Attendue pour le 23 octobre, cette version fera du HTTPS la valeur par défaut pour les sites visités. Traduction : l'accès sécurisé deviendra le standard, seuls les sites n'en profitant pas étant alors labellisés comme tels.
Jusqu'à présent, ce signalement n'était présent que sur les pages embarquant un formulaire de connexion, afin d'avertir l'internaute que ses identifiants étaient transmis sans chiffrement.
Chrome a adopté ce comportement global dans sa version stable depuis l’année dernière. Dans Firefox, il faut pour l'instant changer un réglage dans le « about:config » pour l'obtenir :
- security.insecure_connection_icon.enabled : dans toutes les sessions de navigation
- security.insecure_connection_icon.pbmode.enabled : uniquement en navigation privée
Les utilisateurs des versions Nightly peuvent cependant voir ce nouveau comportement par défaut. Firefox 69 devant sortir dans quelques jours, la version 70 entrera dans la foulée dans le canal bêta et sera dès lors disponible chez un plus grand nombre d’utilisateurs.
Selon les dernières statistiques fournies par Let’s Encrypt, 79,3 % des pages chargées par Firefox sont actuellement en HTTPS (la télémétrie provient de Mozilla).
La majeure partie du chemin a donc déjà été parcourue, mais les derniers 20 % seront les plus difficiles à résorber, l’immense majorité des principaux sites ayant déjà transité vers le HTTPS. Le changement introduit dans Firefox 70 ne peut donc qu’encourager les retardataires.
Commentaires (34)
#1
#2
Quel est l’intérêt de pousser tous les sites web à passer en https ?
Autant je comprends l’absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?
Par exemple :https://stallman.org/
A quoi sert le https dans ce cas ?
N’est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?
#3
#4
http://www.allocine.fr/
#5
#6
#7
Il me semble que ça permet de savoir que c’est bien le site demandé qu’on lit (sauf certificats menteurs de certains pays, mais c’est rare).
Il est plus difficile de corrompre les données entre le site et ton navigateur.
#8
#9
#10
#11
Pour protéger un maximum sa vie privée vis à vis des DNS:
Check la sécurité DNS (Secure DNS + DNSSEC + Encrypted SNI):https://www.cloudflare.com/ssl/encrypted-sni/
Liste d’autre serveurs DNS que cloudflare (américain donc pas fiable) par défaut de Firefox à utiliser pour le DNS sur HTTPS:
https://github.com/curl/curl/wiki/DNS-over-HTTPS
Après ça passera toujours par un intermédiaire tiers du site visité, c’est vraiment pas idéal, mais c’est toujours mieux de centraliser et chiffrer vers un seul acteur, que de balancer tout en clair sur le réseau (FAI, gouvernement, espions, pirates, entreprises etc…).
La solution idéale serait de passer les requêtes DNS par TOR mais c’est pas à l’ordre du jour.
#12
#13
Merci pour la config d’ESNI, je ne connaissais pas. Pour le DNS over HTTPS, j’utilise déjà ceux de Quad9 :)
#14
Ça passe toujours par un tiers du site visité, sauf que là tu en as le contrôle. Mais cette solution est pas possible pour la grande majorité des utilisateurs. DNS via TOR c’est ça l’avenir.
#15
Si je ne m’abuse, si le domaine n’est pas chiffré, c’est en partie parce que les protocoles de sécurisation de la résolution DNS ne sont pas développés (et que, de toutes façons, le résolveur DNS est la plupart du temps un tiers, que ce soit le FAI ou son employeur, donc il doit avoir l’information en clair pour réaliser la résolution). Sachant que le chiffrement des requêtes DNS vers un serveur d’autorité n’est pas possible à ce jour.
Ça n’est pas la raison unique ; même si on chiffre la résolution DNS et qu’on utilise un tiers de confiance, il faut transmettre au service contacté le nom de domaine et le(s) sous-domaine(s) [typiquement pour la gestion des vhosts côté serveur] ; or, à l’heure actuelle, la transmission chiffrée de ces informations n’est pas supportée de façon générale (que ce soit over TSL ou over HTTPS).
#16
A la question “pourquoi pour le site lambda, alors que le besoin est réel pour le site de e-commerce ?”
Rappelons que le fait d’aller sur un site chiffré quand le reste en clair pose la question de “qu’est-ce que tu as à cacher ?” alors que lorsque tout est chiffré, la question ne pose pas .
