La prochaine version de Chrome testera d’abord un site en HTTPS

Nicolas Furno |

Petit à petit, le HTTPS s’impose par défaut pour les sites web. Sous l’impulsion des créateurs de navigateurs web et en particulier de Google, ce protocole chiffré devient le fonctionnement par défaut et le HTTP historique est déprécié. Dans un premier temps, les navigateurs ont commencé à alerter quand la connexion au site en cours d’affichage n’était pas sécurisée.

L’étape suivante est de favoriser le protocole chiffré par défaut et c’est ce que Chrome fera à partir de sa prochaine version. Jusque-là, quand vous tapiez le nom de domaine d’un site (macg.co par exemple), tous les navigateurs commençaient par tester l’URL sans chiffrement (http://macg.co). C’est ainsi que le web fonctionnait depuis son lancement et tous les sites étaient accessibles par ce biais, seule une partie bénéficiait du HTTPS. Le problème avec cette approche, c’est que c’est au serveur web de rediriger vers la connexion chiffrée si elle est disponible. Sans cela, l’utilisateur reste sur la version non chiffrée.

Dans le même scénario, Chrome 90 testera en premier la connexion sécurisée (https://macg.co). Le navigateur pourra toujours revenir en http s’il détecte que le serveur n’est pas capable de fournir une adresse sécurisée, mais l’inversion du choix par défaut favorise encore un petit peu plus le nouveau mode de fonctionnement. C’est aussi un gain de temps, puisqu’il n’y a pas besoin d’attendre une première réponse du serveur, puis de suivre une redirection vers le HTTPS le cas échéant, ce qui prenait quelques millisecondes à chaque fois.

Naturellement, ce nouveau comportement n’entrera en action que si l’utilisateur ne saisit pas le protocole lui-même. Si vous saisissez une adresse complète dans le navigateur web, ou si vous suivez un lien depuis une page web, Chrome respectera le protocole associé. Les serveurs web devront continuer à rediriger les pages en HTTP vers HTTPS pour encore un bon nombre d’années.

Google est le premier à franchir cette étape supplémentaire vers la généralisation du HTTPS, mais Mozilla et Apple devraient rapidement suivre. D’ailleurs, Firefox propose une option depuis quelques mois pour forcer le HTTPS par défaut, mais avec un comportement différent, plus strict et moins compatible : si on active cette option, le navigateur utilise systématiquement le protocole chiffré, sans se soucier de savoir si le serveur derrière dispose des certificats nécessaires.

Si le HTTP est la seule option, Firefox affiche alors une erreur et empêche par défaut de voir le site. Un fonctionnement radical, qu’il est toutefois possible de contourner en désactivant la mesure, soit temporairement, soit pour le nom de domaine en cours. L’approche de Google est néanmoins plus transparente et on peut supposer que c’est elle qui va s’imposer comme fonctionnement standard des navigateurs web.

Firefox propose une option qui n’accepte que les sites web derrière une connexion sécurisée et bloque l’accès aux sites web quand ce n’est pas possible. Il y a bien une option pour désactiver la mesure, mais c’est plus contraignant que l’approche de Chrome.

Les versions pour ordinateurs et pour Android de Chrome 90 bénéficieront en premier de cette nouveauté, il faudra attendre un petit peu plus pour la version iOS du navigateur web.


avatar blogostef | 

Je pensais que c’était déjà proposé via l’extension HTTPS everywhere de l’EFF.

avatar R-APPLE-R | 

En attendant 1Blocker le fait , c’est dans les réglages : forcer HTTPS

avatar EricBM1 | 

La parti pris radical de Firefox est assez hallucinant tant ça va à l’encontre de l’esprit d’origine d’internet. Les pages personnelles sont quasiment toutes en http. Le fait de bloquer purement et simplement les pages personnelles veut dire que pour eux l’esprit d’origine du web est fini et que maintenant seul les sites des entreprises comptent. J’ai connu internet à ses débuts en France, quand on payait à la minute et qu’on avait des CD de connexion AOL. C’était très orienté pages personnelles, aujourd’hui les entreprises ont envahi le web. C’est un peu la même chose qu’entre le début de Facebook et aujourd’hui

avatar Link1993 | 

@EricBM1

On est plus dans les années 2000... Les pages persos sont soit hébergées sur des sites de blogs dédié (WordPress la boîte, overblog...), soit auto-hébergé sur un Linux (ou autre), et lets encrypt fait le reste tout seul automatiquement et gratuitement.

Toutes les pages sont en HTTPS maintenant. Même les pages persos.

avatar bibi81 | 

Toutes les pages sont en HTTPS maintenant. Même les pages persos.

Ce qui pour une page perso est totalement inutile !

Le HTTPS n'a d'intérêt que pour échanger un identifiant et un mot de passe.

avatar Link1993 | 

@bibi81

Quand t’heberge ton WordPress, t’es justement content de l’avoir, pour te connecter et rédiger tes articles tranquillement et facilement sans avoir besoin de coder.

