Google veut renvoyer de plus en plus d'utilisateurs vers des pages sécurisées. Ainsi, le moteur de recherche va commencer à prendre davantage en compte le fait qu'une version HTTPS d'une page existe. Mais cela sera pour le moment fait avec prudence.
Google continue de renforcer sa prise en compte des sites accessibles via HTTPS au sein de ses résultats. Après avoir indiqué que cela était pris en compte comme signal par son algorithme, de manière légère, on apprend qu'une nouvelle étape va être franchie.
Si une version HTTPS d'une page existe, Google va parfois la prendre en compte
En effet, certains sites disposent d'une version HTTPS, mais ne proposent pas de redirection, pour plusieurs raisons. La première est en général que cela bloque l'accès à la publicité qui n'est pas chargée de manière sécurisée au sein de la page. Parfois, c'est qu'il reste encore des ressources chargées via HTTP (comme les images). La possibilité existe donc, mais n'est pas mise en avant.
Google indique de son côté qu'il va désormais commencer à indexer de plus en plus de contenu à travers les URL accessibles via HTTPS. Ainsi, lorsqu'une version sécurisée existera, elle sera utilisée en priorité. Néanmoins, cela se fera sous certaines conditions uniquement pour le moment. Il faut par exemple que la page ne contienne pas de dépendances non sécurisées, ne soit pas bloquée dans le fichier robots.txt, ne contienne pas de lien canonique vers la version HTTP et que le serveur dispose d'un certificat TLS valide.
Cela devrait donc encore concerner un nombre très limité de cas, même si paradoxalement certains vont peut-être désormais chercher à couper l'accès à la version HTTPS pour éviter de voir Google envoyer des utilisateurs en masse dessus alors que les espaces publicitaires ne sont pas affichés.
Tout HTTPS au sein de Google : ce n'est qu'une question de temps, mais rien n'est prêt
Quoi qu'il en soit, Google continue d'avancer dans une direction qui semble claire, bien qu'il tarde à établir un calendrier de manière publique : une prise en compte progressive de HTTPS par défaut. Il n'est donc sans doute qu'une question de temps avant que toutes les URL vers lesquelles Google renvoie soient une version sécurisée, quitte à ce que les sites décident ensuite de ce qu'il faut faire.
Viendra alors le temps de la prise en compte plus massive de la disponibilité d'une version HTTPS dans les résultats de recherche. Une décision à laquelle personne n'est encore préparé puisque le marché publicitaire est pour le moment plus préoccupé par ses questions de visibilité ou de blocage, que par une migration massive à des serveurs accessibles uniquement de manière sécurisée. Et lorsque ce sera fait, ce sont les éditeurs qui n'auront pas fait les bons choix qui paieront les pots cassés.
Commentaires (36)
Quelle est la différence entre un site en HTTP et un site en HTTPS avec des dépendances non sécurisées ?
Pour l’instant, vive HTTPS Everywhere.
un certificat TLS valide
C’est moins sale que certificat SSL, mais ce n’est toujours pas ça
Bon sinon, le tout HTTPS c’est très bien, mais il faut surtout que les bonnes pratiques de déploiement de TLS se répandent et surtout que les boites comme Google filent du pognon à OpenSSL (et LibreSSL). Parce que si OpenSSL est la passoire que l’on connaît c’est notamment à cause de son budget anémique. Alors que plein de sociétés se sont fait une fortune en l’exploitant.
Ethttps://letsencrypt.org/ ?
Sinon j’allais demandé ce qui empêchait les pubs de s’afficher sur du https mais le dernier paragraphe y répond, c’est leur faute quoi, pas de soucis technique à faire, faut juste le faire, migrer.
Comment osent-ils nous imposer des versions sécurisées des sites? Inadmissible!
Maintenant il va falloir que j’enlève manuellement le s quand je vais sur un site. Ou alors utiliser qwant.
Je dis ça parce que dans mon entreprise, le firewall fait un message d’erreur quand le certificat n’est pas 100% valide sur un lien https, ce qui rend la navigation sur la plupart des sites sécurisés impossible.
Je ne sais pas encore quoi trop penser de Let’s Encrypt.
" />
D’un côté ça permet un déploiement pas trop compliqué, de l’autre, ça me semble compliquer certaines techniques de sécurisation (HPKP et DANE. Bon, DANE n’est pas encore implémenté dans les navigateurs, m’enfin bon). De plus, les outils de base fournis n’ont pas l’air convaincant (bon, c’est une bêta, attendons un peu)
Du coup, j’attends de lire des retours de la bêta notamment sur ces points. (Y a des expériences en cours).
Note : je suis devenu un nazi avec TLS, ceci explique peut-être cela
NXI a réglé le problème en redirigeant le https vers le http.
Eh oui l’argent d’Adsense avant la sécurité des visiteurs…
C’est vrai que poster ton commentaire en http c’est vachement dangereux oulala.
Par contre la gestion du compte en https on s’en fout ouais.
