Si une propriété de site Web a été vérifiée dans la Console de Recherche de Google et que le site Web n'est pas sécurisé par HTTPS, vous avez probablement vu récemment une certaine forme des messages suivants dans votre tableau de bord :
Après des mois de discussions et de spéculations, Google a finalement commencé à aller de l'avant avec son plan pour sécuriser le web en appliquant HTTPS. Bien que le protocole HTTPS n'ait auparavant préoccupé que les sites de commerce en ligne ou les sites dotés de fonctionnalités de connexion, cette dernière mise à jour affecte beaucoup plus de sites.
La grande majorité des sites Web ont une page de contact (ou quelque chose de similaire) qui contient un formulaire de contact ou d'abonnement. Ces formulaires contiennent presque toujours des champs de saisie de texte comme ceux que Google met en garde dans le message ci-dessus.
L'avertissement «NON SÉCURISÉ» apparaît déjà sur les sites non sécurisés qui collectent des informations de paiement ou des mots de passe. Il ressemble à ceci dans la barre d'URL d'un utilisateur :
Maintenant que cet avertissement sera affiché avec un pourcentage beaucoup plus important du Web, les webmasters ne peuvent plus retarder une implantation HTTPS. Malheureusement, les conseils de Google aux webmasters pour résoudre ce problème sont à peu près aussi vagues et inutiles que vous pouvez l'imaginer.
La mise en place d’une sécurité HTTPS n'est pas un processus simple. Le Washington Post a publié un article de blog décrivant leur migration HTTPS sur 10 mois en 2015, et de nombreux sites (y compris Moz) ont signalé de fortes fluctuations de trafic suite à leurs migrations.
Le temps et les ressources nécessaires pour migrer vers HTTPS ne constituent pas un investissement mineur ; nous parlons d'une révision substantielle du site Web. En dépit de ces obstacles, Google a montré peu de sympathie pour le sort des webmasters
L'accent singulier de Google dans ce domaine est de fournir une meilleure expérience utilisateur aux visiteurs du Web en améliorant la sécurité d’Internet. D’un point general, il n'y a rien de mal à ce mouvement. Cependant, le mépris flagrant de Google pour les complexités que cela crée pour les webmasters laisse un goût moins agréable dans ma bouche, malgré leurs bonnes intentions.
Heureusement, il y a un peu d'argent à ces préoccupations HTTPS. Au cours des dernières années, nous avons collaboré avec différents clients pour implanter la sécurité HTTPS sur leurs sites en utilisant différentes méthodes.
Chaque expérience était unique et présentait ses propres défis et obstacles. Dans ma dernière publication, j'ai écrit sur les étapes à suivre avant, pendant et après une migration basée sur notre expérience. Dans cette publication, mon objectif est plutôt de mettre en évidence les avantages et les inconvénients de divers services HTTPS, y compris les implantations non traditionnelles.
Voici les trois méthodes avec lesquelles nous avons travaillé pour nos clients :
1. Implantation HTTPS traditionnelle
2. Let’s Encrypt
3. Cloudflare
1ère Méthode : implantation HTTPS traditionnelle
Une implantation HTTPS traditionnelle commence par l'achat d'un certificat SSL auprès d'un fournisseur de confiance, comme Digicert ou Comodo (indice: si un site vendant des certificats SSL n'est pas sécurisé par HTTPS, ne les achetez pas!). (* REMARQUE: Google vient d'annoncer qu'il ne fera plus confiance aux certificats émis par Symantec, qui inclut les marques Thawte, VeriSign, Equifax, GeoTrust et RapidSSL.)
Après cela, vous devrez vérifier le certificat auprès de l'Autorité de Certification où vous l'avez acheté via une Demande de Signature de Certificat (CSR); cela prouve que vous gérez le site que vous prétendez gérer. À ce stade, votre certificat SSL sera validé, mais vous devrez toujours le mettre en place sur votre site. Vous pouvez consulter notre tutoriel sur comment installer de certificats SSL ou encore le guide complet sur comment migrer du http vers https. Une fois ce certificat SSL installé, votre site sera sécurisé et vous pouvez prendre des mesures supplémentaires pour activer HSTS ou à ce stade les réécritures HTTPS forcées.
Avantages
1. Sécurité complète. Avec un certificat SSL entièrement validé et installé sur votre serveur principal, il n'y a aucune possibilité d'avoir une connexion compromise entre votre serveur et votre site, ou entre votre site et le visiteur du site.
