Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google va favoriser les sites accessibles en HTTPS dans ses résultats

Panique dans les DSI

Google va favoriser les sites accessibles en HTTPS dans ses résultats

Le 07 août 2014 à 15h30

Dans sa volonté de renforcer la sécurisation du web, Google vient d'indiquer qu'il prenait une décision importante : à compter d'aujourd'hui, le fait de disposer d'un site en HTTPS sera vu comme un signal positif pour le référencement. De quoi inciter tout le monde à sauter le pas ? C'est loin d'être si simple.

S'il est courant de voir les géants du web afficher des sites entièrement en HTTPS depuis quelques années, avec le fameux petit cadenas, c'est encore loin d'être une généralité. Pour rappel, derrière ce symbole se cache le fait qu'un site assure le chiffrement de la connexion entre votre machine et ses serveurs via SSL/TLS à travers le protocole HTTP. Cela empêche donc, en théorie, d'intercepter et de lire les données échangées, ce qui en fait une pratique à étendre le plus possible, surtout pour ce qui est des informations/messages sensibles et autres procédures de connexion.

Le chiffrement des échanges : la majorité des sites s'en passent, Google veut agir

Mais voilà : autant être franc, personne ne sécurise rien, ou presque. S'il est désormais systématique de voir une telle procédure mise en place par les banques, ou les sites de vente en ligne au moment d'un achat, il est tout aussi habituel de ne pas y avoir droit le reste du temps. Vous vous connectez à un site d'information pour accéder à des fonctionnalités supplémentaires, vous échangez des messages privés sur un forum, etc. ? Tous ces échanges seront le plus souvent en clair et pourront donc être lus s'ils sont interceptés, ce qui est assez aisé si vous êtes sur un Wi-Fi public non sécurisé par exemple. Ainsi, si le site auquel vous vous connectez ne protège pas votre mot de passe avant de l'envoyer au serveur, il est transmis et peut donc être intercepté.

Partant de ce désolant constat, Google a décidé de commencer à intervenir, après avoir prévenu de ses intentions lors de la Google I/O en juin dernier. Mais cela se fera en douceur. Ainsi, dans un billet de blog, la société indique qu'elle considérera désormais comme positif le fait qu'un site soit accessible en HTTPS. Cela n'intervient pour le moment que de manière marginale, 1% de ses résultats ayant été concernés lors de ses tests outre-Atlantique. Mais il est déjà prévu que ce critère puisse prendre de l'ampleur avec le temps. 

 

Pour faciliter les choses, les équipes du géant du web vont mettre en place des documentations afin de faciliter la vie des responsables techniques qui devront effectuer cette transition. Car cela va sans doute être douloureux, pour des tas de raisons qui vont commencer à émerger une fois que l'annonce de cette décision sera digérée.

Passser un site en HTTPS : plus facile à dire qu'à faire

Pour le moment, seuls quelques conseils sont donnés comme de bien choisir le type de certificat, s'assurer d'avoir une clef d'au moins 2048 bits, utiliser des URL relatives, ne pas bloquer l'accès au site HTTPS via le fichier robots.txt, etc. Mais une fois ceci dit, il reste encore le plus gros. Car s'il est assuré que les sociétés qui émettent des certificats se frottent les mains, seulement quelques mois après la faille Heartbleed qui leur avait déjà profité, le coût pour une entreprise reste mesuré.

En effet, qu'elle se limite au certificat de base ou qu'elle cherche au passage à assurer ses transactions et à disposer d'un certificat fort qui lui assure la présence de la fameuse « barre verte  » le coût sera en général compris entre entre 100 et 400 euros par an et par domaine à protéger. Les ressources consommées sont aussi plus élevées, mais à l'heure actuelle, l'impact n'est plus très important mais pourra prendre de l'ampleur si vous avez énormément d'utilisateurs. 

Barre verte HTTPS
Le site de Mozilla affiche la fameuse barre verte

Le référencement, la publicité, les contenus : tout est à réadapter

Une fois cette barrière franchie, il en reste de nombreuses autres pour les éditeurs de sites. Déjà, il leur faut assurer le déplacement de leur URL, ce qui peut être risqué en termes d'indexation. Google diffuse d'ailleurs un guide par ici, renforcé par un second dédié à la sécurisation des sites accessible par là. Ensuite, il leur faut s'assurer que tous les contenus qu'ils hébergent sont en HTTPS : leurs images, les contenus intégrés comme les vidéos YouTube, etc. Sans quoi, une alerte sera indiquée à l'utilisateur qui pourra ne pas se sentir en sécurité.

Et c'est là qu'intervient l'un des plus gros freins : les régies publicitaires et les agences de leurs clients. Car n'étant pas toujours à la pointe, ces dernières ont le plus souvent tendance à proposer des campagnes qui ne s'intègrent pas à un site sécurisé. Autant dire que pour certains, le risque de voir une partie de leurs espaces ne pas s'afficher pour des questions de chiffrement d'une page web ne contenant que du texte n'est pas vraiment la priorité.

Tout chiffrer ou ne rien chiffrer : telle n'est pas la question

C'est d'ailleurs tout le paradoxe de l'annonce de Google. S'il est sain de vouloir étendre l'utilisation du chiffrement, il serait surtout utile de se focaliser sur les pages et les services qui le nécessitent vraiment. Hors, quel besoin de chiffrer le contenu d'une page publique lorsqu'un utilisateur n'est pas connecté par exemple ? 

Reste à voir comment cette décision sera accueillie dans les jours à venir. Il y a fort à parier qu'au retour des vacances, les services techniques vont avoir fort à faire avec les services du marketing et du SEO qui vont pousser à la migration vers HTTPS pour des questions de référencement, sans forcément comprendre toutes les implications que cela peut engendrer. Espérons néanmoins que cela poussera les intermédiaires tels que les régies et agences publicitaires, ainsi que les autres fournisseurs de services intégrables, à se mettre à la page.

Commentaires (101)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







jinge a écrit :



Je suis désolé, mais je ne vois pas l’intérêt du https pour wikipedia, lemonde ou NXI (hors mode connecté)…







Ben tu viens de le dire, justement pour protéger du mode connecté. Par exemple chiffrer les mot de passe.


votre avatar







FRANCKYIV a écrit :



Ouai c’est bien gentil le https mais perso on a arrêté de le faire.



Depuis une version relativement récente de Mozilla Firefox … celui-ci bloque d’origine tous les contenus qui ne sont pas en https dans les sites en https.



Dans la pratique, cela voulait dire qu’on se privait des régies publicitaires, des vidéos youtube, dailymotion, etc etc … <img data-src=" />





Pour les vidéo youtube ça passe il faut appeler l’url en https


votre avatar

haha dans la FAQ d’Adsense:



<img data-src=" />





Le code d’annonce compatible avec SSL est conçu pour les éditeurs qui disposent déjà de sites HTTPS. Nous ne recommandons pas aux éditeurs qui possèdent des sites HTTP de les convertir en sites HTTPS, à moins qu’ils n’aient une bonne raison de le faire. En tant qu’éditeur, vous n’avez donc probablement pas besoin de convertir votre site en HTTPS, sauf si vous devez protéger des données importantes telles que des informations relatives à des cartes de paiement, des mots de passe, des dossiers médicaux, etc.





Source

votre avatar







xillibit a écrit :



Pour les vidéo youtube ça passe il faut appeler l’url en https







Ouai mais c’est un forum (qui fait aussi site web) que je gère.



Et encore faut-il que les utilisateurs pensent à forcer le https :-P


votre avatar







jinge a écrit :



Je suis désolé, mais je ne vois pas l’intérêt du https pour wikipedia, lemonde ou NXI (hors mode connecté)…







T’as pas forcément envie que le sysadmin du taff/cybercafé s’amuse à lire les conneries que tu racontes.



Et puis si cela permet de démocratiser le HTTPS et de faire en sorte que ça devienne la norme, je suis pour.



A une époque des gens se demandaient pourquoi on mettait une serrure sur les portes des maisons. Aujourd’hui, plus personne ne livre une maison avec une porte sans serrure.


votre avatar







FRANCKYIV a écrit :



Il existe des certificats SSL gratuit :)







Je sais que tu peux te crée ton propre certif local mais il est pas validé par les hautes instance. Dans les certif gratuit que tu parle, s’est le cas? t’as meme le cadenas vert en haut vers l’addresse du site <img data-src=" /> ?


votre avatar







scullder a écrit :



Ta vie privée, les intermédiaires n’ont pas à savoir ce que tu lis?