En prévention :https://fr.wikipedia.org/wiki/Rien_%C3%A0_cacher_(argument) .
#17
#18
#19
Merci pour vos retours !
Notamment les informations concernant l’URL.
Je pensais qu’elle n’était pas du tout concernée par le chiffrement (d’où mon questionnement, si tout le monde peut savoir où l’on va, pourquoi chiffrer le contenu des pages).
Je reste toutefois mitigé sur cette volonté de plus ou moins imposer le https à tout le monde.
Cela ne me parait pas être la bonne approche en ce qui concerne la protection de la vie privée qui doit relever de la vigilance de chacun.
Le chiffrement n’empêche pas le site web sur lequel on se rend d’être au final malveillant. Par exemple, je suppose qu’ un État peu scrupuleux peut créer un site relevant d’une idéologie particulière et collecter les IP des personnes qui viennent le consulter (sauf s’ils sont passés par TOR, mais peut-être que Firefox nous alertera dans ses prochaines versions que nous ne sommes pas passé par TOR ?).
Aussi, j’aurais plutôt tendance à craindre que ce chiffrement intégral n’ait pour conséquence que de faire baisser le niveau de vigilance (déjà bien bas…) des internautes et, encore une fois, de consommer des ressources énergétiques pour pas grand chose, même si les CPU sont optimisés pour.
#20
#21
#22
#23
Pour les cas de sites voulant afficher son identité, il y a toujours la solution du certificat EV qui affiche le nom de l’entreprise dans la barre d’adresse (à côté du cadenas justement).
Certes, c’est plus coûteux et contraignant qu’un certificat DV classique mais ça oblige le demandeur à prouver son identité. A l’avenir, il va juste falloir adapter ce conseil… et apprendre aux gens à ne pas se fier au joli cadenas gris maintenant. ^^’
#24
Comme précisé, seul le nom de domaine est transmis en clair, cela s’appelle Server Name Indication qui permet d’avoir plusieurs certificats TLS et donc plusieurs sites sur la même adresse IP.
Avec DNS over TLS/HTTPS, Encrypted SNI (qui utilise aussi DNS pour obtenir une clé publique en avance) et TLS 1.3 (qui ajoute le support d’ESNI), il y a moyen de masquer le site visité aux fournisseurs d’accès à Internet et aux routeurs sur le réseau, mais vu la difficulté et la nécessité d’utiliser des services cloud pour que l’adresse IP soit partagée avec de nombreux sites, il y a peu de chances que ce soit adopté par de nombreux sites, en gros seul Cloudflare peut proposer ça actuellement (et Cloudflare a accès à tout le traffic en clair évidemment).
#25
Jusqu’au jour où le cadenas disparaîtra parce que l’HTTPS sera considéré standard à 1⁄2 % près, rendant l’accès à cette information moins aisée et donc personne ne fera attention.
Oui j’ai tendance à ne pas sous-estimer les nuisances que génèrent l’informatique dumbing-down.
#26
#27
Je ne peux plus modifier le message.
La source :
https://groups.google.com/forum/m/?fromgroups&hl=en#!topic/firefox-dev/6wAg_PpnlY4
#28
Donc par crainte de notre prochain, nous avons maintenant la possibilité de parler avec tout le monde sans écoute, mais de ne plus être sur d’avec qui
" />
Ca aurait du être des travaux parallèles ^^”
#29
J’étais pas au courant pour le coup, merci de l’information.
" />
Mais du coup, je me demande vers quoi on se dirige avec le HTTPS… D’un côté, on le pousse pour tout le monde, mais de l’autre, il perd son atout “d’identification” du site en question. Ça existera toujours mais combien de personnes sauront qu’ils peuvent avoir le détail en cliquant sur le cadenas… :/
#30
#31
Ça évite le MITM. Genre, pas d’injection de pub possible, ou de malware, ou autre, entre le serveur et ton client. Du moins, tant que le bon certificat est utilisé (en entreprise ou dans certains pays, c’est pas garanti).
#32
Je n’ai pas besoin que les vidéos de chatonsgentils.fr soient chiffrées.
C’est une pollution inutile pour la planète et ca fait peur à celui qui vient sans raison.
Mets ta combinaison bactériologique, il pourrait y avoir une variante d’Ebola.
#33