2. Personnalisable. L'une des fonctionnalités d'une implantation SSL complète est que vous pouvez acheter un certificat SSL de Validation Étendu (EV). Cela fournit non seulement votre cadenas vert dans la barre du navigateur, mais inclut également le nom de votre entreprise pour fournir une assurance supplémentaire aux visiteurs pour dire que votre site est sécurisé.
3. Plus facile à implanter sur plusieurs sous-domaines. Si vous avez plusieurs sous-domaines, vous aurez probablement besoin soit d'un certificat SSL distinct pour chaque sous-domaine soit d'un certificat générique pour toutes les variantes de votre domaine. Un service SSL traditionnel est souvent le moyen le plus simple de configurer un certificat générique si vous devez sécuriser plusieurs variantes.
Inconvénients
1. Coûteux. Bien que les certificats SSL de base puissent être disponibles pour aussi peu que 150 $, ces coûts peuvent rapidement atteindre plusieurs milliers de dollars si vous avez besoin de fonctionnalités de sécurité plus avancées, d'un meilleur réseau CDN, etc. Cela n’inclut également pas le coût d’implantation du certificat SSL par les développeurs, qui peut aussi être étendu.
2. Temps de mise en place. Comme mentionné ci-dessus, il a fallu 10 mois au Washington Post pour terminer leur migration HTTPS. D'autres sociétés ont signalé des délais similaires, en particulier pour les sites Web plus grands et plus complexes.
Il est très difficile de savoir à l'avance quels types de problèmes vous devrez résoudre avec la configuration de votre site, ou quels types de contenu mélangé vous pourriez rencontrer, etc., alors prévoyez beaucoup de temps pour résoudre ces problèmes si vous utilisez une implantation standard.
2ème Méthode : Let’s Encrypt
Let’s Encrypt est un service gratuit à but non lucratif fourni par le Groupe de Recherche en Sécurité d’Internet pour promouvoir la sécurité Web en fournissant des certificats SSL gratuits.
Let’s Encrypt est très similaire à une implantation HTTPS classique : vous devez toujours valider l'autorité de certification, installer le certificat SSL sur votre serveur, puis activer les réécritures HSTS ou les HTTPS forcés.
Cependant, la mise en place de Let’s Encrypt est souvent beaucoup plus simple grâce à des services tels que Certbot, qui fournira le code d'implantation nécessaire pour votre logiciel et votre configuration de serveur.
Avantages
1. Gratuit. Le coût est de zéro, zippo, nada. Pas de petits caractères ni de détails cachés.
2. Facilité de mise en place. Let’s Encrypt SSL est souvent beaucoup plus simple à implanter sur votre site qu'une implantation HTTPS traditionnelle. Bien que n'étant pas aussi simple que Cloudflare (voir ci-dessous), cette facilité d'implantation peut résoudre un grand nombre d'obstacles techniques pour les personnes souhaitant installer un certificat SSL.
3. Sécurité complète. Comme avec une mise en place de sécurité HTTPS traditionnelle, toute la connexion entre le visiteur du site et le serveur du site est sécurisée, ne laissant aucune possibilité de connexion compromise.
Inconvénients
1. Problèmes de compatibilité. Let’s Encrypt est connu pour ne pas être compatible avec différentes plates-formes, mais celles avec lesquelles il est incompatible ne sont pas susceptibles d'être une source majeure de trafic vers votre site (Blackberry, Nintendo 3DS, etc.).
2. Des certificats de 90 jours. Alors que les certificats SSL traditionnels sont souvent valables pendant un an ou plus, les certificats de Let's Encrypt ne sont valables que pour 90 jours et ils recommandent de les renouveler tous les 60 jours. Oublier de renouveler votre certificat avec cette fréquence indispensable pourrait mettre votre site dans une situation compromettante.
3. Personnalisation limitée. Let's Encrypt n'offre que des certificats de validation de domaine, ce qui signifie que vous ne pouvez pas acheter un certificat pour obtenir ce certificat SSL de barre verte de Validation Étendue. En outre, Let's Encrypt n'offre pas actuellement de certificats génériques pour sécuriser tous vos sous-domaines, bien qu'ils aient annoncé que ce déploiement se ferait en janvier 2018.
