Connexion
Abonnez-vous

Google va renvoyer plus souvent vers des pages HTTPS

Pas de panique... mais commencez à vous inquiéter

Google va renvoyer plus souvent vers des pages HTTPS

Le 18 décembre 2015 à 07h50

Google veut renvoyer de plus en plus d'utilisateurs vers des pages sécurisées. Ainsi, le moteur de recherche va commencer à prendre davantage en compte le fait qu'une version HTTPS d'une page existe. Mais cela sera pour le moment fait avec prudence.

Google continue de renforcer sa prise en compte des sites accessibles via HTTPS au sein de ses résultats. Après avoir indiqué que cela était pris en compte comme signal par son algorithme, de manière légère, on apprend qu'une nouvelle étape va être franchie. 

Si une version HTTPS d'une page existe, Google va parfois la prendre en compte

En effet, certains sites disposent d'une version HTTPS, mais ne proposent pas de redirection, pour plusieurs raisons. La première est en général que cela bloque l'accès à la publicité qui n'est pas chargée de manière sécurisée au sein de la page. Parfois, c'est qu'il reste encore des ressources chargées via HTTP (comme les images). La possibilité existe donc, mais n'est pas mise en avant.

Google indique de son côté qu'il va désormais commencer à indexer de plus en plus de contenu à travers les URL accessibles via HTTPS. Ainsi, lorsqu'une version sécurisée existera, elle sera utilisée en priorité. Néanmoins, cela se fera sous certaines conditions uniquement pour le moment. Il faut par exemple que la page ne contienne pas de dépendances non sécurisées, ne soit pas bloquée dans le fichier robots.txt, ne contienne pas de lien canonique vers la version HTTP et que le serveur dispose d'un certificat TLS valide.

Cela devrait donc encore concerner un nombre très limité de cas, même si paradoxalement certains vont peut-être désormais chercher à couper l'accès à la version HTTPS pour éviter de voir Google envoyer des utilisateurs en masse dessus alors que les espaces publicitaires ne sont pas affichés.

Tout HTTPS au sein de Google : ce n'est qu'une question de temps, mais rien n'est prêt

Quoi qu'il en soit, Google continue d'avancer dans une direction qui semble claire, bien qu'il tarde à établir un calendrier de manière publique : une prise en compte progressive de HTTPS par défaut. Il n'est donc sans doute qu'une question de temps avant que toutes les URL vers lesquelles Google renvoie soient une version sécurisée, quitte à ce que les sites décident ensuite de ce qu'il faut faire.

Viendra alors le temps de la prise en compte plus massive de la disponibilité d'une version HTTPS dans les résultats de recherche. Une décision à laquelle personne n'est encore préparé puisque le marché publicitaire est pour le moment plus préoccupé par ses questions de visibilité ou de blocage, que par une migration massive à des serveurs accessibles uniquement de manière sécurisée. Et lorsque ce sera fait, ce sont les éditeurs qui n'auront pas fait les bons choix qui paieront les pots cassés.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Quelle est la différence entre un site en HTTP et un site en HTTPS avec des dépendances non sécurisées ?

Pour l’instant, vive HTTPS Everywhere.

votre avatar



un certificat TLS valide





C’est moins sale que certificat SSL, mais ce n’est toujours pas ça <img data-src=" />



Bon sinon, le tout HTTPS c’est très bien, mais il faut surtout que les bonnes pratiques de déploiement de TLS se répandent et surtout que les boites comme Google filent du pognon à OpenSSL (et LibreSSL). Parce que si OpenSSL est la passoire que l’on connaît c’est notamment à cause de son budget anémique. Alors que plein de sociétés se sont fait une fortune en l’exploitant.

votre avatar

Ethttps://letsencrypt.org/ ?



Sinon j’allais demandé ce qui empêchait les pubs de s’afficher sur du https mais le dernier paragraphe y répond, c’est leur faute quoi, pas de soucis technique à faire, faut juste le faire, migrer.

votre avatar

Comment osent-ils nous imposer des versions sécurisées des sites? Inadmissible!

Maintenant il va falloir que j’enlève manuellement le s quand je vais sur un site. Ou alors utiliser qwant.



Je dis ça parce que dans mon entreprise, le firewall fait un message d’erreur quand le certificat n’est pas 100% valide sur un lien https, ce qui rend la navigation sur la plupart des sites sécurisés impossible.

votre avatar

Je ne sais pas encore quoi trop penser de Let’s Encrypt.



