture à soi en faisant une victime colatérale, les utilisateurs du web...

Ces "géants" devraient ne pas oublier une chose: Leur succès est dû aux millions de "petits" qui commencent à en avoir marre de se faire imposer tous les 2 jours une nouvelle norme dont ils ne voient pas leur moindre intérêt perso!!!

[vinmar]

Ces "géants" devraient ne pas oublier une chose: Leur succès est dû aux millions de "petits" qui commencent à en avoir marre de se faire imposer tous les 2 jours une nouvelle norme dont ils ne voient pas leur moindre intérêt perso!!!

C'est beau ce que tu dis mais je ne suis pas sûr que l'internaute moyen s'en préoccupe...

[fenkys]

Si les sites en HTTP ne s'affichent plus correctement sous Firefox, c'est Firefox qui va perdre des parts de marché. Le seul moyen d'imposer ça serait que Google et Microsoft participent, mais ils ne voudront jamais.

Je ne suis pas sûr que ce soit ça que cherche Mozilla. D'après ce que j'ai compris, Mozilla voudrait que le http soit limité au niveau de la norme par l'organisme adéquat et que par la suite tous les navigateurs s'y conforment.

[BugFactory]

Ce n'est pas ce que j'ai compris en lisant l'article, mais c'est vrai que ce serait plus logique. Ceci dit, je ne pense pas que Google approuve car ça gênerait la collecte de données. Vu le poids de Chrome, rien ne peut être fait sans leur accord.

[XIII2008]

Mozilla entre dans le cercle des acteurs qui essayent de promouvoir des sites web plus sécurisés.

Je reconnais que le HTTPS/SSL partout n'est pas forcément utile mais malgré tout ça peut être un plus.
Surtout que même aujourd'hui on peut avoir des certificats SSL pour des sites persos ou petit site gratuitement (exemple http://www.startssl.com/)

De plus ils veulent également mettre en place un moyen de certifications simple et gratuit...

Envoyé par hannibal.76
Effectivement, Mozilla ( et d'autres ) prévois de fournir des certif SSL gratuitement --> https://letsencrypt.org/

Mais également on sait que Google s'est également lancé dans cette bataille...

a+

[TiranusKBX]

le principal problème avec StartSSL c'est la méthode d'entrée à l'interface d'administration
si tu à perdus le certificat qu'ils ton fournis à l'origine ou si tu à dépassé sa date de validité,
ils te disent de refaire un compte, y compris pour leur services payants ou tu doit déjà payer pour faire vérifier ton identité;
Au moins les services payants te propose la possibilité de récupérer ton compte

[Matthieu Vergne]

Pour ma part, je plussoie au HTTPS partout. Les certificats ne coûtent rien en soit, ce sont les certificats délivrés par des entités reconnues qui coûtent. Chacun peut faire son propre certificat, la conséquence étant en revanche une notification de sécurité de la part du navigateur, ce qui est certes gênant mais en rien bloquant, comme l'a montré sazearte. Par contre, il est typique de voir de nouvelles technologies coûter cher et de voir ensuite leur prix diminuer avec l'industrialisation, or cela ne s'est pas vu pour les certificats HTTPS pour autant que je sache : les entités de certifications se font leur beurre et la techno n'arrive pas au particulier, acteur principal du Web. Le fait de forcer la main ne peut que supporter les initiatives visant à fournir des certificats fiables à tout un chacun, comme Let's Encrypt. Donc oui, je plussoie l'initiative de Mozilla sur ce point.