Un site peut avoir une vitrine publique, pour la consultation …



Imagine la page d’une structure, qui ne souhaite que diffuser des coordonnées et quelques informations. Genre un restaurant ou une petite association sportive.



Ça fait un site avec trois pages HTML qui se battent…


votre avatar







FRANCKYIV a écrit :



Ouai mais c’est un forum (qui fait aussi site web) que je gère.



Et encore faut-il que les utilisateurs pensent à forcer le https :-P







http://www.ietf.org/rfc/rfc1808.txt



Au lieu d’utiliser &quothttp://“, tu utilises “//”, et voilà.


votre avatar







bibou65 a écrit :



Je sais que tu peux te crée ton propre certif local mais il est pas validé par les hautes instance. Dans les certif gratuit que tu parle, s’est le cas? t’as meme le cadenas vert en haut vers l’addresse du site <img data-src=" /> ?







En fait, je pensais à ce site web :



Adresse Web :

https://www.startssl.com/?lang=fr



… que nous avions utilisé … <img data-src=" />


votre avatar

Les espace ayant besoin de sécurité utilisent déjà SSL.



Maintenant, cramer de l’IP et gaspiller de l’argent en certificat sur chaque site est un non-sens complet.

votre avatar







Neliger a écrit :



Les espace ayant besoin de sécurité utilisent déjà SSL..





Non, et c’est bien tout le problème :)


votre avatar







bibou65 a écrit :



Je sais que tu peux te crée ton propre certif local mais il est pas validé par les hautes instance. Dans les certif gratuit que tu parle, s’est le cas? t’as meme le cadenas vert en haut vers l’addresse du site <img data-src=" /> ?





https://www.startssl.com/?app=39



C’est pas une “haute” instance, et je sais pas ce que ça vaut comme tiers de confiance, mais à priori il est dans les signeurs approuvés par les navigateurs.



Bon, ben grillé <img data-src=" />


votre avatar







Neliger a écrit :



Les espace ayant besoin de sécurité utilisent déjà SSL.



Maintenant, cramer de l’IP et gaspiller de l’argent en certificat sur chaque site est un non-sens complet.







Cramer de la puissance CPU côté client et serveur, à l’échelle mondiale.



[mode fatigue de fin de journée ]

ET PUIS MERDE, ILS FONT GRAVE CHIER !!!!! C’est les premiers à utiliser tes données pour te proposer de la publicité personnalisée. C’est même ça qui fait leur beurre.



A quoi bon vendre le HTTPS comme solution miracle, si c’est en clair chez eux ?


votre avatar







Groumfy a écrit :



Cramer de la puissance CPU côté client et serveur, à l’échelle mondiale.



[mode fatigue de fin de journée ]

ET PUIS MERDE, ILS FONT GRAVE CHIER !!!!! C’est les premiers à utiliser tes données pour te proposer de la publicité personnalisée. C’est même ça qui fait leur beurre.



A quoi bon vendre le HTTPS comme solution miracle, si c’est en clair chez eux ?







J’te sens fatigué toi … tu devrais manger une bonne salade de patates … <img data-src=" />


votre avatar







scullder a écrit :



Ta vie privée, les intermédiaires n’ont pas à savoir ce que tu lis?







Il me semble que de toute façon l’url passe en clair.

M’en vais faire un ptit wireshark pour être sur…









FRANCKYIV a écrit :



Ouai mais c’est un forum (qui fait aussi site web) que je gère.



Et encore faut-il que les utilisateurs pensent à forcer le https :-P







Tu peux les forcer à passer en https avec un simple redirect dans ton htaccess ou même dans ton vhost si tu y as accès.


votre avatar

C’est quand même une pente étrange dans laquelle s’engage Google. Je vois pas en quoi le chiffrement du site devrait influer sur la pertinence des résultats d’une recherche…



C’est donc une décision unanime sur ce qui est bien ou pas pour la sécurité des autres que s’octroie google.



Je vois pas non plus au nom de quoi Google se permet de sanctionner les sites qui ne sont pas en HTTPS parce que ce n’est pas une bonne habitude sécuritaire selon eux.

votre avatar

&gt;Et là, 150$ par an pour améliorer le référencement

&gt;par rapport aux concurrents, c’est une affaire.



Google t’oblige à cracher du pognon, et c’est une affaire …



Ils sont vraiment redoutables !!! <img data-src=" />

votre avatar







FRANCKYIV a écrit :



Je parlais de Firefox car c’est celui que j’utilise. Tous les navigateurs doivent être comme ça maintenant.



Et en quoi je dois me remettre en question lorsque j’utilise le script d’une régie publicitaire … <img data-src=" />









Le truc c’est que tu avais l’air surpris et mécontent du fait que le contenu mixte soit bloqué par défaut.



L’insécurité des contenus mixte est un pb connu depuis très longtemps. Râler contre une mesure de sécurité essentielle est contre productif. Il ne faut pas donner l’illusion à l’utilisateur qu’il est a l’abrit des attaques de type man-in-the-middle s’il ne l’est pas.


votre avatar







yellowiscool a écrit :



50\( chez Gandi <img data-src=">



Enfin, on est quand même en train de parler d'optimisation du référencement google. Il ne s'agit pas de blogs autohébergés sur ligne ADSL, mais de sites commerciaux. Et là, 150\) par an pour améliorer le référencement par rapport aux concurrents, c’est une affaire.







Bof… vaut voir a quel point le referencement est amelioré…

Et vu qu’on ne sait absolument rien de l’algo de Google, ca ne veut rien dire au final. Pour l’instant, le moyen le plus simple et le plus fiable reste d’avoir un service ou un contenu de qualité. Et pour ca, il suffit pas de lacher 150$…


votre avatar







jmanici a écrit :



[quote:5119361:FRANCKYIV]







Je parlais de Firefox car c’est celui que j’utilise. Tous les navigateurs doivent être comme ça maintenant.



Et en quoi je dois me remettre en question lorsque j’utilise le script d’une régie publicitaire … <img data-src=" />









Le truc c’est que tu avais l’air surpris et mécontent du fait que le contenu mixte soit bloqué par défaut.



L’insécurité des contenus mixte est un pb connu depuis très longtemps. Râler contre une mesure de sécurité essentielle est contre productif. Il ne faut pas donner l’illusion à l’utilisateur qu’il est a l’abrit des attaques de type man-in-the-middle s’il ne l’est pas.

[/quote]



La où je râle, c’est uniquement car je ne peux plus utiliser mes régies publicitaires en https. Et que j’ai du repasser en http.


votre avatar







jmanici a écrit :



Le truc c’est que tu avais l’air surpris et mécontent du fait que le contenu mixte soit bloqué par défaut.



L’insécurité des contenus mixte est un pb connu depuis très longtemps. Râler contre une mesure de sécurité essentielle est contre productif. Il ne faut pas donner l’illusion à l’utilisateur qu’il est a l’abrit des attaques de type man-in-the-middle s’il ne l’est pas.







Le contenu mixte n’est jamais (ou a qq pouilleme) du a un MitM… Faut arreter de fantasmer la dessus. Le MItM, c’est un truc de la NSA, pas d’un hacker meme de haut niveau.

Les mecs ont des milliers d’autres moyens bien plus simples que ca pour atteindre leurs objectifs.



Le truc, c’est que Google s’est fait choppé avec le calbute sur les chevilles depuis les revelations de Snowden et aujourd’hui, il veut se faire passer pour plus blanc qu’une lessive Omo Micro…


votre avatar







KP2 a écrit :



Le contenu mixte n’est jamais (ou a qq pouilleme) du a un MitM… Faut arreter de fantasmer la dessus. Le MItM, c’est un truc de la NSA, pas d’un hacker meme de haut niveau.

Les mecs ont des milliers d’autres moyens bien plus simples que ca pour atteindre leurs objectifs.



Le truc, c’est que Google s’est fait choppé avec le calbute sur les chevilles depuis les revelations de Snowden et aujourd’hui, il veut se faire passer pour plus blanc qu’une lessive Omo Micro…









Je suis pas fan de Google mais je pense que pousser un max de site à passer au https est une bonne chose. Il faut qu’à terme le https ne soit plus l’exception mais la règle. Peut être que dans 15 ans les navigateurs afficheront un gros warning quand on tentera de visiter un site en http?



Je ne suis pas d’accord avec ce que tu dis sur le MItM.