Et sinon en abonné on a tout le site en https nous :p
ce qui m’embête c’est la duré limitée des certificats, 90 jours, même si le système de renouvellement est rapide apparemment.
sinon, comment est faite la vérification de l’appartenance au nom de domaine ? n’importe qui peut générer des certificats pour le domaine google.fr ?
Oui enfin avec un certificat CloudFlare qui est valide pour une dizaine de sites. (C’est un peu sale)
Oui, c’est la durée de validité du certificat qui est gênante pour DANE et HPKP (où tu épingles la clé publique respectivement dans le DNS (avec signature par DNSSEC, c’est encore plus sympa
" />) et dans un header envoyé par le serveur.)
" />)
" />), j’ai pas trop suivi le truc.
Avec les AC “standards” oui tout le monde peut signer un certificat google.com provenant de partout sauf de chez Google (hello DigiNotar
Il y a des mécanismes de vérifications plus poussés sur LE. Ceci dit, ne l’ayant pas encore testé (le testerai-je ?
Pas nécessairement de cette manière. Gandi propose aussi de publier un enregistrement dans le DNS (pour peu que la zone soit signée avec DNSSEC, ça peut être intéressant) ou tout simplement par un mail lié au domaine (admin de mémoire)
Je sait, je valide mes domaines par mails perso, mais c’est une des méthodes généralement proposée.
Disons qu’on propose un login https depuis un bail et du full https + http2 au moins aux abonnés pour le moment. Donc, oui, tout est perfectible…. Mais au moins on fait le job. T’en connais beaucoup d’autres dans le secteur ? ;)
Sauf qu’on utilise pas Adsense (qui propose déjà du https), qu’on s’est déjà expliqué sur le sujet et qu’on propose déjà du full HTTPS au moins aux abonnés. Donc pour la leçon de morale, tu repasseras ;) (voir ma réponse précédente sindon)
j’ai testé les certificats chez Gandi (en prenant un domaine pas cher en promo vu qu’ils filent le certificat gratos avec) et effectivement je l’ai fait par l’enregistrement DNS.
Tu parles de quoi pour les outils de base ? Parce que pour le coup le déploiement est assez simple (bon surtout si c’est pour Apache quoi)
Et on parle des sites avec des certificats auto-signés?
Et le Https, c’est utile mais pas pour tous les sites: un simple blog ou un simple site d’info (sans membres inscrits) n’a aucun intérêt au https.
Franchement, c’est un peu con de vouloir généraliser tout ça alors qu’une grosse partie des sites n’en ont pas besoin.
Non c’est sur :)
" />
" /> - bon c’est facile j’ai 1 ou 2 visiteurs moi y compris 
" />)
Par contre, attention pour h2, il y a des conditions particulières pour TLS. Enfin je supposes que PA connait par cœur le RFC 7540 maintenant
(Parce que oui, je vous ait grillé la politesse sur ce point
le script fourni par Let’s Encrypt.
trop de gens sur le canard? (DuckDuckGo) il mettent en place des fonction similaire (la vie privée en moins) pour éviter la fuite des utilisateur?
" />
Le coin-coin ne fait que récupéré des résultats de Bing. C’est possible que ce soit MS qui change ses conditions
Parce que ça pose des soucis à certains du coup chacun est libre de l’activer ou pas.
https://duck.co/help/results/sources
en fait il viens piocher un peut partout, de mémoire c’était un autre moteur de recherche que bing, mais bon, ça reste pour des recherches techniques il est pas encore au top ^^
par contre de mois en mois il s’améliore et ça fait plaisir, on à truc qui propose plein de fonction sympa quand on connait la syntaxe…
En terme de présentation des résultat il deviens un moteur de recherche sérieux. Il n’a pas encore un niveau à la Google, mais ça reste une très bonne alternative pour le quotidien
Mais le HTTPS ne devrait-il pas être la norme depuis longtemps, puisque c’est plus sûr ? En fait, techniquement, qu’est-ce qui coince ? Je ne suis pas un newbie en informatique, mais je ne suis pas non plus une encyclopédie.
Le https n’a rien de sûr, ça empêche - théoriquement - le man in the middle qui suce tes données.
Ctroporible : encore une atteinte à la neutralité du Net par l’ogre Google. Mais où sont les pom-pom girls pour dénoncer cette priorisation pas très compatible ?
Change d’entreprise ou deviens responsable informatique :-)
Perso j’utilise Let’s Encrypt depuis le début et je trouve ça pas mal pour des petits sites.
Après c’est un peu lourdingue de ne pas pouvoir gérer les wildcard.
C’est aussi chiant de devoir faire gaffe à l’ordre dans lequel on place les domaines pour générer les certificats, sinon on se retrouve avec /etc/letsencrypt/live/sousdomaine.domaine.com/ comme chemin de son certificat au lieu de /etc/letsencrypt/live/domaine.com/
C’est enfin chiant de devoir stopper Apache lors de la génération des certificats.
Mais bon pour le prix, on va pas se plaindre !