Dans sa volonté de renforcer la sécurisation du web, Google vient d'indiquer qu'il prenait une décision importante : à compter d'aujourd'hui, le fait de disposer d'un site en HTTPS sera vu comme un signal positif pour le référencement. De quoi inciter tout le monde à sauter le pas ? C'est loin d'être si simple.
S'il est courant de voir les géants du web afficher des sites entièrement en HTTPS depuis quelques années, avec le fameux petit cadenas, c'est encore loin d'être une généralité. Pour rappel, derrière ce symbole se cache le fait qu'un site assure le chiffrement de la connexion entre votre machine et ses serveurs via SSL/TLS à travers le protocole HTTP. Cela empêche donc, en théorie, d'intercepter et de lire les données échangées, ce qui en fait une pratique à étendre le plus possible, surtout pour ce qui est des informations/messages sensibles et autres procédures de connexion.
Le chiffrement des échanges : la majorité des sites s'en passent, Google veut agir
Mais voilà : autant être franc, personne ne sécurise rien, ou presque. S'il est désormais systématique de voir une telle procédure mise en place par les banques, ou les sites de vente en ligne au moment d'un achat, il est tout aussi habituel de ne pas y avoir droit le reste du temps. Vous vous connectez à un site d'information pour accéder à des fonctionnalités supplémentaires, vous échangez des messages privés sur un forum, etc. ? Tous ces échanges seront le plus souvent en clair et pourront donc être lus s'ils sont interceptés, ce qui est assez aisé si vous êtes sur un Wi-Fi public non sécurisé par exemple. Ainsi, si le site auquel vous vous connectez ne protège pas votre mot de passe avant de l'envoyer au serveur, il est transmis et peut donc être intercepté.
Partant de ce désolant constat, Google a décidé de commencer à intervenir, après avoir prévenu de ses intentions lors de la Google I/O en juin dernier. Mais cela se fera en douceur. Ainsi, dans un billet de blog, la société indique qu'elle considérera désormais comme positif le fait qu'un site soit accessible en HTTPS. Cela n'intervient pour le moment que de manière marginale, 1% de ses résultats ayant été concernés lors de ses tests outre-Atlantique. Mais il est déjà prévu que ce critère puisse prendre de l'ampleur avec le temps.
Pour faciliter les choses, les équipes du géant du web vont mettre en place des documentations afin de faciliter la vie des responsables techniques qui devront effectuer cette transition. Car cela va sans doute être douloureux, pour des tas de raisons qui vont commencer à émerger une fois que l'annonce de cette décision sera digérée.
Passser un site en HTTPS : plus facile à dire qu'à faire
Pour le moment, seuls quelques conseils sont donnés comme de bien choisir le type de certificat, s'assurer d'avoir une clef d'au moins 2048 bits, utiliser des URL relatives, ne pas bloquer l'accès au site HTTPS via le fichier robots.txt, etc. Mais une fois ceci dit, il reste encore le plus gros. Car s'il est assuré que les sociétés qui émettent des certificats se frottent les mains, seulement quelques mois après la faille Heartbleed qui leur avait déjà profité, le coût pour une entreprise reste mesuré.
En effet, qu'elle se limite au certificat de base ou qu'elle cherche au passage à assurer ses transactions et à disposer d'un certificat fort qui lui assure la présence de la fameuse « barre verte » le coût sera en général compris entre entre 100 et 400 euros par an et par domaine à protéger. Les ressources consommées sont aussi plus élevées, mais à l'heure actuelle, l'impact n'est plus très important mais pourra prendre de l'ampleur si vous avez énormément d'utilisateurs.