D’un côté ça permet un déploiement pas trop compliqué, de l’autre, ça me semble compliquer certaines techniques de sécurisation (HPKP et DANE. Bon, DANE n’est pas encore implémenté dans les navigateurs, m’enfin bon). De plus, les outils de base fournis n’ont pas l’air convaincant (bon, c’est une bêta, attendons un peu)



Du coup, j’attends de lire des retours de la bêta notamment sur ces points. (Y a des expériences en cours).



Note : je suis devenu un nazi avec TLS, ceci explique peut-être cela <img data-src=" />

votre avatar

NXI a réglé le problème en redirigeant le https vers le http.

Eh oui l’argent d’Adsense avant la sécurité des visiteurs…

votre avatar

C’est vrai que poster ton commentaire en http c’est vachement dangereux oulala.

Par contre la gestion du compte en https on s’en fout ouais.



Et sinon en abonné on a tout le site en https nous :p

votre avatar







Exception a écrit :



NXI a réglé le problème en redirigeant le https vers le http.

Eh oui l’argent d’Adsense avant la sécurité des visiteurs…







Pas d’argent, pas de site, plus de visiteur… je sais qu’on est :dredi: mais bon…


votre avatar

ce qui m’embête c’est la duré limitée des certificats, 90 jours, même si le système de renouvellement est rapide apparemment.



sinon, comment est faite la vérification de l’appartenance au nom de domaine ? n’importe qui peut générer des certificats pour le domaine google.fr ?

votre avatar

Oui enfin avec un certificat CloudFlare qui est valide pour une dizaine de sites. (C’est un peu sale)

votre avatar







spidy a écrit :





La vérification ce fait de la même façon que pour tous les certificats à pas cher : présence d’un fichier sur le serveur web du domaine.


votre avatar

Oui, c’est la durée de validité du certificat qui est gênante pour DANE et HPKP (où tu épingles la clé publique respectivement dans le DNS (avec signature par DNSSEC, c’est encore plus sympa <img data-src=" />) et dans un header envoyé par le serveur.)



Avec les AC “standards” oui tout le monde peut signer un certificat google.com provenant de partout sauf de chez Google (hello DigiNotar <img data-src=" />)



Il y a des mécanismes de vérifications plus poussés sur LE. Ceci dit, ne l’ayant pas encore testé (le testerai-je ? <img data-src=" />), j’ai pas trop suivi le truc.

votre avatar

Pas nécessairement de cette manière. Gandi propose aussi de publier un enregistrement dans le DNS (pour peu que la zone soit signée avec DNSSEC, ça peut être intéressant) ou tout simplement par un mail lié au domaine (admin de mémoire)

votre avatar

Je sait, je valide mes domaines par mails perso, mais c’est une des méthodes généralement proposée.

votre avatar

Disons qu’on propose un login https depuis un bail et du full https + http2 au moins aux abonnés pour le moment. Donc, oui, tout est perfectible…. Mais au moins on fait le job. T’en connais beaucoup d’autres dans le secteur ? ;)

votre avatar

Sauf qu’on utilise pas Adsense (qui propose déjà du https), qu’on s’est déjà expliqué sur le sujet et qu’on propose déjà du full HTTPS au moins aux abonnés. Donc pour la leçon de morale, tu repasseras ;) (voir ma réponse précédente sindon)&nbsp;

votre avatar

j’ai testé les certificats chez Gandi (en prenant un domaine pas cher en promo vu qu’ils filent le certificat gratos avec) et effectivement je l’ai fait par l’enregistrement DNS.

votre avatar

Tu parles de quoi pour les outils de base ? Parce que pour le coup le déploiement est assez simple (bon surtout si c’est pour Apache quoi)

votre avatar

Et on parle des sites avec des certificats auto-signés?



Et le Https, c’est utile mais pas pour tous les sites: un simple blog ou un simple site d’info (sans membres inscrits) n’a aucun intérêt au https.



Franchement, c’est un peu con de vouloir généraliser tout ça alors qu’une grosse partie des sites n’en ont pas besoin.