Il y a des outils que des script kiddies peuvent utiliser sans le moindre effort pour intercepter des cookie d’authentification qui circulent en http sur les points d’accès non securisés, très communs dans les lieux publics.



Nul besoin d’être un hacker, et encore moins besoin d’être de la NSA!



Plus dangereux encore, le cas des routeurs non sécurisés.



La plupart des routeurs chez les particuliers (et souvent même dans les lieux public et entreprises) souffrent de sérieuses vulnerabilités (mot de passe par défaut non changé, ou failles non patchées qui permettent de modifier la config du routeur).



Il suffit qu’une seule machine sur le réseau soit infectée par un malware pour que celui ci puisse facilement changer la config du routeur.



Et une fois les DNS changées, un serveur malveillant peut choisir de rediriger certains domaines vers un proxy transparent d’où il pourra extraire les données (ou injecter du code malveillant).



D’où l’intérêt de passer en https partout. Même si ton password pour te logger sur PCI a peu de valeur à tes yeux, il peut avoir de la valeur aux yeux de quelqu’un qui cherche à te nuire ou à obtenir le mdp de ton compte paypal.


votre avatar

A quand NXi en HTTPS ? <img data-src=" />

votre avatar







Pecorino a écrit :



A quand NXi en HTTPS ? <img data-src=" />



Il l’est déjà, mais non-officiel, j’avais soulevé la question auprès de David déjà avant l’affaire Prism.


votre avatar

200 sites avec un certificats chacun = mon rein gauche et le droit l’année prochaine. <img data-src=" />

votre avatar

Ils font chier Google, sérieux … leur boulot c’est de trouver le contenu qui correspond aux recherches, c’est pas leur problème de savoir si les gens ont envie d’accéder à ce contenu de manière sécurisée ou pas. Y’en à marre de cette façon de dicter aux gens comment ils doivent se comporter (bordel).

votre avatar

Et Google continue à faire son petit chefaillon avec ses mesures unilatérales et franchement pas indispensables. Cela va donner un faux sentiment de sécurité à beaucoup de gens qui, lorsqu’ils voient un petit cadenas dans la barre d’adresse, se sentent à l’abri de tout, en “tout chiffré”. Beaucoup ne font pas la différence entre le chiffrage lors du transit de données et le chiffrage au stockage (ce qui n’est évidemment pas le cas).



De plus, il est ridicule de pénaliser un site simplement pour la technologie qu’il utilise : ils nous avaient déjà fait le coup avec Flash, voilà qu’ils rempilent avec HTTP. Ainsi, ils partent du principe que la technologie employée par un site est fonction de sa pertinence, ce qui est bien evidemment faux.



Bref, ils vont encore favoriser les grosses plateformes qui elles sont en HTTPS, favorisant la centralisation, en enterrant un peu plus le petit site perso (ce qu’il en reste en tout cas) qui n’a ni les moyens, ni l’envie de passer au HTTPS et se retrouvera encore plus bas dans les résultats de recherche.

votre avatar







earendil_fr a écrit :



Je ne vois pas en quoi mettre du HTTPS va cramer une IP…



Au dernière nouvelle, une même IP peut écouter à la fois en HTTP et en HTTPS.







Tu peux même avoir plusieurs sites HTTPS sur la même IP (je pense que c’est à ça qu’il pensait et ce n’était pas possible il y a quelques années).







mahn a écrit :



Il me semble que de toute façon l’url passe en clair.

M’en vais faire un ptit wireshark pour être sur…



Tu peux les forcer à passer en https avec un simple redirect dans ton htaccess ou même dans ton vhost si tu y as accès.







Il me semble qu’il n’y a que le nom de domaine qui est passé en clair (pour le Server Name Indication - plusieurs sites https sur une seule IP)


votre avatar







Resman a écrit :



Ils font chier Google, sérieux … leur boulot c’est de trouver le contenu qui correspond aux recherches, c’est pas leur problème de savoir si les gens ont envie d’accéder à ce contenu de manière sécurisée ou pas. Y’en à marre de cette façon de dicter aux gens comment ils doivent se comporter (bordel).





Utilise un autre moteur de recherche…


votre avatar







Ohax a écrit :



Il l’est déjà, mais non-officiel, j’avais soulevé la question auprès de David déjà avant l’affaire Prism.





Ça veut dire quoi non-officiel ?


votre avatar







Resman a écrit :



Ils font chier Google, sérieux … leur boulot c’est de trouver le contenu qui correspond aux recherches, c’est pas leur problème de savoir si les gens ont envie d’accéder à ce contenu de manière sécurisée ou pas. Y’en à marre de cette façon de dicter aux gens comment ils doivent se comporter (bordel).







Un moteur de recherche c’est un ensemble de critères. Que l’un des critères soit “le site est un tant soi peu sérieux pour qu’il ait un certificat pour différencier ceux qui n’en ont rien à foutre que ton mot de passe soit en clair sur le reseau, je pense pas que ça soit une si mauvaise chose <img data-src=" />



Et si ça peux forcer les sites comme dailymotion par exemple à passer en HTTPS, sérieusement je suis pour <img data-src=" />.



Si ça peut faire que le sites serieux remontent un peu, je pense que le web s’en portera pas plus mal <img data-src=" />


votre avatar







Resman a écrit :



Ils font chier Google, sérieux … leur boulot c’est de trouver le contenu qui correspond aux recherches, c’est pas leur problème de savoir si les gens ont envie d’accéder à ce contenu de manière sécurisée ou pas. Y’en à marre de cette façon de dicter aux gens comment ils doivent se comporter (bordel).







Ben moi je suis content: ca va forcer tout le monde a évoluer vers ce qui devrait être le mode normal depuis bien longtemps. Et moi le premier, je vais essayer de me sortir les doigts pour ajouter ca sur mon site.


votre avatar







Neliger a écrit :



Maintenant, cramer de l’IP et gaspiller de l’argent en certificat sur chaque site est un non-sens complet.





Je ne vois pas en quoi mettre du HTTPS va cramer une IP…



Au dernière nouvelle, une même IP peut écouter à la fois en HTTP et en HTTPS.


votre avatar







FRANCKYIV a écrit :



Depuis une version relativement récente de Mozilla Firefox … celui-ci bloque d’origine tous les contenus qui ne sont pas en https dans les sites en https.



J’avais constaté la même chose avec le marché Steam, impossible d’effectuer certaines actions.



Tu aurais pas HTTPS Everywhere d’actif ? Parce que ça semble merder à cause de ça, faut le désactiver pour Steam.


votre avatar







bibou65 a écrit :



je peux comprendre que des petits malins veulent chopper des mots de passe ou des numéros de cartes de crédit etc mais des informations que madame Michou a été voir marmiton je vois pas l’intérêt <img data-src=" />



Donc si tout le web était SSLisé on pourra plus snifer pour chopper des infos? Donc finalement s’est pas si mal que Google force un peu.







Si madame Michu va sur le site de La Redoute ou d’Amazon, ça n’intéresse en effet personne.



Mais si madame Michu cherche sur ces site des cocottes-minutes de grande capacité, ça intéresse la NSA qui classera madame Michu dans sa très longue liste de terroristes potentiels.



Je trouve que c’est plutôt bien de leur compliquer un peu le travail.


votre avatar







jinge a écrit :



Je suis désolé, mais je ne vois pas l’intérêt du https pour wikipedia, lemonde ou NXI (hors mode connecté)…







Pour Wikipedia c’est déjà fait : en.wikipedia.org WikipediaL’intérêt est la “privacy”.



Toi, tu penses sans doute que ça n’a aucune espèce d’importance que tout le monde sache ce que tu recherches sur Wikipedia. Dont acte, c’est ta façon de penser, et nous la respectons.

Mais il faut aussi respecter les gens qui préfèrent qu’on ne sache pas ce qu’ils recherchent sur Wikipédia, même si c’est la recette d’une omelette…

(Notez que Wikipédia saura toujours que vous avez cherché ça, c’est juste pour se protéger des “curieux” au milieu).



Et si on isole les uns des autres, on met en évidence ceux qui veulent défendre leur “Privacy”, en faisant des “cibles” plus faciles.



En outre, si vous regardez la vidéo, c’est bien expliqué. Https, ce n’est pas simplement le chiffrement des données. C’est aussi deux autres choses :

-1) L’authentification (du serveur). C’est à dire que quand je vais chez Wikipedia, c’est bien Wikipedia et pas un site piraté qui se fait passer pour Wikipédia.

