Vendredi 28 octobre 2016 — Dernier ajout dimanche 19 février 2017

Faut-il passer votre site en HTTPS ?

Avantages et inconvénients du passage d’un site en HTTPS

HTTPS, quezaquo ?

Le HTTPS et un standard Internet destiné à sécuriser la transmission des informations via une page web.

Avantages du HTTPS

En principe, quand une page est en HTTPS :

  • authenticité : son contenu n’a pas pu être modifié par un tiers s’intercalant entre vous et le serveur web [1]
  • confidentialité : si vous remplissez un formulaire, les informations envoyées sont chiffrées et ne peuvent donc pas être interceptées par un tiers

Inconvénients

Les inconvénients sont beaucoup plus subtils parce qu’ils ne concernent pas directement le visiteur d’un site, mais plutôt l’essence même du web qui est de tisser une toile entre les sites en faisant des liens.

En effet, cette toile va toujours exister, mais HTTPS va la rendre invisible.

Il faut savoir que la norme HTTP inclue le transfert d’une information au site de destination quand un internaute clique sur un lien. Cette information c’est le HTTP Referer. Cela permet au site de destination de voir dans ses stats qu’il a été visité par tel ou tel site.

Mais en HTTPS, le HTTP Referer n’est pas transmis [2]

Conséquence ? Petit à petit, la toile va devenir invisible. Il ne sera plus possible de remercier pour un lien puisqu’on ne les verra plus dans ses outils de statistiques.

Pire, si vous avez un partenaire à qui vous voudriez montrer que votre site lui apporte du trafic, vous ne pourrez plus le faire [3].

De plus, cela va renforcer le pouvoir des GAFA car eux disposent de moyens de traquer les internautes et de savoir sur quel site ils sont passés et dans quel ordre.

Un juste milieu ?

Une solution pour bénéficier des avantages sans les inconvénients serait de pouvoir enrichir le protocole HTTPS pour pouvoir transmettre quand même le HTTP Referer.

Messieurs de Mozilla/Letsencrypt, c’est à vous de jouer !

MàJ février 2017 : l’ami Nicolas Hoffmann a écrit un super article sur le sujet du HTTPS où l’on découvre qu’en fait, on peut décider de passer le refefer :

  • En PHP : header('Referrer-Policy: unsafe-url');
  • Dans le HTML : <meta name="referrer" content="unsafe-url">

⇒ Ça rend d’autant plus responsables les GAFA !

Les 3 niveaux de certificats SSL

Pour compliquer un peu les choses, sachez qu’il y a 3 niveaux de certificats SSL :

  • DV = Domain validation : c’est ce que fournit Let’s Encrypt, une simple validation que le domaine existe et que vous en êtes propriétaire
    ⇒ Seulement un cadenas vert
  • OV = Organization Validation : nécessite de prouver via justificatif que l’organisme propriétaire du nom de domaine existe
    ⇒ Payant, mais seulement un cadenas vert aussi
  • EV = Extended Validation, idem OV + vérification de l’identité du responsable de l’organisation
    ⇒ Le nom de l’entreprise est affiché à côté du cadenas vert !
    ⇒ Souhaitable si vous faites de la vente en ligne

Pour approfondir, un excellent article de nos confrère d’Axe.net sur leur blog : Différences entre les certificats SSL (DV, OV et EV) pour passer au https

AMHA, il est urgent d’attendre. Ne passez en HTTPS que si les problématique de sécurité et confidentialité sont majeures pour vous.

De notre côté, pyrat.net est passé au HTTPS ! parce qu’il est de notre devoir d’expérimenter pour mieux conseiller nos clients.

Voir aussi : Google, HTTPS et HTTP_Referer sont dans un bateau

[1Par exemple, un tiers qui ferait apparaître de la publicité sur la page

[2Ça fait partie de la confidentialité.

[3Sauf à monter une machinerie rajoutant une page intermédiaire en HTTP pur faisant la redirection…

Vos réactions