Le protocole HTTPS fait partie de l’arsenal informatique destiné à mieux sécuriser les échanges de données sur Internet. Il est désormais incontournable pour les sites soucieux de leur réputation.
Qu’est-ce que le HTTPS ?
L’https, pour Hypertext Transfer Protocol Secure, désigne la version sécurisée du langage informatique http, un protocole de communication qui permet la liaison entre un client et un serveur pour le World Wide Web (www). En français, le terme se traduit par protocole de transfert hypertexte sécurisé.
Il s’agit en réalité de la combinaison entre le langage http et un protocole (SSL ou TLS) de sécurisation des échanges sur le Web. Cette combinaison consiste à protéger l’authentification d’un serveur, la confidentialité et l’intégrité des données échangées et, parfois, l’authentification du client.
Dans la pratique, on retrouve l’https sur les pages Web d’un navigateur lorsqu’on souhaite réaliser des achats en ligne sur des sites commerciaux, mais aussi de façon plus générale, sur toutes les pages qui appliquent un protocole de sécurité. Proposé par des entreprises comme GlobalSign, Thawte ou encore Trustico, le certificat https se manifeste par la présence d’un petit cadenas dans la barre d’adresse du navigateur.
Pourquoi est-il recommandé d’utiliser le protocole HTTPS ?
A la fin des années 2000, un informaticien, lors d’un travail de recherche, a montré les failles de sécurité dans la gestion du protocole entre le serveur et le client. Il a appuyé sa démonstration en piratant ses collègues lors de la Black Hat conférence de 2009, récupérant ainsi de nombreuses données personnelles. Cette démonstration porte le nom d’Attaque de l’homme du milieu.
Depuis le début de l’année 2017, certains navigateurs internet ont commencé à signaler dans la barre de navigation les sites qui collectent des données personnelles sans utiliser le protocole HTTPS pour sécuriser leurs échanges. Leur objectif est de faire prendre conscience aux internautes de la sécurité de leurs informations sensibles, et donc, de pousser un plus grand nombre de sites à adopter ce protocole.
Sécuriser votre site à l’aide du protocole HTTPS
HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l’intégrité ainsi que la confidentialité des données lors du transfert d’informations entre l’ordinateur de l’internaute et le site. Les internautes s’attendent à bénéficier d’une expérience en ligne sécurisée et confidentielle lorsqu’ils consultent un site Web. Nous vous conseillons d’adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web en toute sécurité, quel que soit son contenu.
h
Les données envoyées à l’aide du protocole HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui offre trois niveaux clés de protection :
- Le chiffrement : consiste à coder les données échangées pour les protéger des interceptions illicites. En d’autres termes, lorsqu’un internaute navigue sur un site Web, personne ne peut « écouter » ses conversations, suivre ses activités sur diverses pages ni voler ses informations.
- L’intégrité des données : les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées.
- L’authentification : prouve que les internautes communiquent avec le bon site Web. L’authentification protège contre les attaques MTIM (man in the middle) et instaure un climat de confiance pour l’internaute qui se traduit par d’autres retombées positives pour votre activité.
Bonnes pratiques de mise en œuvre du protocole HTTPS
Si vous utilisez un CMS tel que WordPres, Wix ou Blogger, recherchez les instructions permettant d’activer HTTPS sur votre service d’hébergement. Par exemple, effectuez la recherche « wix https ».
Utiliser de solides certificats de sécurité
L’activation du protocole HTTPS pour votre site implique l’obtention d’un certificat de sécurité. Ce certificat est délivré par une autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient bien à votre entreprise, et protège ainsi vos clients contre les attaques MITM. Lors de la configuration de votre certificat, assurez-vous de bénéficier d’un haut niveau de sécurité avec une clé de 2 048 bits. Si vous avez déjà un certificat avec une clé plus faible (1 024 bits), passez à 2 048 bits. Lorsque vous choisissez le certificat de votre site, tenez compte de ce qui suit :
- Obtenez votre certificat auprès d’une autorité de certification fiable qui offre un service d’assistance technique.
- Déterminez le type de certificat dont vous avez besoin parmi les suivants :
- Un certificat simple pour une seule origine sécurisée (
www.example.com
) - Un certificat multi-domaine pour diverses origines sécurisées bien connues (
www.example.com, cdn.example.com, example.co.uk
) - Un certificat à caractère générique pour une origine sécurisée avec de nombreux sous-domaines dynamiques (
a.example.com, b.example.com
)
- Un certificat simple pour une seule origine sécurisée (
Utiliser des redirections permanentes côté serveur
Redirigez les internautes et les moteurs de recherche vers la page ou la ressource HTTPS à l’aide de redirections permanentes côté serveur.