-2) L’intégrité des données. C’est à dire que personne au milieu, entre Wikipédia et toi n’a changé ce qu’il y avait sur la page.



Pourquoi c’est deux autres choses sont importantes, même si des sites “publics” (Wikipédia), et même sans ident/authent de l’utilisateur.



-1) Si un pirate a détourné Wikipédia, en http tu ne le sauras pas. Ledit pirate peut alors très facilement innjecter dans les pages un contenu nuisible qui va exploiter des failles de ton Système d’Exploitation, et faire de grand dommage sur ton PC.



-2) On veut éviter de nouvelles affaires “SFR” (qui modifiait à la volée le contenu de certaines pages). Cela pourrait en effet donner lieu à de la “censure”. Supposons que tu cherches un article sur Wikipédia qui ne plaise pas à ton FAI, celui-ci voyant forcément passer le trafic en clair (http) vers chez toi, pourrait décider de changer certains chapitres de la page Wikipédia que tu consultes.

SFR l’a déjà fait, il faisait des traitements sur des images contenues dans les pages, soit-disant pour les “alléger”… mais allez savoir s’il n’y avait pas d’autres algorithmes s’apparentant à de la “censure” ?..





Donc si tu veux les effets de 1) et 2), tu peux continuer à vouloir tout http en clair.





Personnellement je dis bravo Google <img data-src=" />



J’espère qu’avec leur coup de pouce, le mouvement vers le https va s’intensifier !



P.S.: j’ai bien sûr déjà https everywhere depuis un bail, ce n’est pas que le nom de la conférence Google IO, c’est aussi un plugin Firefox. <img data-src=" />


votre avatar







mahn a écrit :



Il me semble que de toute façon l’url passe en clair.

M’en vais faire un ptit wireshark pour être sur…







Ce citer sois même –’

Donc non. les traces de nos proxy m’ont duper :‘(


votre avatar







Arcy a écrit :



J’avais constaté la même chose avec le marché Steam, impossible d’effectuer certaines actions.



Tu aurais pas HTTPS Everywhere d’actif ? Parce que ça semble merder à cause de ça, faut le désactiver pour Steam.







Nop, j’avais testé avec un Portable Firefox de base.


votre avatar

Je n’ai aucun intérêt à migrer mon site personnel en HTTPS.

Je l’ai fait pour mon serveur Kimsufi pour mes trucs persos (TTRSS, etc), mais un site statique n’a pas besoin de l’être.



Donc Gogole, je me contrefous de ton opinion et de ton dictat.

votre avatar







scullder a écrit :



Ta vie privée, les intermédiaires n’ont pas à savoir ce que tu lis?





Entre ce matin et ce soir, des centaines de personnes ont pu voir ce que je lisais comme bouquin.



Faille de sécurité ?



Pas du tout. J’ai pris le train.


votre avatar

Les Web Agencies qui font des sites événementiels à la pelle vont dépenser encore plus en Référencement… Google se frotte déjà les mains :p

Les WebAgencies que j’ai côtoyé n’ont pas envie de s’embêter avec un truc aussi compliqué qu’imprononçable: la sécurité.

votre avatar







SebGF a écrit :



Je n’ai aucun intérêt à migrer mon site personnel en HTTPS.

Je l’ai fait pour mon serveur Kimsufi pour mes trucs persos (TTRSS, etc), mais un site statique n’a pas besoin de l’être.



Donc Gogole, je me contrefous de ton opinion et de ton dictat.







Je viens de vérifier pour un site hébergé chez OVH :




  • le protocole HTTPS est activé par défaut, mais en mode autosigné

  • un certificat coùte ~60€/an TTC. C’est à comparer avec les ~29€/an de l’hébergement “Web perso”





    Si je comprends le terme “favoriser” : ça sera pour un site A vs un site B. A la limite, je m’en fous, à moins qu’ils décident de fortement déclasser.

    Comme mon site utilise des mots clés spécifiques, on ne peut pas me “piquer” les mots clés à moins de créer un site et donc une structure concurrente (improbable).


votre avatar







earendil_fr a écrit :



Je ne vois pas en quoi mettre du HTTPS va cramer une IP…



Au dernière nouvelle, une même IP peut écouter à la fois en HTTP et en HTTPS.



…sauf quand tu fais du vhosting, l’implémentation de ssl est un peu particulière et le moyen simple/moins coûteux dans ce cas est d’avoir plusieurs IPs


votre avatar

Sinon, il y a StartSSL, qui est gratuit.

votre avatar

Je suis effaré de voir le nombre de personne qui ne voit pas l’intérêt du HTTPS. Le HTTPS n’a aucun inconvénient (la puissance CPU n’est plus visible de nos jours) et pour le coup, tu peux soit utiliser des certificats gratuits, soit générer le tien (c’est toujours mieux que rien). Bref, aucun inconvénient et des multiples avantages. Si on peut rendre les communications un peu plus privée, pourquoi y renoncer ?

votre avatar

Et comme par hasard, tous les sites et services de gogol sont https.



Et le temps que les concurrents passent en https, les services gogol s’afficheront en premier choix dans le moteur de recherche, ce qui engendrera une perte de revenus pour la concurrence.

Accessoirement, avec le surcout généré par la transformation et la perte de revenus, une certaine partie de la concurrence mettra la clé sous la porte…



Du genre, on voit pas venir la couille…<img data-src=" />



Quand je me disais que gogol c’était des enculés, ça se confirme de plus en plus j’ai l’impression.

votre avatar







pamputt a écrit :



Je suis effaré de voir le nombre de personne qui ne voit pas l’intérêt du HTTPS. Le HTTPS n’a aucun inconvénient (la puissance CPU n’est plus visible de nos jours) et pour le coup, tu peux soit utiliser des certificats gratuits, soit générer le tien (c’est toujours mieux que rien). Bref, aucun inconvénient et des multiples avantages. Si on peut rendre les communications un peu plus privée, pourquoi y renoncer ?







As-tu lu mon commentaire ?



Si tu veux utiliser un site en https et le monétiser, il te faut trouver des régies publicitaires en https, et la y en a pas beaucoup …


votre avatar







bibou65 a écrit :



Je sais que tu peux te crée ton propre certif local mais il est pas validé par les hautes instance. Dans les certif gratuit que tu parle, s’est le cas? t’as meme le cadenas vert en haut vers l’addresse du site <img data-src=" /> ?







Certificat valide, reconnu par un tiers de confiance et gratuit :

https://www.startssl.com/?lang=fr



Edit : grillé



Par contre moi, ayant un forum, ça ne m’arrange pas du tout ! J’ai déjà le certificat, je peux faire du HTTPS mais le soucis c’est que sur un forum beaucoup font du hotlink.



Et le mix http + https = popup de warning dans les navigateurs …


votre avatar







earendil_fr a écrit :



Je ne vois pas en quoi mettre du HTTPS va cramer une IP…



Au dernière nouvelle, une même IP peut écouter à la fois en HTTP et en HTTPS.







Chaque domaine hébergé sur une machine aura besoin de son certificat.



Pour des raisons de compatibilité avec les divers clients, chaque site utilisant SSL devra avoir sa propre adresse IP, afin qu’un appel direct sur l’IP réponde avec le certificat SSL du site concerné.


votre avatar







David_L a écrit :



Non, et c’est bien tout le problème :)







Lors que je dit “besoin”, je parle de besoin réel et raisonnable.



A mon sens, le blog à dudule n’a en aucun cas besoin de SSL.


votre avatar







Neliger a écrit :



Lors que je dit “besoin”, je parle de besoin réel et raisonnable.



A mon sens, le blog à dudule n’a en aucun cas besoin de SSL.





Je lisais un truc comme ça ce matin :

https://labs.bromium.com/2014/07/31/remote-code-execution-on-android-devices/

(On appréciera le certificat sur ce site d’ailleurs <img data-src=" />)





We set up a wifi access point (AP) which acted as a man-in-the-middle (MitM) transparent web proxy. It was configured to inject a malicious payload into any requested over HTTP from any device connected to the access point. (…) Techniques such as DNS poisoning or ARP cache spoofing could be employed to make devices use the MitM proxy even if the AP was not under our control.





Donc si le blog à dudule utilise du javascript, il a besoin de https pour protéger ses utilisateurs.


votre avatar



Pour faciliter les choses, les équipes du géant du web vont mettre en place des documentations afin de faciliter la vie des responsables techniques qui devront effectuer cette transition.





