Alors, qu’est-ce que c’est que ce truc https que je vois encore et encore ? Le nom HTTPS dérive de Hyper Text Transfer Protocol Secure, le nom original du protocole est HTTP, la lettre clé ici est le « s » dans HTTPS qui signifie sécurise.
Lorsque vous envoyez et recevez des données via votre navigateur, cela se fait de 2 manières. Soit Standard ou Sécurisé. Lorsque vous visitez des sites qui utilisent HTTP standard, cela signifie que votre communication avec le serveur se fait de manière non cryptée. Dans la plupart des cas, cela convient, car vous ne lisez probablement que le contenu fourni par un site Web, sans fournir de données privées précieuses.
Mais dans les cas où vous fournissez des informations personnelles (en particulier des données de facturation, bancaires ou d’identification), ce n’est pas optimal car un attaquant potentiel pourrait éventuellement intercepter ce contenu et les modifier à la volée. Ce qui peut à son tour conduire à des tentatives de piratage ou de vol. Cela signifie que pour les entreprises en ligne et les sites Web de commerce électronique sécurisés, l’utilisation de HTTP est absolument pas acceptable.
L’échange de données privées telles que les transactions par carte de crédit demande HTTPS, mais avec l’augmentation actuelle des activités de piratage, la demande pour ce que google appelle HTTPS partout grandit de jour en jour.
Pourquoi HTTPS devient plus important
Maintenant que vous savez ce qu’est HTTP, il est important de comprendre pourquoi c’est important. Pour simplifier à l’extrême : HTTPS aide à protéger vos activités de navigation sur le Web.
Un site HTTP qui fonctionne sans cryptage peut être plus sensible aux attaques. Les sites piratés peuvent également entraîner l’installation de logiciels malveillants, ce qui affecte les lecteurs, car les logiciels malveillants affecteront également les navigateurs. Cette situation est devenue une préoccupation croissante avec les tentatives de piratage automatisées qui ont lieu partout dans le monde. L’utilisation de HTTPS aiderait à annuler bon nombre de ces attaques en convertissant tous les transferts de données en connexions cryptées, qui sont des mécanismes de cryptage plus difficiles à briser.
L’utilisation de HTTPS pourrait conduire à un Web plus sûr et plus sécurisé. Mais jusqu’à présent, la route a été longue et il reste encore beaucoup à faire avant que HTTPS ne devienne universel. En outre, il est important de se rappeler que HTTPS n’est pas le seul facteur à prendre en compte dans la création de sites Web sûrs – il existe de nombreuses autres étapes que les gestionnaires Web doivent mettre en œuvre pour la sécurité des blogs.
HTTPS avait de nombreux défauts dans le passé
Pourquoi le HTTPS devient-il plus important maintenant? Dans le passé, HTTPS a eu du mal à gagner du terrain depuis Certificats SSL (les documents Web réels responsables de la création de mécanismes de cryptage) ont été pas libre. Au lieu de cela, ils devaient être émis par des autorités de certification spécifiques pour être valides.
Ainsi, la seule autre option pour les personnes à budget limité a été les certificats «auto-signés». Ce n’est pas une alternative viable car ils jettent un avertissement sur votre navigateur. L’avertissement des certificats auto-signés est suffisant pour empêcher vos lecteurs de tenter d’accéder à votre site car il peut sembler trop dangereux de l’ignorer. Cela rend les certificats « auto-signés » inutiles pour toute tentative sérieuse de développement de votre présence en ligne. Ils restent cependant une option lorsqu’ils ne sont utilisés que pour des sites Web faisant partie de votre propre réseau et accessibles en interne, mais encore une fois, cela ne fait pas grand-chose pour développer votre marque en ligne.
Cela a été un énorme inconvénient pour les blogueurs et les petites entreprises du monde entier. Alors que les grandes entreprises n’ont aucun problème avec le coût, les blogueurs à petit budget qui ne génèrent pas encore de revenus suffisants à partir de leur site Web ne peuvent tout simplement pas se permettre de payer pour de tels certificats. Et sans alternative fiable, ils ont été SOL pour SSL.
En plus de tout cela, une fois qu’un site Web était chargé avec HTTPS, le temps de chargement dudit site en souffrait. Cela était dû à la surcharge supplémentaire que le serveur devait supporter en ayant à Crypter toutes les données avant de l’envoyer. Pas du tout un processus efficace si vous étiez disposé et capable de vous le permettre en premier lieu.
La version 3 de SSL est désormais obsolète
Pour ajouter encore plus d’insulte à l’injure, des certificats SSL valides fonctionnaient sur une plate-forme obsolète. La dernière version de SSL appelée version 3 qui a débuté en 1996 avait de plus en plus de failles exposées, à tel point que le L’Internet Engineering Task Force (IETF) a décidé de le rendre obsolète
Le nouveau protocole TLS est beaucoup plus sécurisé à tous égards, ce qui a conduit à l’interdiction de l’ensemble de SSLv3 sur les principaux navigateurs.
Plus de puissance CPU, Let’s Encrypt, TLS et HTTP/2 ont changé la donne
Avec l’avènement de nouveaux matériels, de processeurs plus rapides, de serveurs Web plus rapides (tels que nginx et lighttpd) et de mécanismes de mise en cache plus rapides (tels que vernis), les frais généraux pour la prise en charge de HTTPS ont été considérablement réduits. Cela signifie que les nouveaux utilisateurs SSL n’ont pas à s’inquiéter des temps de chargement ralentis.
De plus, le nouveau TLSv1.2 Le protocole introduit pour SSL a rendu SSLv3 obsolète et a ouvert la voie à une adoption plus rapide de SSL.
