Google va renvoyer plus souvent vers des pages HTTPS

Google va renvoyer plus souvent vers des pages HTTPS

Pas de panique... mais commencez à vous inquiéter

Avatar de l'auteur

David Legrand

Publié dansInternet

18/12/2015
36
Google va renvoyer plus souvent vers des pages HTTPS

Google veut renvoyer de plus en plus d'utilisateurs vers des pages sécurisées. Ainsi, le moteur de recherche va commencer à prendre davantage en compte le fait qu'une version HTTPS d'une page existe. Mais cela sera pour le moment fait avec prudence.

Google continue de renforcer sa prise en compte des sites accessibles via HTTPS au sein de ses résultats. Après avoir indiqué que cela était pris en compte comme signal par son algorithme, de manière légère, on apprend qu'une nouvelle étape va être franchie. 

Si une version HTTPS d'une page existe, Google va parfois la prendre en compte

En effet, certains sites disposent d'une version HTTPS, mais ne proposent pas de redirection, pour plusieurs raisons. La première est en général que cela bloque l'accès à la publicité qui n'est pas chargée de manière sécurisée au sein de la page. Parfois, c'est qu'il reste encore des ressources chargées via HTTP (comme les images). La possibilité existe donc, mais n'est pas mise en avant.

Google indique de son côté qu'il va désormais commencer à indexer de plus en plus de contenu à travers les URL accessibles via HTTPS. Ainsi, lorsqu'une version sécurisée existera, elle sera utilisée en priorité. Néanmoins, cela se fera sous certaines conditions uniquement pour le moment. Il faut par exemple que la page ne contienne pas de dépendances non sécurisées, ne soit pas bloquée dans le fichier robots.txt, ne contienne pas de lien canonique vers la version HTTP et que le serveur dispose d'un certificat TLS valide.

Cela devrait donc encore concerner un nombre très limité de cas, même si paradoxalement certains vont peut-être désormais chercher à couper l'accès à la version HTTPS pour éviter de voir Google envoyer des utilisateurs en masse dessus alors que les espaces publicitaires ne sont pas affichés.

Tout HTTPS au sein de Google : ce n'est qu'une question de temps, mais rien n'est prêt

Quoi qu'il en soit, Google continue d'avancer dans une direction qui semble claire, bien qu'il tarde à établir un calendrier de manière publique : une prise en compte progressive de HTTPS par défaut. Il n'est donc sans doute qu'une question de temps avant que toutes les URL vers lesquelles Google renvoie soient une version sécurisée, quitte à ce que les sites décident ensuite de ce qu'il faut faire.

Viendra alors le temps de la prise en compte plus massive de la disponibilité d'une version HTTPS dans les résultats de recherche. Une décision à laquelle personne n'est encore préparé puisque le marché publicitaire est pour le moment plus préoccupé par ses questions de visibilité ou de blocage, que par une migration massive à des serveurs accessibles uniquement de manière sécurisée. Et lorsque ce sera fait, ce sont les éditeurs qui n'auront pas fait les bons choix qui paieront les pots cassés.

36
Avatar de l'auteur

Écrit par David Legrand

Tiens, en parlant de ça :

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 12

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 Soft 25

Sommaire de l'article

Introduction

Si une version HTTPS d'une page existe, Google va parfois la prendre en compte

Tout HTTPS au sein de Google : ce n'est qu'une question de temps, mais rien n'est prêt

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 12

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 25
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 18
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 15

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (36)


KaKi87 Abonné
Le 18/12/2015 à 08h02

Quelle est la différence entre un site en HTTP et un site en HTTPS avec des dépendances non sécurisées ?
Pour l’instant, vive HTTPS Everywhere.


John Shaft Abonné
Le 18/12/2015 à 08h04


un certificat TLS valide


C’est moins sale que certificat SSL, mais ce n’est toujours pas ça <img data-src=" />

Bon sinon, le tout HTTPS c’est très bien, mais il faut surtout que les bonnes pratiques de déploiement de TLS se répandent et surtout que les boites comme Google filent du pognon à OpenSSL (et LibreSSL). Parce que si OpenSSL est la passoire que l’on connaît c’est notamment à cause de son budget anémique. Alors que plein de sociétés se sont fait une fortune en l’exploitant.


Soltek
Le 18/12/2015 à 08h16

Ethttps://letsencrypt.org/ ?

Sinon j’allais demandé ce qui empêchait les pubs de s’afficher sur du https mais le dernier paragraphe y répond, c’est leur faute quoi, pas de soucis technique à faire, faut juste le faire, migrer.


anonyme_92fcfbdd6cc3f0397af3a985adab6b1b
Le 18/12/2015 à 08h22

Comment osent-ils nous imposer des versions sécurisées des sites? Inadmissible!
Maintenant il va falloir que j’enlève manuellement le s quand je vais sur un site. Ou alors utiliser qwant.

Je dis ça parce que dans mon entreprise, le firewall fait un message d’erreur quand le certificat n’est pas 100% valide sur un lien https, ce qui rend la navigation sur la plupart des sites sécurisés impossible.