Personne ne fait le parallèle avec l’annonce de Google de créer une nouvelle bibliothèque SSL ?

Je suis prêt à parier que leur documentation sera à propos de leur propre solution, ensuite il font un peu de marketing (on a tant de site qui utilisent notre bibliothèque SSL) pour inciter les gens de migrer de openssl vers leur solution (une fois qu’il l’auront rendu générique)…



Intelligent ?

votre avatar







Bylon a écrit :



Pour Wikipedia c’est déjà fait : en.wikipedia.org WikipediaL’intérêt est la “privacy”.



Toi, tu penses sans doute que ça n’a aucune espèce d’importance que tout le monde sache ce que tu recherches sur Wikipedia. Dont acte, c’est ta façon de penser, et nous la respectons.

Mais il faut aussi respecter les gens qui préfèrent qu’on ne sache pas ce qu’ils recherchent sur Wikipédia, même si c’est la recette d’une omelette…

(Notez que Wikipédia saura toujours que vous avez cherché ça, c’est juste pour se protéger des “curieux” au milieu).



Et si on isole les uns des autres, on met en évidence ceux qui veulent défendre leur “Privacy”, en faisant des “cibles” plus faciles.



En outre, si vous regardez la vidéo, c’est bien expliqué. Https, ce n’est pas simplement le chiffrement des données. C’est aussi deux autres choses :

-1) L’authentification (du serveur). C’est à dire que quand je vais chez Wikipedia, c’est bien Wikipedia et pas un site piraté qui se fait passer pour Wikipédia.

-2) L’intégrité des données. C’est à dire que personne au milieu, entre Wikipédia et toi n’a changé ce qu’il y avait sur la page.



Pourquoi c’est deux autres choses sont importantes, même si des sites “publics” (Wikipédia), et même sans ident/authent de l’utilisateur.



-1) Si un pirate a détourné Wikipédia, en http tu ne le sauras pas. Ledit pirate peut alors très facilement innjecter dans les pages un contenu nuisible qui va exploiter des failles de ton Système d’Exploitation, et faire de grand dommage sur ton PC.



-2) On veut éviter de nouvelles affaires “SFR” (qui modifiait à la volée le contenu de certaines pages). Cela pourrait en effet donner lieu à de la “censure”. Supposons que tu cherches un article sur Wikipédia qui ne plaise pas à ton FAI, celui-ci voyant forcément passer le trafic en clair (http) vers chez toi, pourrait décider de changer certains chapitres de la page Wikipédia que tu consultes.

SFR l’a déjà fait, il faisait des traitements sur des images contenues dans les pages, soit-disant pour les “alléger”… mais allez savoir s’il n’y avait pas d’autres algorithmes s’apparentant à de la “censure” ?..





Donc si tu veux les effets de 1) et 2), tu peux continuer à vouloir tout http en clair.





Personnellement je dis bravo Google <img data-src=" />



J’espère qu’avec leur coup de pouce, le mouvement vers le https va s’intensifier !



P.S.: j’ai bien sûr déjà https everywhere depuis un bail, ce n’est pas que le nom de la conférence Google IO, c’est aussi un plugin Firefox. <img data-src=" />





Mais pour moi, le https n’est pas fait pour le contenu statique, c’est contre productif, car ça empêche tout système de cache par exemple. Après bien entendu il y a des contextes dans lesquels c’est nécessaire, mais pour 95% de la population, forcer le https lorsque ça n’est pas nécessaire c’est stupide à mon avis.


votre avatar







Jed08 a écrit :



Personne ne fait le parallèle avec l’annonce de Google de créer une nouvelle bibliothèque SSL ?

Je suis prêt à parier que leur documentation sera à propos de leur propre solution, ensuite il font un peu de marketing (on a tant de site qui utilisent notre bibliothèque SSL) pour inciter les gens de migrer de openssllibressl vers leur solution (une fois qu’il l’auront rendu générique)…



Intelligent ?





<img data-src=" />


votre avatar







pamputt a écrit :



<img data-src=" />







Je sais pas si c’est un troll, de l’humour, ou si c’est sérieux donc excuse moi pour ma réponse si elle te plait pas ^^

Libressl : ce truc créé par des barbus dans une cave (lire unixiens), est utilisé par des gens ? (unix n’en ayant pas besoin vu que personne ne l’utilise) <img data-src=" />


votre avatar







pamputt a écrit :



Utilise un autre moteur de recherche…







Ca fait depuis de nombreuses années perso …



Adresse Web :

https://duckduckgo.com/?kl=fr-fr



Mais la on parle en tant que webmaster … bien que duckduckgo n’a que des avantages sur la vie privée par rapport à Google, la masse de mouton utilise ce dernier en France.



Donc si tu veux des visiteurs, il faut optimiser pour ce moteur de recherche principalement.



Bon maintenant faut relativiser hein ! … ils ont dis que ça compterai pour pas grand chose dans le référencement ce https … <img data-src=" />


votre avatar







Khalev a écrit :



Je lisais un truc comme ça ce matin :

https://labs.bromium.com/2014/07/31/remote-code-execution-on-android-devices/

(On appréciera le certificat sur ce site d’ailleurs <img data-src=" />)







Donc si le blog à dudule utilise du javascript, il a besoin de https pour protéger ses utilisateurs.







Les attaques man-in-the-middle ne datent pas d’hier, et se pratiquent même parfois en SSL lorsque des certificats racine ont été corrompus (ce qui est sensé ne jamais arrivé, mais est pourtant déjà arrivé à plusieurs reprises).



De plus, lorsque le hacker peut se positionner en man-in-the-middle, il a bien d’autres choses intéressantes à faire, peu importe si la victime ne surfe qu’en SSL.


votre avatar







skan a écrit :



Les Web Agencies qui font des sites événementiels à la pelle vont dépenser encore plus en Référencement… Google se frotte déjà les mains :p

Les WebAgencies que j’ai côtoyé n’ont pas envie de s’embêter avec un truc aussi compliqué qu’imprononçable: la sécurité.







Étant admin sys dans une web agency : si, ou du moins ça dépend à quel niveau.



Par exemple, si on fait un site événementiel dans un sous-domaine d’un client (operation.client.com), c’est au client de nous fournir le certificat qui va avec car le domaine “client.com” lui appartient, et c’est une dépense que beaucoup peuvent trouver superflue, et du coup l’opération reste en HTTP uniquement.

Peut-être que l’annonce de Google changera ce point.



Il y a aussi le fait qu’on prévient que si on met leur opération sur un serveur en HTTPS avec du SNI (car on mutualise, intelligemment bien sûr, en fonction des charges estimées, et qu’on laisse les anciennes opérations tourner un moment pour les messages de fin), ça posera des problèmes de compatibilité sur les vieux navigateurs (par exemple, les IE sous Windows XP), et vu qu’ils veulent toucher le plus de monde possible ça les refroidit.



Parfois ça peut être la hiérarchie qui impose de baisser la sécurité d’un serveur, d’un service ou d’un accès particulier pour des raisons plus ou moins valables… et les ordres sont malheureusement les ordres.



Ensuite au niveau des développeurs, il faut qu’ils mettent à jour les WordPress & co mais on ne peut pas être derrière eux pour chaque opération, surtout les celles qui sont en mode “terminées mais encore visibles”…


votre avatar







Nathan1138 a écrit :



Entre ce matin et ce soir, des centaines de personnes ont pu voir ce que je lisais comme bouquin.



Faille de sécurité ?



Pas du tout. J’ai pris le train.







Ouaip, et par exemple, est-ce que tu lirais des documents permettant d’identifier tes opinions politiques dans un endroit public comme le train ou dans la salle de pause au travail ?



Du côté administrateur, on ne voit pas le besoin de sécuriser un site statique avec un certificat ssl payant.

Mais en tant qu’utilisateur, toutes les données que je lis sont privées et confidentielles…







mahn a écrit :



Il me semble que de toute façon l’url passe en clair.







Je ne pense pas, avec wireshark, tu pourras juste avoir l’ip du serveur et éventuellement le nom de domaine si tu choppes la requête dns associée.



Si tu interroges un cluster mutualisé OVH, ça rend quand même assez difficile l’identification du site.







Groumfy a écrit :



Un site peut avoir une vitrine publique, pour la consultation …



Imagine la page d’une structure, qui ne souhaite que diffuser des coordonnées et quelques informations. Genre un restaurant ou une petite association sportive.