De plus, le récent lancement de HTTP/2 va être le dernier clou dans le cercueil pour les supporters HTTP. HTTP/2 est un protocole amélioré par rapport au HTTP d’origine qui a été pensé et développé pour aujourd’hui. HTTP non chiffré est un protocole plus ancien qui fonctionne très bien, mais n’est pas aussi optimisé pour les besoins d’aujourd’hui (ne vous inquiétez pas, nous parlerons plus en détail de HTTP/2 dans un prochain article).
Ensemble, ces facteurs (et bien d’autres) réduisent presque à zéro l’impact d’un site fonctionnant en HTTPS. Mais qu’en est-il du coût? Cette dernière question a été modifiée par une variable et s’appelle : Chiffrons.
Chiffrons
Chiffrons est un certificat gratuit autorité. Cela signifie qu’il peut émettre des certificats gratuits d’une durée de validité de 90 jours et les certificats ne coûtent rien à mettre en œuvre. Let’s Encrypt est récemment sorti de la version bêta et fonctionne parfaitement bien depuis lors. Cette dernière pièce du puzzle a permis à l’ensemble de Google « HTTPS partout » de se rapprocher de la réalisation. Le principal problème de Google en ce moment est adoption.
Heureusement, Let’s Encrypt a plusieurs façons d’émettre un certificat, que ce soit via le Web en ZéroSSL, par un plugin wordpress via WP-Crypter ou par serveur avec les nouveaux paquets dans Debian et d’autres distributions Linux appelées Certbot.
Le gratuit Plugin WordPress WP Encrypt facilite l’installation et la gestion de votre certificat SSL gratuit Let’s Encrypt. Vous pouvez utiliser le plugin pour créer un certificat, l’enregistrer et déplacer votre site Web vers HTTPS. Mais la meilleure partie absolue est que le plugin renouvellera automatiquement votre certificat pour vous tous les 90 jours, vous aurez donc toujours un certificat SSL valide.
Le deuxième moyen simple d’ajouter Let’s Encrypt est via votre société d’hébergement. De nombreux hébergeurs populaires ont intégré Let’s Encrypt à leurs packages pour permettre à leurs clients d’ajouter facilement et à moindre coût SSL à leurs sites WordPress. Quelques-uns de nos favoris incluent Cloudways, WP Engine et Flywheel. Ces premiers utilisateurs ont fait de l’ajout de SSL et une partie facile de leurs processus de configuration de site Web déjà simples.
Google pousse déjà HTTPS avec SEO Ranking Boost
Google avait déjà commencé à envisager l’adoption du HTTPS dans le cadre de son propre algorithme de classement SEO en 2015. Puis ils ont annoncé en 2016 qu’ils allaient mettre en œuvre un très mineur coup de pouce au classement à tous les sites Web qui passent de HTTP vers HTTPS. Selon Google, ce n’est actuellement pas assez fort pour affecter les classements de manière significative, mais c’est une indication des choses à venir.
Comme vous pouvez le voir, Google a déjà apporté des changements révélateurs en 2015 et 2016, et maintenant ils vont repousser encore plus les limites en 2017.
Il y aura un avertissement sur Google Chrome en 2017
Avec le protocole HTTP/2 désormais largement adopté et peut-être même la prolifération des utilisateurs de Let’s Encrypt comptant maintenant des millions dans le monde entier, Google a commencé à faire son prochain pas. Google a récemment annoncé qu’ils commenceront à afficher un point d’exclamation pour tous les sites non cryptés, en commençant par leur récent Mise à jour de Google Chrome.
Ensuite, à partir de janvier 2017, ils prévoient de signaler les sites Web HTTP qui transmettent des données utilisateur sensibles (telles que des mots de passe, des informations de carte de crédit, etc.) avec un panneau d’avertissement rouge. Cela va sans aucun doute commencer à créer de la méfiance avec tous ces sites qui ne font pas le changement.
Le mouvement est audacieux, j’en suis sûr, mais il dit quelque chose sur la direction que prend le Web. Avec de plus en plus de sites passant au HTTPS et l’augmentation de l’utilisation d’Internet partout dans le monde, HTTPS va être le norme de fait Dans les années à venir.
résumer
De nouvelles technologies sont enfin arrivées pour rendre le HTTPS beaucoup plus attractif. Avec l’inclusion de serveurs Web plus rapides, de processeurs plus rapides, de meilleurs mécanismes de cryptage de protocole via TLSv1.2, le protocole HTTP/2 récemment lancé et Let’s Encrypt donnant des certificats gratuits à tous ceux qui le souhaitent, la voie a été ouverte pour une adoption HTTPS plus rapide. En plus de cela, l’application par Google du changement par les futures mises à jour est une autre poussée vers HTTPS.
Mais ne vous inquiétez pas – comme mentionné dans le premier article de cet article, pour les blogs et les magazines, vous ne devriez pas vous sentir obligé de vous précipiter vers HTTPS. Vous devez réfléchir attentivement à votre passage de HTTP à HTTP, car cela pourrait affecter votre classement dans les moteurs de recherche. Mais pour les sites Web de commerce électronique et d’adhésion, vous aurez besoin que HTTPS soit activé et actif sur vos pages de connexion et de paiement pour empêcher les utilisateurs de voir un avertissement en 2017.
Vous ai-je donné suffisamment de raisons de changer ? Dans mon prochain article, je vais examiner comment passer au HTTPS dans WordPress à l’aide de plugins, comment ajouter votre certificat dans cPanel, Vesta ou votre VPS personnalisé avec nginx. Restez à l’écoute!