John Shaft Abonné
Le 18/12/2015 à 08h25

Je ne sais pas encore quoi trop penser de Let’s Encrypt.

D’un côté ça permet un déploiement pas trop compliqué, de l’autre, ça me semble compliquer certaines techniques de sécurisation (HPKP et DANE. Bon, DANE n’est pas encore implémenté dans les navigateurs, m’enfin bon). De plus, les outils de base fournis n’ont pas l’air convaincant (bon, c’est une bêta, attendons un peu)

Du coup, j’attends de lire des retours de la bêta notamment sur ces points. (Y a des expériences en cours).

Note : je suis devenu un nazi avec TLS, ceci explique peut-être cela <img data-src=" />


Exception
Le 18/12/2015 à 08h29

NXI a réglé le problème en redirigeant le https vers le http.
Eh oui l’argent d’Adsense avant la sécurité des visiteurs…


Soltek
Le 18/12/2015 à 08h33

C’est vrai que poster ton commentaire en http c’est vachement dangereux oulala.
Par contre la gestion du compte en https on s’en fout ouais.

Et sinon en abonné on a tout le site en https nous :p


CryoGen Abonné
Le 18/12/2015 à 08h33






Exception a écrit :

NXI a réglé le problème en redirigeant le https vers le http.
Eh oui l’argent d’Adsense avant la sécurité des visiteurs…



Pas d’argent, pas de site, plus de visiteur… je sais qu’on est :dredi: mais bon…



spidy Abonné
Le 18/12/2015 à 08h42

ce qui m’embête c’est la duré limitée des certificats, 90 jours, même si le système de renouvellement est rapide apparemment.

sinon, comment est faite la vérification de l’appartenance au nom de domaine ? n’importe qui peut générer des certificats pour le domaine google.fr ?


John Shaft Abonné
Le 18/12/2015 à 08h42

Oui enfin avec un certificat CloudFlare qui est valide pour une dizaine de sites. (C’est un peu sale)


GentooUser
Le 18/12/2015 à 08h46






spidy a écrit :


La vérification ce fait de la même façon que pour tous les certificats à pas cher : présence d’un fichier sur le serveur web du domaine.



John Shaft Abonné
Le 18/12/2015 à 08h47

Oui, c’est la durée de validité du certificat qui est gênante pour DANE et HPKP (où tu épingles la clé publique respectivement dans le DNS (avec signature par DNSSEC, c’est encore plus sympa <img data-src=" />) et dans un header envoyé par le serveur.)

Avec les AC “standards” oui tout le monde peut signer un certificat google.com provenant de partout sauf de chez Google (hello DigiNotar <img data-src=" />)

Il y a des mécanismes de vérifications plus poussés sur LE. Ceci dit, ne l’ayant pas encore testé (le testerai-je ? <img data-src=" />), j’ai pas trop suivi le truc.


John Shaft Abonné
Le 18/12/2015 à 08h50

Pas nécessairement de cette manière. Gandi propose aussi de publier un enregistrement dans le DNS (pour peu que la zone soit signée avec DNSSEC, ça peut être intéressant) ou tout simplement par un mail lié au domaine (admin de mémoire)


GentooUser
Le 18/12/2015 à 08h54

Je sait, je valide mes domaines par mails perso, mais c’est une des méthodes généralement proposée.


David_L Abonné
Le 18/12/2015 à 09h21

Disons qu’on propose un login https depuis un bail et du full https + http2 au moins aux abonnés pour le moment. Donc, oui, tout est perfectible…. Mais au moins on fait le job. T’en connais beaucoup d’autres dans le secteur ? ;)


David_L Abonné
Le 18/12/2015 à 09h22

Sauf qu’on utilise pas Adsense (qui propose déjà du https), qu’on s’est déjà expliqué sur le sujet et qu’on propose déjà du full HTTPS au moins aux abonnés. Donc pour la leçon de morale, tu repasseras ;) (voir ma réponse précédente sindon)&nbsp;


spidy Abonné
Le 18/12/2015 à 09h24

j’ai testé les certificats chez Gandi (en prenant un domaine pas cher en promo vu qu’ils filent le certificat gratos avec) et effectivement je l’ai fait par l’enregistrement DNS.


David_L Abonné
Le 18/12/2015 à 09h26

Tu parles de quoi pour les outils de base ? Parce que pour le coup le déploiement est assez simple (bon surtout si c’est pour Apache quoi)


js2082
Le 18/12/2015 à 09h28

Et on parle des sites avec des certificats auto-signés?

Et le Https, c’est utile mais pas pour tous les sites: un simple blog ou un simple site d’info (sans membres inscrits) n’a aucun intérêt au https.

Franchement, c’est un peu con de vouloir généraliser tout ça alors qu’une grosse partie des sites n’en ont pas besoin.

&nbsp;


John Shaft Abonné
Le 18/12/2015 à 09h29

Non c’est sur :)

Par contre, attention pour h2, il y a des conditions particulières pour TLS. Enfin je supposes que PA connait par cœur le RFC 7540 maintenant <img data-src=" />

(Parce que oui, je vous ait grillé la politesse sur ce point <img data-src=" /> - bon c’est facile j’ai 1 ou 2 visiteurs moi y compris <img data-src=" />)


John Shaft Abonné
Le 18/12/2015 à 09h30

le script fourni par Let’s Encrypt.