Ça fait un site avec trois pages HTML qui se battent…







Ok, tu parles du côté administrateur, qui ne veut pas dépenser x€ car il n’y a pas de données à protéger.

Le fait que les certificats SSL soient honteusement chers est un autre problème, mais ça ne rend pas mes arguments invalides…


votre avatar

Je suis partagé sur le principe.

D’un côté je suis absolument pour que le plus de site possible passent au https pour tout ce que ça apporte en terme de sécurité, de protection de la vie privée, etc…



D’un autre côté, contrairement à ce que je lis ici depuis le début des commentaires, il n’y a pas de certificats SSL gratuits valables.



Il y a StartSSL qui fournit un certificat a moitié moisi, dont on ne peux choisir la force, valable uniquement pour un seul domaine (et donc non valable pour les sous-domaines). Ce n’est pas vraiment un bon plan a part pour les gens qui ont effectivement un seul petit site à passer au https.

Il y a également CACert, qui est communautaire et permet de faire a peu près tous les certificats que vous voulez, mais ils ne sont pas reconnus par les browsers/OS, ou très rarement.



Donc en fait il n’y a que l’offre très très limitée de StartSSL. Or si vous n’entrez pas dans les clous, genre moi qui ai une bonne dizaine de sous-domaines et qui en crée régulièrement d’autres, c’est le côté administratif qui devient lourd, du fait qu’il n’y a pas de certificat wildcard gratuit.



Le côté pervers de ça c’est qu’on peut parier que les gens feront des certificats self-signed, c’est à dire sans CA. C’est moins pire que rien, mais ca fait tomber la moitié des intérêts de SSL et surtout l’utilisateur va s’habituer à “ajouter une exception” puisqu’il tombera sans cesses sur des sites au certificat self-signed.



Résultat, ca réduira a néant les intérêts de SSL, l’utilisateur ne faisant pas la différence entre un certificat valide et approuvé par une CA reconnue, et un certificat pourri, self-signed, qu’un hacker aura injecté pour faire son MitM ou autre fourberie du genre.

votre avatar







scullder a écrit :



Ok, tu parles du côté administrateur, qui ne veut pas dépenser x€ car il n’y a pas de données à protéger.

Le fait que les certificats SSL soient honteusement chers est un autre problème, mais ça ne rend pas mes arguments invalides…







Les données indexées par Google sont publiques ! C’est justement ça le problème.



La confidentialité et la sécurité d’un site, c’est de la responsabilité du site. Ca ne regarde pas Google.



A supposer que je veuille blinder un peu, je vais m’y prendre la façon suivante :





  • pages publiques : HTTP

  • pages d’administration : HTTPS en autosigné



    De cette façon, je blinde les données sensibles comme les mots de passes. Par contre, les navigateurs génèrent des alertes de certificat …


votre avatar

Aujourd’hui on ne crypte que par vrai necessité : cartes bleues, mot de passe etc… Donc tous les flux cryptés font passer des informations qui ont de la valeur. C’est facile à cibler. Mais si tous les flux sont cryptés, même les moins interressants, on ne peut pas faire le tri et là ça devient plus compliqué pour l’attaquant de trouver une information interressante.

votre avatar







ctxnop a écrit :



Je suis partagé sur le principe.

D’un côté je suis absolument pour que le plus de site possible passent au https pour tout ce que ça apporte en terme de sécurité, de protection de la vie privée, etc…



D’un autre côté, contrairement à ce que je lis ici depuis le début des commentaires, il n’y a pas de certificats SSL gratuits valables.



Il y a StartSSL qui fournit un certificat a moitié moisi, dont on ne peux choisir la force, valable uniquement pour un seul domaine (et donc non valable pour les sous-domaines). Ce n’est pas vraiment un bon plan a part pour les gens qui ont effectivement un seul petit site à passer au https.

Il y a également CACert, qui est communautaire et permet de faire a peu près tous les certificats que vous voulez, mais ils ne sont pas reconnus par les browsers/OS, ou très rarement.



Donc en fait il n’y a que l’offre très très limitée de StartSSL. Or si vous n’entrez pas dans les clous, genre moi qui ai une bonne dizaine de sous-domaines et qui en crée régulièrement d’autres, c’est le côté administratif qui devient lourd, du fait qu’il n’y a pas de certificat wildcard gratuit.



Le côté pervers de ça c’est qu’on peut parier que les gens feront des certificats self-signed, c’est à dire sans CA. C’est moins pire que rien, mais ca fait tomber la moitié des intérêts de SSL et surtout l’utilisateur va s’habituer à “ajouter une exception” puisqu’il tombera sans cesses sur des sites au certificat self-signed.



Résultat, ca réduira a néant les intérêts de SSL, l’utilisateur ne faisant pas la différence entre un certificat valide et approuvé par une CA reconnue, et un certificat pourri, self-signed, qu’un hacker aura injecté pour faire son MitM ou autre fourberie du genre.









Je doute qu’un certificat self-signed améliore le ranking d’un site.



Logiquement, Google devrait le traiter comme un site http.



Et puis personne va s’amuser à mettre un certif self signed sur un site ouvert au public, vu que depuis IE7, IE affiche affiche une page blanche avec un gros warning et un tout petit lien pour recharger la page malgré l’erreur de certificat.



Beaucoup de gens quitteraient le site sans même l’avoir visité.


votre avatar







Groumfy a écrit :



Les données indexées par Google sont publiques ! C’est justement ça le problème.



La confidentialité et la sécurité d’un site, c’est de la responsabilité du site. Ca ne regarde pas Google.



A supposer que je veuille blinder un peu, je vais m’y prendre la façon suivante :





  • pages publiques : HTTP

  • pages d’administration : HTTPS en autosigné



    De cette façon, je blinde les données sensibles comme les mots de passes. Par contre, les navigateurs génèrent des alertes de certificat …







    C’est un autre problème, tu n’as pas compris mon point de vue.



    Je veux du https partout car je ne veux pas qu’un intermédiaire puisse savoir ce qu’il se passe entre moi (client) et le serveur.

    Même si le site web que je consulte est public, je ne veux pas que mon historique de navigation soit public également.



    Par exemple, est-ce que t’as vraiment confiance quand tu utilises un point d’accès wifi d’un hotel avec un portail captif? pas moi. :)



    Pour le self signed, je suis aussi d’accord, c’est pas top mais ça peut être suffisant dans certains cas…


votre avatar







FRANCKYIV a écrit :



As-tu lu mon commentaire ?



Si tu veux utiliser un site en https et le monétiser, il te faut trouver des régies publicitaires en https, et la y en a pas beaucoup …





Et bien dans ce cas tant pis, le traffic des régies publicitaires sera en clair mais le reste sera chiffré, c’est toujours mieux que tout en clair. Et si la pression peut forcer les régies publicitaires à passer en https alors tant mieux


votre avatar







David_L a écrit :









Petite question David :



Pour NXi, je me connecte toujours en https

Et quand je mets le curseur sur le /!\ à gauche de l’URL (Firefox), j’ai :

“Ce site ne fournit aucune information concernant son identité”

Je sais que “Certaines parties de la page que vous visionnez n’ont pas été chiffrées avant d’être transmises sur internet.” (comme des images je suppose), mais qu’en est-il de l’identité ?

C’est au niveau du certificat que vous avez acheté ? Au niveau de la clef ?



Peux-tu m’éclairer un peu plus ? :)

Merci !


votre avatar

Je suis également effaré de voir le peu d’intérêt de HTTPS. Ça ne coute rien (10€/an pour un nom de domaine), et c’est facile d’utilisation. Après, la pub….

votre avatar







pamputt a écrit :



Et bien dans ce cas tant pis, le traffic des régies publicitaires sera en clair mais le reste sera chiffré, c’est toujours mieux que tout en clair. Et si la pression peut forcer les régies publicitaires à passer en https alors tant mieux







Non … tu n’as pas lu mes commentaires …



Mozilla Firefox BLOQUE les contenus http contenus dans du https.


votre avatar







Vanilys a écrit :



Petite question David :



Pour NXi, je me connecte toujours en https

Et quand je mets le curseur sur le /!\ à gauche de l’URL (Firefox), j’ai :

“Ce site ne fournit aucune information concernant son identité”

Je sais que “Certaines parties de la page que vous visionnez n’ont pas été chiffrées avant d’être transmises sur internet.” (comme des images je suppose), mais qu’en est-il de l’identité ?