&nbsp;

votre avatar

Non c’est sur :)



Par contre, attention pour h2, il y a des conditions particulières pour TLS. Enfin je supposes que PA connait par cœur le RFC 7540 maintenant <img data-src=" />



(Parce que oui, je vous ait grillé la politesse sur ce point <img data-src=" /> - bon c’est facile j’ai 1 ou 2 visiteurs moi y compris <img data-src=" />)

votre avatar

le script fourni par Let’s Encrypt.

votre avatar

trop de gens sur le canard? (DuckDuckGo) il mettent en place des fonction similaire (la vie privée en moins) pour éviter la fuite&nbsp; des utilisateur? <img data-src=" />

votre avatar







Jungledede a écrit :



trop de gens sur le canard? (DuckDuckGo) il mettent en place des fonction similaire (la vie privée en moins) pour éviter la fuite  des utilisateur? <img data-src=" />





je suis certain que Larry et Sergueï se réveillent en sueurs toutes les nuits suite aux cauchemars que suscite la menace que représente DuckDuckGo <img data-src=" />


votre avatar







David_L a écrit :



Disons qu’on propose un login https depuis un bail et du full https + http2 au moins aux abonnés pour le moment.





Je suis abonné depuis le début et je n’avais jamais vérifié, je viens de voir que j’étais en HTTP en étant indentifié <img data-src=" /> Pourquoi ne pas mettre le HTTPS par défaut, ça serait plus dans l’intérêt de l’abonné non ? Et lui laisser le choix de le décocher s’il le souhaite ?


votre avatar







WereWindle a écrit :



je suis certain que Larry et Sergueï se réveillent en sueurs toutes les nuits suite aux cauchemars que suscite la menace que représente DuckDuckGo <img data-src=" />





Ils peuvent toujours s’organiser un Duck Hunt.


votre avatar







gokudomatic a écrit :



Ils peuvent toujours s’organiser un Duck Hunt.





trop de rage générée par le chien… leur assurance santé a dit non <img data-src=" />


votre avatar

Le coin-coin ne fait que récupéré des résultats de Bing. C’est possible que ce soit MS qui change ses conditions

votre avatar

Parce que ça pose des soucis à certains du coup chacun est libre de l’activer ou pas.

votre avatar

https://duck.co/help/results/sources



en fait il viens piocher un peut partout, de mémoire c’était un autre moteur de recherche que bing, mais bon, ça reste pour des recherches techniques il est pas encore au top ^^



par contre de mois en mois il s’améliore et ça fait plaisir, on à truc&nbsp; qui propose plein de fonction sympa quand on connait la syntaxe…

En terme de présentation des résultat il deviens un moteur de recherche sérieux. Il n’a pas encore un niveau à la Google, mais ça reste une très bonne alternative pour le quotidien

votre avatar

Mais le HTTPS ne devrait-il pas être la norme depuis longtemps, puisque c’est plus sûr ? En fait, techniquement, qu’est-ce qui coince ? Je ne suis pas un newbie en informatique, mais je ne suis pas non plus une encyclopédie.

votre avatar

Le https n’a rien de sûr, ça empêche - théoriquement - le man in the middle qui suce tes données.

votre avatar

Ctroporible : encore une atteinte à la neutralité du Net par l’ogre Google. Mais où sont les pom-pom girls pour dénoncer cette priorisation pas très compatible ?

votre avatar







gokudomatic a écrit :



Comment osent-ils nous imposer des versions sécurisées des sites? Inadmissible!

Maintenant il va falloir que j’enlève manuellement le s quand je vais sur un site. Ou alors utiliser qwant.



Je dis ça parce que dans mon entreprise, le firewall fait un message d’erreur quand le certificat n’est pas 100% valide sur un lien https, ce qui rend la navigation sur la plupart des sites sécurisés impossible.





http://www.w3.org/TR/service-workers/



&nbsp; &nbsp; &nbsp; &gt; https. Et c’est mieux comme ça.


votre avatar

Change d’entreprise ou deviens responsable informatique :-)

votre avatar

Perso j’utilise Let’s Encrypt depuis le début et je trouve ça pas mal pour des petits sites.

Après c’est un peu lourdingue de ne pas pouvoir gérer les wildcard.

C’est aussi chiant de devoir faire gaffe à l’ordre dans lequel on place les domaines pour générer les certificats, sinon on se retrouve avec /etc/letsencrypt/live/sousdomaine.domaine.com/ comme chemin de son certificat au lieu de /etc/letsencrypt/live/domaine.com/

C’est enfin chiant de devoir stopper Apache lors de la génération des certificats.

Mais bon pour le prix, on va pas se plaindre !

Google va renvoyer plus souvent vers des pages HTTPS

  • Si une version HTTPS d'une page existe, Google va parfois la prendre en compte

  • Tout HTTPS au sein de Google : ce n'est qu'une question de temps, mais rien n'est prêt

Fermer