Le site de Mozilla affiche la fameuse barre verte
Le référencement, la publicité, les contenus : tout est à réadapter
Une fois cette barrière franchie, il en reste de nombreuses autres pour les éditeurs de sites. Déjà, il leur faut assurer le déplacement de leur URL, ce qui peut être risqué en termes d'indexation. Google diffuse d'ailleurs un guide par ici, renforcé par un second dédié à la sécurisation des sites accessible par là. Ensuite, il leur faut s'assurer que tous les contenus qu'ils hébergent sont en HTTPS : leurs images, les contenus intégrés comme les vidéos YouTube, etc. Sans quoi, une alerte sera indiquée à l'utilisateur qui pourra ne pas se sentir en sécurité.
Et c'est là qu'intervient l'un des plus gros freins : les régies publicitaires et les agences de leurs clients. Car n'étant pas toujours à la pointe, ces dernières ont le plus souvent tendance à proposer des campagnes qui ne s'intègrent pas à un site sécurisé. Autant dire que pour certains, le risque de voir une partie de leurs espaces ne pas s'afficher pour des questions de chiffrement d'une page web ne contenant que du texte n'est pas vraiment la priorité.
Tout chiffrer ou ne rien chiffrer : telle n'est pas la question
C'est d'ailleurs tout le paradoxe de l'annonce de Google. S'il est sain de vouloir étendre l'utilisation du chiffrement, il serait surtout utile de se focaliser sur les pages et les services qui le nécessitent vraiment. Hors, quel besoin de chiffrer le contenu d'une page publique lorsqu'un utilisateur n'est pas connecté par exemple ?
Reste à voir comment cette décision sera accueillie dans les jours à venir. Il y a fort à parier qu'au retour des vacances, les services techniques vont avoir fort à faire avec les services du marketing et du SEO qui vont pousser à la migration vers HTTPS pour des questions de référencement, sans forcément comprendre toutes les implications que cela peut engendrer. Espérons néanmoins que cela poussera les intermédiaires tels que les régies et agences publicitaires, ainsi que les autres fournisseurs de services intégrables, à se mettre à la page.
Commentaires (101)
#1
Je me vois pas payer un certificat SSL pour mon petit site photos pour être mieux référencé chez Google
" />
Bon après il y a pas trop d’intérêt pour un site ou il y a pas de connexion/compte ou autre.
#2
#3
Ouai c’est bien gentil le https mais perso on a arrêté de le faire.
" />
Depuis une version relativement récente de Mozilla Firefox … celui-ci bloque d’origine tous les contenus qui ne sont pas en https dans les sites en https.
Dans la pratique, cela voulait dire qu’on se privait des régies publicitaires, des vidéos youtube, dailymotion, etc etc …
#4
#5
Vivement que les navigateurs implémentent DANE (enregistrement TLSA dans le DNS, sécurisés par DNSSEC, qui disent que tel ou tel autorité à le droit de signer le certificat du site).
C’est gratuit. Y a rien à payer.
Ah mais oui, c’est sûr que y a plein de gens que ça n’intéresse pas la sécurité gratuite…
#6
Je suis désolé, mais je ne vois pas l’intérêt du https pour wikipedia, lemonde ou NXI (hors mode connecté)…
#7
#8
#9
#10
haha dans la FAQ d’Adsense:
" />
Le code d’annonce compatible avec SSL est conçu pour les éditeurs qui disposent déjà de sites HTTPS. Nous ne recommandons pas aux éditeurs qui possèdent des sites HTTP de les convertir en sites HTTPS, à moins qu’ils n’aient une bonne raison de le faire. En tant qu’éditeur, vous n’avez donc probablement pas besoin de convertir votre site en HTTPS, sauf si vous devez protéger des données importantes telles que des informations relatives à des cartes de paiement, des mots de passe, des dossiers médicaux, etc.
Source
#11
#12
#13
#14
#15
#16
#17
Les espace ayant besoin de sécurité utilisent déjà SSL.
Maintenant, cramer de l’IP et gaspiller de l’argent en certificat sur chaque site est un non-sens complet.