C’est au niveau du certificat que vous avez acheté ? Au niveau de la clef ?



Peux-tu m’éclairer un peu plus ? :)

Merci !







Cadeau :https://www.ssllabs.com/ssltest/analyze.html?d=nextinpact.com


votre avatar

ce sont les vendeurs de certificats qui vont se regaler… <img data-src=" />

votre avatar

Dans le blog de google il préconise :





Use 2048-bit key certificates





Ceux qui vendent des certificats ils mettent 128256 bits je suis perdu

votre avatar







FRANCKYIV a écrit :



As-tu lu mon commentaire ?



Si tu veux utiliser un site en https et le monétiser, il te faut trouver des régies publicitaires en https, et la y en a pas beaucoup …





Les régies encore ça va, mais les créas et leur distribution…







Vanilys a écrit :



Petite question David :



Pour NXi, je me connecte toujours en https

Et quand je mets le curseur sur le /!\ à gauche de l’URL (Firefox), j’ai :

“Ce site ne fournit aucune information concernant son identité”

Je sais que “Certaines parties de la page que vous visionnez n’ont pas été chiffrées avant d’être transmises sur internet.” (comme des images je suppose), mais qu’en est-il de l’identité ?

C’est au niveau du certificat que vous avez acheté ? Au niveau de la clef ?



Peux-tu m’éclairer un peu plus ? :)

Merci !





Il y a une partie des éléments des pages qui n’est pas en HTTPS, comme le serveur d’images qui nous reste à migrer, les embed de vidéo, etc. Ça doit venir de là.


votre avatar







xillibit a écrit :



Dans le blog de google il préconise :



Ceux qui vendent des certificats ils mettent 128256 bits je suis perdu





T’as encore bien lu l’actu <img data-src=" />





Pour le moment, seuls quelques conseils sont donnés comme de bien choisir le type de certificat, s’assurer d’avoir une clef d’au moins 2048 bits, utiliser des URL relatives, …



Sinon tu confonds pas la longueur de la clef et comment elle est chiffrée ?


votre avatar







FRANCKYIV a écrit :



Non … tu n’as pas lu mes commentaires …



Mozilla Firefox BLOQUE les contenus http contenus dans du https.







Firefox n’est pas le 1er navigateur à bloquer le contenu mixte par défaut.



En fait IE le bloque depuis la version 8 (2009), et c’est une bonne chose, car charger du JS en http depuis une page https c’est une absurdité!

Il est trivial pour un hacker de modifier à la volée le contenu du JS servi en http pour modifier/recuperer le contenu de la page https (qui va exécuter dans le même contexte le code servi en http).



Autrement dit, si vous êtes webmasters et que vous servez du contenu mixte, c’est vos connaissances en informatique qu’il faut remettre en question, pas le navigateur!


votre avatar







jmanici a écrit :



[quote:5119334:FRANCKYIV]



Non … tu n’as pas lu mes commentaires …



Mozilla Firefox BLOQUE les contenus http contenus dans du https.









Autrement dit, si vous êtes webmasters et que vous servez du contenu mixte, c’est vos connaissances en informatique qu’il faut remettre en question, pas le navigateur!





Je parlais de Firefox car c’est celui que j’utilise. Tous les navigateurs doivent être comme ça maintenant.



Et en quoi je dois me remettre en question lorsque j’utilise le script d’une régie publicitaire … <img data-src=" />


votre avatar







flagos_ a écrit :



Ben tu viens de le dire, justement pour protéger du mode connecté. Par exemple chiffrer les mot de passe.







C’est de la blague ca… Pour acceder a un mot de passe sans avoir acces a la machine de l’utilisateur, il n’y a que le Man in the Middle pour faire ca. Et ca ne se fait pas par magie.

Soit l’attaquant est branché directement chez l’hebergeur mais là, y’a soit les services secrets de ton pays, soit la NSA. Mais ils ont bien d’autres vecteurs d’attaques que ton malheureux mot de passe et ce n’est qu’une info parmi d’autre.

Ou alors il est branché sur ton LAN mais là, t’as d’autres soucis que tes mots de passes.



Mais 99% pour des cas (si ce n’est plus), c’est le site web qui stocke ton mot de passe qui se fait pirater. Et pour ca, le SSL n’est d’aucun secours.


votre avatar







polytan a écrit :



Je suis également effaré de voir le peu d’intérêt de HTTPS. Ça ne coute rien (10€/an pour un nom de domaine), et c’est facile d’utilisation. Après, la pub….







un certif SSL chez un revendeur pas trop naze, c’est 50€/an minimum pour un domaine avec un seul sous-domaine.

Pour de multiples sous domaines, c’est 150€.



C’est pas un cout negligeable…


votre avatar







KP2 a écrit :



Ou alors il est branché sur ton LAN







Le LAN pouvant être un wifi public non sécurisé, ce qui est très courant. Tout le monde n’utilise pas un VPN sécurisé quand son smartphone vérifie qu’il n’a pas de nouveaux likes sur instagram.


votre avatar







KP2 a écrit :



un certif SSL chez un revendeur pas trop naze, c’est 50€/an minimum pour un domaine avec un seul sous-domaine.

Pour de multiples sous domaines, c’est 150€.



C’est pas un cout negligeable…





50\( chez Gandi <img data-src=">



Enfin, on est quand même en train de parler d'optimisation du référencement google. Il ne s'agit pas de blogs autohébergés sur ligne ADSL, mais de sites commerciaux. Et là, 150\) par an pour améliorer le référencement par rapport aux concurrents, c’est une affaire.


votre avatar







yellowiscool a écrit :



Le LAN pouvant être un wifi public non sécurisé, ce qui est très courant. Tout le monde n’utilise pas un VPN sécurisé quand son smartphone vérifie qu’il n’a pas de nouveaux likes sur instagram.







Ouais ben c’est pareil : t’as d’autres soucis que ton mot de passe.


votre avatar

Je me vois pas payer un certificat SSL pour mon petit site photos pour être mieux référencé chez Google <img data-src=" />



Bon après il y a pas trop d’intérêt pour un site ou il y a pas de connexion/compte ou autre.

votre avatar







bibou65 a écrit :



Bon après il y a pas trop d’intérêt pour un site ou il y a pas de connexion/compte ou autre.







Ta vie privée, les intermédiaires n’ont pas à savoir ce que tu lis?


votre avatar

Ouai c’est bien gentil le https mais perso on a arrêté de le faire.



Depuis une version relativement récente de Mozilla Firefox … celui-ci bloque d’origine tous les contenus qui ne sont pas en https dans les sites en https.



Dans la pratique, cela voulait dire qu’on se privait des régies publicitaires, des vidéos youtube, dailymotion, etc etc … <img data-src=" />

votre avatar







bibou65 a écrit :



Je me vois pas payer un certificat SSL pour mon petit site photos pour être mieux référencé chez Google <img data-src=" />



Bon après il y a pas trop d’intérêt pour un site ou il y a pas de connexion/compte ou autre.







Il existe des certificats SSL gratuit :)


votre avatar

Vivement que les navigateurs implémentent DANE (enregistrement TLSA dans le DNS, sécurisés par DNSSEC, qui disent que tel ou tel autorité à le droit de signer le certificat du site).

C’est gratuit. Y a rien à payer.



Ah mais oui, c’est sûr que y a plein de gens que ça n’intéresse pas la sécurité gratuite…

votre avatar

Je suis désolé, mais je ne vois pas l’intérêt du https pour wikipedia, lemonde ou NXI (hors mode connecté)…

votre avatar







scullder a écrit :



Ta vie privée, les intermédiaires n’ont pas à savoir ce que tu lis?







je peux comprendre que des petits malins veulent chopper des mots de passe ou des numéros de cartes de crédit etc mais des informations que madame Michou a été voir marmiton je vois pas l’intérêt <img data-src=" />



Donc si tout le web était SSLisé on pourra plus snifer pour chopper des infos? Donc finalement s’est pas si mal que Google force un peu.


votre avatar







scullder a écrit :



Je ne pense pas, avec wireshark, tu pourras juste avoir l’ip du serveur et éventuellement le nom de domaine si tu choppes la requête dns associée.



Si tu interroges un cluster mutualisé OVH, ça rend quand même assez difficile l’identification du site.







Oui je me suis répondu à moi même faute de pouvoir éditer le 1 er post.