Jungledede Abonné
Le 18/12/2015 à 09h32

trop de gens sur le canard? (DuckDuckGo) il mettent en place des fonction similaire (la vie privée en moins) pour éviter la fuite&nbsp; des utilisateur? <img data-src=" />


WereWindle
Le 18/12/2015 à 09h49






Jungledede a écrit :

trop de gens sur le canard? (DuckDuckGo) il mettent en place des fonction similaire (la vie privée en moins) pour éviter la fuite  des utilisateur? <img data-src=" />


je suis certain que Larry et Sergueï se réveillent en sueurs toutes les nuits suite aux cauchemars que suscite la menace que représente DuckDuckGo <img data-src=" />



Jarodd Abonné
Le 18/12/2015 à 10h26






David_L a écrit :

Disons qu’on propose un login https depuis un bail et du full https + http2 au moins aux abonnés pour le moment.


Je suis abonné depuis le début et je n’avais jamais vérifié, je viens de voir que j’étais en HTTP en étant indentifié <img data-src=" /> Pourquoi ne pas mettre le HTTPS par défaut, ça serait plus dans l’intérêt de l’abonné non ? Et lui laisser le choix de le décocher s’il le souhaite ?



anonyme_92fcfbdd6cc3f0397af3a985adab6b1b
Le 18/12/2015 à 10h35






WereWindle a écrit :

je suis certain que Larry et Sergueï se réveillent en sueurs toutes les nuits suite aux cauchemars que suscite la menace que représente DuckDuckGo <img data-src=" />


Ils peuvent toujours s’organiser un Duck Hunt.



WereWindle
Le 18/12/2015 à 10h37






gokudomatic a écrit :

Ils peuvent toujours s’organiser un Duck Hunt.


trop de rage générée par le chien… leur assurance santé a dit non <img data-src=" />



John Shaft Abonné
Le 18/12/2015 à 10h43

Le coin-coin ne fait que récupéré des résultats de Bing. C’est possible que ce soit MS qui change ses conditions


David_L Abonné
Le 18/12/2015 à 14h55

Parce que ça pose des soucis à certains du coup chacun est libre de l’activer ou pas.


Jungledede Abonné
Le 18/12/2015 à 16h36

https://duck.co/help/results/sources

en fait il viens piocher un peut partout, de mémoire c’était un autre moteur de recherche que bing, mais bon, ça reste pour des recherches techniques il est pas encore au top ^^

par contre de mois en mois il s’améliore et ça fait plaisir, on à truc&nbsp; qui propose plein de fonction sympa quand on connait la syntaxe…
En terme de présentation des résultat il deviens un moteur de recherche sérieux. Il n’a pas encore un niveau à la Google, mais ça reste une très bonne alternative pour le quotidien


Romaindu83
Le 18/12/2015 à 17h50

Mais le HTTPS ne devrait-il pas être la norme depuis longtemps, puisque c’est plus sûr ? En fait, techniquement, qu’est-ce qui coince ? Je ne suis pas un newbie en informatique, mais je ne suis pas non plus une encyclopédie.


Fuinril
Le 18/12/2015 à 18h20

Le https n’a rien de sûr, ça empêche - théoriquement - le man in the middle qui suce tes données.


tmtisfree
Le 18/12/2015 à 18h28

Ctroporible : encore une atteinte à la neutralité du Net par l’ogre Google. Mais où sont les pom-pom girls pour dénoncer cette priorisation pas très compatible ?


Flykz
Le 18/12/2015 à 23h19






gokudomatic a écrit :

Comment osent-ils nous imposer des versions sécurisées des sites? Inadmissible!
Maintenant il va falloir que j’enlève manuellement le s quand je vais sur un site. Ou alors utiliser qwant.

Je dis ça parce que dans mon entreprise, le firewall fait un message d’erreur quand le certificat n’est pas 100% valide sur un lien https, ce qui rend la navigation sur la plupart des sites sécurisés impossible.


http://www.w3.org/TR/service-workers/

&nbsp; &nbsp; &nbsp; &gt; https. Et c’est mieux comme ça.



JCDentonMale
Le 21/12/2015 à 08h03

Change d’entreprise ou deviens responsable informatique :-)


JCDentonMale
Le 21/12/2015 à 08h07

Perso j’utilise Let’s Encrypt depuis le début et je trouve ça pas mal pour des petits sites.
Après c’est un peu lourdingue de ne pas pouvoir gérer les wildcard.
C’est aussi chiant de devoir faire gaffe à l’ordre dans lequel on place les domaines pour générer les certificats, sinon on se retrouve avec /etc/letsencrypt/live/sousdomaine.domaine.com/ comme chemin de son certificat au lieu de /etc/letsencrypt/live/domaine.com/
C’est enfin chiant de devoir stopper Apache lors de la génération des certificats.
Mais bon pour le prix, on va pas se plaindre !