#18
#19
#20
#21
#22
#23
C’est quand même une pente étrange dans laquelle s’engage Google. Je vois pas en quoi le chiffrement du site devrait influer sur la pertinence des résultats d’une recherche…
C’est donc une décision unanime sur ce qui est bien ou pas pour la sécurité des autres que s’octroie google.
Je vois pas non plus au nom de quoi Google se permet de sanctionner les sites qui ne sont pas en HTTPS parce que ce n’est pas une bonne habitude sécuritaire selon eux.
#24
#25
#26
#27
#28
#29
#30
Je n’ai aucun intérêt à migrer mon site personnel en HTTPS.
Je l’ai fait pour mon serveur Kimsufi pour mes trucs persos (TTRSS, etc), mais un site statique n’a pas besoin de l’être.
Donc Gogole, je me contrefous de ton opinion et de ton dictat.
#31
#32
Les Web Agencies qui font des sites événementiels à la pelle vont dépenser encore plus en Référencement… Google se frotte déjà les mains :p
Les WebAgencies que j’ai côtoyé n’ont pas envie de s’embêter avec un truc aussi compliqué qu’imprononçable: la sécurité.
#33
#34
#35
Sinon, il y a StartSSL, qui est gratuit.
#36
Je suis effaré de voir le nombre de personne qui ne voit pas l’intérêt du HTTPS. Le HTTPS n’a aucun inconvénient (la puissance CPU n’est plus visible de nos jours) et pour le coup, tu peux soit utiliser des certificats gratuits, soit générer le tien (c’est toujours mieux que rien). Bref, aucun inconvénient et des multiples avantages. Si on peut rendre les communications un peu plus privée, pourquoi y renoncer ?
#37
Et comme par hasard, tous les sites et services de gogol sont https.
" />
Et le temps que les concurrents passent en https, les services gogol s’afficheront en premier choix dans le moteur de recherche, ce qui engendrera une perte de revenus pour la concurrence.
Accessoirement, avec le surcout généré par la transformation et la perte de revenus, une certaine partie de la concurrence mettra la clé sous la porte…
Du genre, on voit pas venir la couille…
Quand je me disais que gogol c’était des enculés, ça se confirme de plus en plus j’ai l’impression.
#38
#39
#40
#41
#42
Je suis également effaré de voir le peu d’intérêt de HTTPS. Ça ne coute rien (10€/an pour un nom de domaine), et c’est facile d’utilisation. Après, la pub….
#43
#44
#45
ce sont les vendeurs de certificats qui vont se regaler…
" />
#46
Dans le blog de google il préconise :
Use 2048-bit key certificates
Ceux qui vendent des certificats ils mettent 128⁄256 bits je suis perdu
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
>Et là, 150$ par an pour améliorer le référencement
" />
>par rapport aux concurrents, c’est une affaire.
Google t’oblige à cracher du pognon, et c’est une affaire …
Ils sont vraiment redoutables !!!
#57
#58
#59
#60
#61
#62
A quand NXi en HTTPS ?
" />
#63
#64
200 sites avec un certificats chacun = mon rein gauche et le droit l’année prochaine.
" />
#65
Ils font chier Google, sérieux … leur boulot c’est de trouver le contenu qui correspond aux recherches, c’est pas leur problème de savoir si les gens ont envie d’accéder à ce contenu de manière sécurisée ou pas. Y’en à marre de cette façon de dicter aux gens comment ils doivent se comporter (bordel).
#66
Et Google continue à faire son petit chefaillon avec ses mesures unilatérales et franchement pas indispensables. Cela va donner un faux sentiment de sécurité à beaucoup de gens qui, lorsqu’ils voient un petit cadenas dans la barre d’adresse, se sentent à l’abri de tout, en “tout chiffré”. Beaucoup ne font pas la différence entre le chiffrage lors du transit de données et le chiffrage au stockage (ce qui n’est évidemment pas le cas).