T’es content aussi quand tu héberge des petits programmes persos que tu à fais ou tu a besoin de te connecter là aussi !

Le web n’a jamais été aussi accessible que maintenant avec des outils simples à utiliser. La contrepartie, c’est qu’il fait saisir des identifiants, et donc passer au HTTPS.

avatar DareMac | 

@bibi81

Sauf que pour le référencement sur Google, si ton site n’est pas en https, il sera décalé.

avatar EricBM1 | 

@Link1993

Tu oublies qu’énormément de pages perso sont hébergées chez Free qui donne gratuitement 10 Go. Et chez free les pages en .free.fr sont en http sans le s.

avatar Link1993 | 

@EricBM1

T’as du PHP sur leurs serveur ?

avatar EricBM1 | 

@Link1993

Oui bien sûr

avatar EricBM1 | 

@Link1993

PHP et base de données MYSQL/POSTGRESQL

avatar Link1993 | 

@EricBM1

Ok, surpris.

Surpris du coup que Free ne propose pas le https en contrepartie. Y'a tout ce qu'il faut pour mettre un WordPress, que tout le monde utilise comme système pour faire "pages perso", s'ils ne passent pas par wix ou équivalent ^^

avatar EricBM1 | 

Et parler d’auto hébergement sur un serveur Linux et de lets encrypt pour juste une page perso... Là tu ne parles pas de monsieur et madame tout le monde

avatar v1nce29 | 

Monsieur et madame tout le monde vont passer par des hébergeurs de blog ou des outils wysywyg genre wix qui s'occupent de tout pour eux.

Si free ne propose pas encore le https il va falloir s'y mettre un jour.

avatar EricBM1 | 

Et si on veut protéger des pages ou des dossiers on peut le faire avec un .htaccess, même si sur les serveurs free la manière de faire est un peu particulière

avatar PiRMeZuR | 

Il y a aussi la galaxie de sites web Jekyll/Hugo/Gatsby qui sont très faciles à créer et mettre en ligne gratuitement sur Github Pages et consorts. Tout ça est HTTPS et c'est probablement la manière la plus simple de créer un site web perso aujourd'hui avec un CMS comme Forestry.

avatar iValFR | 

@PiRMeZuR

Exactement ! 🙏👍

avatar EricBM1 | 

@PiRMeZuR

Je ne connais pas. T’as combien de Go disponible ? Ça permet de créer tes pages comme tu veux ou t’es obligé de suivre un modèle ?

avatar R5555 | 

Faut pas déconner, les jekyll et cie ça reste un gros délire de nerds. Si tu fais pas de ligne de commande, c'est pas la peine, on est pas dans l'accessibilité d'un bête cms avec une interface d'admin.

avatar Eyquem | 

Je comprends pas trop cette manie actuelle du https. Ça ne sert absolument à rien, hormis lorsqu’on paye en ligne ou si on transmet un mot de passe, et pourtant, même un bête blog se doit d’être en https sinon on a le gros cadenas rouge et une alerte comme si on allait être hacké dès qu’on se connecte à un site en http...

Le https ne rend pas un site « sécurisé » en soi, ça ne fait que chiffrer la connexion entre le navigateur et le serveur. On peut donc toujours se faire avoir, mais en https c’est plus classe !

Ce serait pas juste pour que les navigateurs se donnent une image de « navigateur soucieux de votre sécurité en ligne blablabla » ?

avatar fornorst | 

@Eyquem

Ça empêche surtout certains gouvernements peu scrupuleux de la vie privée de voir ce que tu consultes : le contenu de ta requête et celui de la réponse du serveur sont cryptés. En ajoutant du DNS sécurisé, ça enlève beaucoup du pouvoir de censure et de contrôle à ces gouvernements. Ça revient à peu de choses prêt à ce que propose certains VPN mais de manière tout à fait gratuite (bien sûr si l’IP de ton resolveur de DNS est blacklistée, la censure reste active mais c’est la même chose avec un VPN :( )

Pour nous en Occident ça ne paraît rien mais de nombreux internautes dans des pays totalitaires peuvent remercier le support massif du HTTPS ;)

avatar Tao | 

“Si vous saisissez une adresse complète dans le navigateur web, ou si vous suivez un lien depuis une page web, Chrome respectera le protocole associé”

Mais du coup c’est dans quelles circonstances que HTTPS est le défaut ?

avatar v1nce29 | 

quand tu tapes www.machin.com dans l'url sans préciser le protocole

avatar Tao | 

@v1nce29

Ah oui c’est dommage ça s’applique dans très peu de cas

avatar oboulot | 

Brave le fait depuis ces début ( intégrations d’office de l’extension dans le navigateur et activable ou non directement dans les options )

CONNEXION UTILISATEUR