3ème Méthode : Cloudflare
C'est l'une de mes implantations HTTPS préférées, simplement parce que il est facile à activer. Cloudflare offre un service SSL flexible, qui élimine presque tous les tracas de l'implantation d'un certificat SSL directement sur votre site. Au lieu de cela, Cloudflare hébergera une version en cache de votre site sur leurs serveurs et sécurisera la connexion aux visiteurs du site grâce à leur propre protection SSL. Vous pouvez voir à quoi cela ressemble dans l'image ci-dessous :
Ce faisant, Cloudflare rend ce processus aussi simple que vous pouvez le demander. Tout ce que vous avez à faire est de mettre à jour vos enregistrements DNS pour pointer vers les serveurs de noms de Cloudflare. Boom, c’est fait. Et comme avec Let's Encrypt, le processus est entièrement gratuit.
Avantages
1. Gratuit. Le coût est de zéro, zippo, nada. Pas de petits caractères ni de détails cachés. Cloudflare offre des fonctionnalités plus avancées si vous effectuez une mise à niveau vers l'un de leurs forfaits payants, mais le service SSL de base est entièrement gratuit.
2. L’implantation la plus facile. Comme je l'ai mentionné ci-dessus, tout ce qui est nécessaire pour mettre en place le service SSL de Cloudflare est la création d'un compte et la mise à jour de vos enregistrements DNS. Il n'y a ni mise à jour de la configuration du serveur ni de temps passé à essayer de résoudre des problèmes de configuration supplémentaires. De plus, l'implantation de réécritures HSTS et de HTTPS forcées peut se faire directement via le tableau de bord de Cloudflare, donc il n'y a pratiquement pas de travail de votre côté.
3. La vitesse d’optimisations de page. En plus de la sécurité SSL, la mise en place d’un HTTPS de Cloudflare fournit également plusieurs services supplémentaires qui peuvent préserver les points PageSpeed et les temps de chargement des pages. Bien qu'une implantation HTTPS traditionnelle (ou Let's Encrypt) puisse souvent avoir des conséquences négatives sur les temps de chargement des pages de votre site, Cloudflare offre la possibilité d'auto-minifier JS, CSS et HTML; Les pages mobiles accélérées (AMP); et un chargeur Rocket pour des temps de chargement JS plus rapides. Toutes ces fonctionnalités (ainsi que Cloudflare qui sert une version mise en cache de votre site aux visiteurs) permettront d'éviter toute augmentation du temps de chargement des pages sur votre site.
Vous pouvez consulter notre liste d'hébergeurs offrant des installation automatique de SSL CloudFlare
Les inconvénients
1. Cryptage incomplet. Comme vous pouvez le voir sur l'image ci-dessus, Cloudflare crypte la connexion entre le visiteur et la version mise en cache de votre site sur Cloudflare, mais ne crypte pas la connexion entre votre site et votre serveur. Bien que cela signifie que les visiteurs du site peuvent se sentir en sécurité lors de la visite de votre site, il y a toujours une chance que votre connexion au serveur soit compromise. Bien que vous puissiez mettre à niveau vers une implantation SSL complète qui active cette configuration, cela ne fait pas partie du service gratuit.
2. Préoccupations de sécurité. Cloudflare a été indéniablement piraté plus tôt en 2017, exposant beaucoup d'informations utilisateur sensibles. Bien qu'il semble qu'ils ont résolu et resserré la sécurité depuis lors, il est important d'être conscient de cette évolution.
3. Manque de personnalisation. Comme avec Let's Encrypt, le service SSL gratuit de Cloudflare ne fournit aucun type SSL de barre verte de Validation Étendue pour votre site. Alors que vous pouvez mettre à niveau vers le SSL complet qui fournit cette fonctionnalité, le service n'est plus gratuit à ce moment.
Quel type de sécurité HTTPS est le meilleur ?
Cela dépend vraiment de votre site. Les sites plus petits qui ont juste besoin de suffisamment de sécurité pour que Google ne bannit pas le site dans Chrome peuvent utiliser Cloudflare.
Il en va de même pour les agences fournissant des recommandations HTTPS aux clients où vous n'avez pas le contrôle du développement du site. D'autre part, les principaux sites d'e-commerce ou de publication vont vouloir une implantation HTTPS entièrement personnalisée. Cette implantations sera via des moyens traditionnels (ou via le certificat générique de Let's Encrypt, lorsque cela se produira l'année prochaine).
En fin de compte, vous devrez décider quelle implantation est la plus logique pour votre situation.