On vois la requête dns donc au mieux on connais le site visité.



Après coup je me sens un peu con étant donné que https c’est chiffré d’un bout à l’autre.


votre avatar







scullder a écrit :



C’est un autre problème, tu n’as pas compris mon point de vue.



Je veux du https partout car je ne veux pas qu’un intermédiaire puisse savoir ce qu’il se passe entre moi (client) et le serveur.







Soit. Dans ce cas il faut aller plus loin, et il faut revoir le principe des mails, même si ça n’a plus de rapport avec l’actu.



Il faut aussi que tu restreigne l’utilisation des cookies, et autres fonctionnalités “historique de navigation”.


votre avatar







jmanici a écrit :



Je doute qu’un certificat self-signed améliore le ranking d’un site.



Logiquement, Google devrait le traiter comme un site http.



Et puis personne va s’amuser à mettre un certif self signed sur un site ouvert au public, vu que depuis IE7, IE affiche affiche une page blanche avec un gros warning et un tout petit lien pour recharger la page malgré l’erreur de certificat.



Beaucoup de gens quitteraient le site sans même l’avoir visité.





Visiblement tu n’as pas compris le raisonnement que j’expose…




  1. Google améliore le ranking des sites HTTPS

  2. Conséquence directe : tout le monde veut passer en HTTPS et doit avoir un certificat

  3. Les certificats sont payants et relativement cher, une entreprise n’aura aucun mal à le payer mais la quantité industrielle de blog, forum, wikis, etc… c’est loin d’être gagné

  4. Pour éviter de payer les gens vont se tourner vers les solutions gratuites : startssl, cacert et self-signed, sachant que le premier a de grosses limitations et que les deux autres sont untrusted

  5. L’utilisateur lambda va se retrouver, dans sa navigation quotidienne, avec une tetra-chié de sites qui affichent le fameux warning dont tu parles qui est valable sur tous les browser et non seulement IE

  6. Excédé de ne plus accéder à rien sur le net à quelques exceptions près, il va lire le fameux message et découvrir qu’il peut passer l’erreur en ajoutant une exception, ou quelqu’un le lui dira, etc… Au pire on peut compter sur le fait que de très nombreux tutos expliqueront en détail comment dégager l’erreur et naviguer quand même sur le site en question.



    Le problème c’est bel et bien le fait que les utilisateurs finiront par ajouter des exceptions à tout.

    Aujourd’hui l’utilisateur moyen se contente de raler en allant voir ailleurs quand il voit le message indiquant un certificat untrusted, mais quand il aura ce message 30 ou 40 fois par jour, ce ne sera plus le cas.



    Il y a d’ailleurs de nombreuses personnes qui font déjà ça et il y a déjà de nombreux sites qui parlent de l’erreur et de comment la faire partir.



    Après, comme tu le suggères, Google peut déclarer officiellement, haut et fort, que https untrusted ne sera pas pris en compte dans l’amélioration du ranking. Mais il y aura quand même de nombreuses personnes à passer à côter de l’info et à vouloir quand même leurs https. Sans compter que si on refuse le untrusted, ca implique qu’on impose de passer par une CA payante, et donc qu’on fait une discrimination entre ceux qui se paie un certificat et les autres. C’est pas génial niveau neutralité du net…

    On peut même aller jusqu’a faire un peu le parano et penser que google à un partenariat avec une CA (voir qu’il en a une, je ne suis pas au courant) et qu’en choisissant bien les critères du certificat à avoir il va pousser les gens dans les bras de la CA en question, ce qui donnera plus tard un joli procès, mais le mal sera déjà fait.



    bref, ce que j’essai de dire c’est que la problématique est foutrement plus compliquée que “c’est vachement bien” ou “c’est tout pourri” et donc qu’en l’état je suis indécis.


votre avatar







Groumfy a écrit :



Soit. Dans ce cas il faut aller plus loin, et il faut revoir le principe des mails, même si ça n’a plus de rapport avec l’actu.







Je chiffre avec gpg quand c’est important et mon client mail parle en TLS évidemment.







Groumfy a écrit :



Il faut aussi que tu restreigne l’utilisation des cookies, et autres fonctionnalités “historique de navigation”.







J’utilise privacy badger :)


votre avatar







bibou65 a écrit :



Je me vois pas payer un certificat SSL pour mon petit site photos pour être mieux référencé chez Google <img data-src=" />



Bon après il y a pas trop d’intérêt pour un site ou il y a pas de connexion/compte ou autre.





Tu peux avoir des certificats gratuit.



Faut voir aussi comment seront considérés les auto signés.


votre avatar

Mon hébergeur One.com propose depuis quelques mois, d’activer gratuitement SSL sur nos espaces web.



Le certificat est à validation simple domaine, et non à validation étendue.



Je ne sais pas ce que ça vaut, selon vous est-ce correct ?

votre avatar







Twiz a écrit :



Mon hébergeur One.com propose depuis quelques mois, d’activer gratuitement SSL sur nos espaces web.



Le certificat est à validation simple domaine, et non à validation étendue.



Je ne sais pas ce que ça vaut, selon vous est-ce correct ?





C’est amplement suffisant si tu ne fais pas de commerce en ligne. Un certificat standard prouve que le certificat est bien lié au nom de domaine. Un certificat étendu assure en plus de l’identité légale du propriétaire.



Par exemple :





  • Certificat X appartient au propriétaire de www.paypal.com =&gt; certificat simple

  • Certificat X appartient au propriétaire de www.paypal.com, qui est “PayPal, Inc”, situé à l’adresse postale Y =&gt; certificat à validation étendu




votre avatar







FRANCKYIV a écrit :



La où je râle, c’est uniquement car je ne peux plus utiliser mes régies publicitaires en https. Et que j’ai du repasser en http.





Plains toi à ta régie publicitaire. <img data-src=" />


votre avatar







scullder a écrit :



Si tu interroges un cluster mutualisé OVH, ça rend quand même assez difficile l’identification du site.





Cadeau, rubrique Reverse IP lookup.


votre avatar







psn00ps a écrit :



Plains toi à ta régie publicitaire. <img data-src=" />







Ouai t’as raison, je viens de leur envoyer un email <img data-src=" />


votre avatar







Nathan1138 a écrit :



Entre ce matin et ce soir, des centaines de personnes ont pu voir ce que je lisais comme bouquin.



Faille de sécurité ?



Pas du tout. J’ai pris le train.





J’adore également citer les exemples non numérique des choses… <img data-src=" /> !



Certains pensent (ou ne militent) que pour l’anonymat numérique.. Mais ta banque sait ce que tu fais de ta carte de banque, ton opérateur mobile ou fixe sait qui et quand tu appelles…



Conclusion : Les gens n’ont pas attendu internet et le web pour se renseigner sur un individu ou intercepter des informations sur celui ci… <img data-src=" /> !


votre avatar

Réponse de la régie publicitaire :





Nous ne comptons pas passer en HTTPS, mais doit normalement être

possible d’intégrer du HTTP dans du HTTPS.





Mal barré quoi :-/

votre avatar







Nathan1138 a écrit :



Entre ce matin et ce soir, des centaines de personnes ont pu voir ce que je lisais comme bouquin.



Faille de sécurité ?



Pas du tout. J’ai pris le train.







Fantastique ! Est ce que as lu devant ton patron ? Est ce que tu aurais lu 50 nuances de gris devant ta RH ? Lu Mein Kampf dans l’open space ? <img data-src=" />



tu aurais sans douté caché ça pour ne pas “polluer” l’ambiance au bureau non ? <img data-src=" />



Bah ici, ce qu’on dit c’est que des personnes qui n’ont pas a savoir ce que tu “lis” peuvent le voir car les données ne sont pas chiffrés … grave ? non … enfin ça dépend du niveau de vie privée tu considère avoir droit <img data-src=" />


votre avatar







psn00ps a écrit :



Cadeau, rubrique Reverse IP lookup.







thanks, derrière une ip, tu peux avoir 10000 sites web avec autant de domaines. Par exemple essaye avec 213.186.33.17 et dis moi quel site j’ai visité…


Google va favoriser les sites accessibles en HTTPS dans ses résultats

  • Le chiffrement des échanges : la majorité des sites s'en passent, Google veut agir

  • Passser un site en HTTPS : plus facile à dire qu'à faire

  • Le référencement, la publicité, les contenus : tout est à réadapter

  • Tout chiffrer ou ne rien chiffrer : telle n'est pas la question

Fermer