De plus, il est ridicule de pénaliser un site simplement pour la technologie qu’il utilise : ils nous avaient déjà fait le coup avec Flash, voilà qu’ils rempilent avec HTTP. Ainsi, ils partent du principe que la technologie employée par un site est fonction de sa pertinence, ce qui est bien evidemment faux.
Bref, ils vont encore favoriser les grosses plateformes qui elles sont en HTTPS, favorisant la centralisation, en enterrant un peu plus le petit site perso (ce qu’il en reste en tout cas) qui n’a ni les moyens, ni l’envie de passer au HTTPS et se retrouvera encore plus bas dans les résultats de recherche.
#67
#68
#69
#70
#71
#72
#73
#74
#75
Pour faciliter les choses, les équipes du géant du web vont mettre en place des documentations afin de faciliter la vie des responsables techniques qui devront effectuer cette transition.
Personne ne fait le parallèle avec l’annonce de Google de créer une nouvelle bibliothèque SSL ?
Je suis prêt à parier que leur documentation sera à propos de leur propre solution, ensuite il font un peu de marketing (on a tant de site qui utilisent notre bibliothèque SSL) pour inciter les gens de migrer de openssl vers leur solution (une fois qu’il l’auront rendu générique)…
Intelligent ?
#76
#77
#78
#79
#80
#81
#82
#83
Je suis partagé sur le principe.
D’un côté je suis absolument pour que le plus de site possible passent au https pour tout ce que ça apporte en terme de sécurité, de protection de la vie privée, etc…
D’un autre côté, contrairement à ce que je lis ici depuis le début des commentaires, il n’y a pas de certificats SSL gratuits valables.
Il y a StartSSL qui fournit un certificat a moitié moisi, dont on ne peux choisir la force, valable uniquement pour un seul domaine (et donc non valable pour les sous-domaines). Ce n’est pas vraiment un bon plan a part pour les gens qui ont effectivement un seul petit site à passer au https.
Il y a également CACert, qui est communautaire et permet de faire a peu près tous les certificats que vous voulez, mais ils ne sont pas reconnus par les browsers/OS, ou très rarement.
Donc en fait il n’y a que l’offre très très limitée de StartSSL. Or si vous n’entrez pas dans les clous, genre moi qui ai une bonne dizaine de sous-domaines et qui en crée régulièrement d’autres, c’est le côté administratif qui devient lourd, du fait qu’il n’y a pas de certificat wildcard gratuit.
Le côté pervers de ça c’est qu’on peut parier que les gens feront des certificats self-signed, c’est à dire sans CA. C’est moins pire que rien, mais ca fait tomber la moitié des intérêts de SSL et surtout l’utilisateur va s’habituer à “ajouter une exception” puisqu’il tombera sans cesses sur des sites au certificat self-signed.
Résultat, ca réduira a néant les intérêts de SSL, l’utilisateur ne faisant pas la différence entre un certificat valide et approuvé par une CA reconnue, et un certificat pourri, self-signed, qu’un hacker aura injecté pour faire son MitM ou autre fourberie du genre.
#84
#85
Aujourd’hui on ne crypte que par vrai necessité : cartes bleues, mot de passe etc… Donc tous les flux cryptés font passer des informations qui ont de la valeur. C’est facile à cibler. Mais si tous les flux sont cryptés, même les moins interressants, on ne peut pas faire le tri et là ça devient plus compliqué pour l’attaquant de trouver une information interressante.
#86
#87
#88
#89
#90
#91
#92
#93
Mon hébergeur One.com propose depuis quelques mois, d’activer gratuitement SSL sur nos espaces web.
Le certificat est à validation simple domaine, et non à validation étendue.
Je ne sais pas ce que ça vaut, selon vous est-ce correct ?
#94
#95
#96
#97
#98
#99
Réponse de la régie publicitaire :
Nous ne comptons pas passer en HTTPS, mais doit normalement être
possible d’intégrer du HTTP dans du HTTPS.
Mal barré quoi :-/
#100
#101