Vérifier que vos pages HTTPS peuvent être explorées et indexées par Google
- Utilisez l’outil d’inspection d’URL pour vérifier si Googlebot peut accéder à vos pages.
- Ne bloquez pas vos pages HTTPS à l’aide de fichiers robots.txt.
- N’incluez pas de balise
noindex
dans vos pages HTTPS.
Accepter le mécanisme HSTS
Nous recommandons aux sites HTTPS de prendre en charge le mécanisme HSTS (HTTP Strict Transport Security). Ce mécanisme indique au navigateur de demander automatiquement des pages qui utilisent le protocole HTTPS, même si l’utilisateur saisit http
dans la barre d’adresse du navigateur. Il nous indique également de diffuser des URL sécurisées dans les résultats de recherche. Tout cela minimise le risque de diffuser du contenu non sécurisé à vos internautes.
Pour prendre en charge le mécanisme HSTS, utilisez un serveur Web compatible et activez la fonctionnalité.
Bien qu’il soit plus sécurisé, le mécanisme HSTS accroît la complexité de votre stratégie de restauration. Nous vous recommandons de l’activer comme suit :
- Déployez d’abord vos pages HTTPS sans le mécanisme HSTS.
- Commencez à envoyer des en-têtes HSTS avec un
max-age
court. Contrôlez le trafic provenant à la fois des utilisateurs et d’autres clients, ainsi que la performance des éléments dépendants, comme les annonces. - Augmentez lentement le paramètre
max-age
pour HSTS. - Si le mécanisme HSTS n’affecte pas vos internautes et les moteurs de recherche de manière négative, vous pouvez ajouter votre site à la liste de préchargement HSTS, utilisée par la plupart des principaux navigateurs. Vous renforcez ainsi la sécurité tout en améliorant les performances.
Éviter ces pièges courants
En procédant à la sécurisation de votre site à l’aide du protocole TLS, évitez les erreurs suivantes :
Erreurs courantes et solutions | |
---|---|
Certificats arrivés à expiration | Assurez-vous que votre certificat est toujours à jour. |
Certificat enregistré pour un nom de site incorrect | Vérifiez que vous avez obtenu un certificat pour tous les noms d’hôte utilisés par votre site. Par exemple, si votre certificat ne couvre que www. , un visiteur qui charge votre site en utilisant seulement example. (sans le préfixe www. ) sera bloqué par une erreur de correspondance de nom de certificat. |
Non-compatibilité avec l’Indication du nom du serveur (Server name indication, SNI) | Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. La SNI est compatible avec tous les navigateurs modernes. Toutefois, vous aurez besoin d’une adresse IP dédiée pour les navigateurs plus anciens. |
Problèmes d’exploration | Ne bloquez pas l’exploration de votre site HTTPS à l’aide du fichier robots. . En savoir plus |
Problèmes d’indexation | Autorisez autant que possible l’indexation de vos pages par les moteurs de recherche. N’utilisez pas la balise noindex . |
Anciennes versions du protocole | Les anciennes versions du protocole sont vulnérables. Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole. |
Éléments de sécurité mélangés | Intégrez uniquement du contenu HTTPS sur les pages HTTPS. |
Contenu différent sur le HTTP et le HTTPS | Assurez-vous que le contenu de vos sites HTTP et HTTPS est le même. |
Erreurs de code d’état HTTP sur un site HTTPS | Vérifiez que votre site renvoie le bon code d’état HTTP. Par exemple, 200 OK pour les pages accessibles, ou encore 404 ou 410 pour les pages qui n’existent pas. |
Passer du protocole HTTP au protocole HTTPS
Si vous faites passer votre site du protocole HTTP au protocole HTTPS, Google considère cela comme un déplacement de site avec changement d’URL. Cela peut affecter temporairement vos chiffres de trafic. En savoir plus sur les recommandations pour toutes les migrations de site.
Assurez-vous d’ajouter la propriété HTTPS à la Search Console. La Search Console traite séparément les protocoles HTTP et HTTPS. Les données de ces propriétés ne sont pas partagées dans la Search Console.
Pour obtenir d’autres conseils sur l’utilisation de pages HTTPS sur votre site, consultez les questions fréquentes relatives à la migration HTTPS.
Ressources supplémentaires sur la mise en œuvre du protocole TLS
Voici d’autres ressources concernant la mise en œuvre du protocole TLS sur votre site :
- Les bonnes pratiques relatives aux protocoles SSL et TLS de Qualys (en anglais)
- Le wiki de Mozilla relatif au SSL et au TLS