HTTPS : Faut-il y passer en 2017 ?

Passer en https ?

Ce matin, j’ai reçu un mail de la part d’un client qui a lui-même reçu une demande d’un de ses visiteurs concernant le HTTPS. En effet, l’internaute semblait avoir un doute, semblait même avoir une sorte de peur que le site ne soit pas sécurisé, notamment à cause des premiers avertissements sur Google Chrome stipulant l’absence de sécurité optimale.

Faut-il passer en HTTPS ? Un site en HTTP est-il vraiment non sécurisé ? Que de questions qui me pousse à ouvrir le débat en cette fin d’année en donnant mon avis et en vous demandant le vôtre : Dois-ton passer tous les sites en protocole sécurisé en 2017 ?

Ce qu’on sait sur le HTTPS

Actuellement, nous sommes pour moi en transition. Auparavant, beaucoup de sites étaient en HTTP et ne passaient pas en HTTPS, car les certificats SSL étaient trop chers ou parce qu’il n’en voyait pas l’utilité pour leurs projets.

Personnellement, je trouve cet avis tout à fait viable pour l’époque.

Pour un site e-commerce, on est d’accord que des données sensibles transitent et qu’il y a des gens qui achètent des produits, qui passent des commandes, etc… C’est nécessaire le HTTPS dans ce cas.

Maintenant, pour un site qui fait que de l’information sans aucune fonctionnalité particulière (tu lis juste), j’avais du mal à y trouver un intérêt. Même pour le SEO, je ne remarque pas de boost significatif dès le passage en protocole sécurisé.

Comme je le disais il y a quelques temps sur ce blog, 70% du web et des réseaux ne sont pas sécurisés. Si quelqu’un veut vous attaquer, il le fera, d’une manière ou d’une autre. Passer en HTTPS peut vous permettre de crypter un minimum les données, etc… Mais ça n’empêchera pas le piratage de la part des petits lamers qui n’ont rien à faire de leur vie.

Je vais vous confier un secret. Depuis des mois je me fais attaquer par des gens sur la page de login et via le système de ping de WordPress. Je ne sais pas si c’est une seule et même personne, si c’est volontaire ou non, ou encore si c’est un bot ! Cela dit, HTTPS n’aurait rien changé pour un site comme le mien.

Bref, aujourd’hui, nous sommes en transition et Google Chrome, Mozilla Firefox, etc.. Commencent a mettre des messages comme quoi « ce site n’est pas sécurisé ». Comme dirait Fabien, aujourd’hui c’est le petit avertissement, demain ça sera la grosse popup !

Avec l’arrivée de certificats gratuits comme « Let’s Encrypt », la simplicité des migrations HTTP vers HTTPS, on doit réellement se poser la question. Cela dit, est-ce que TOUS les sites doivent y passer. Voici mon avis.

Faut-il passer en HTTPS ?

Il y a quelques mois, ma recommandation concernant le HTTPS était de passer obligatoirement les sites avec des données sensibles, ou les sites ayant besoin de confiance (donc avec des gens qui regardent la barre d’adresse régulièrement) en HTTPS.

En effet, je n’ai pas noté de changements spécifiques ou de retours particuliers sur des sites éditoriaux, même sur des sites où la recherche est beaucoup utilisée. Cela dit, si ces sites sont prêts à y passer, c’est avec plaisir. Clairement, on en parle et la question est abordée.

Maintenant, je dois dire que le genre de message comme celui que j’ai reçu aujourd’hui me laisse encore un peu plus perplexe pour le web en général :

Depuis quelque temps, à la place du petit cadenas, j’ai un ! entouré d’un cercle à côté de l’adresse du site. […]

[…] Sélectionnez la barre d’adresse.
Supprimez http://, puis saisissez https:// à la place.
Si cela ne fonctionne pas, contactez le propriétaire pour lui demander de sécuriser son site et vos données avec le protocole HTTPS.

Peux-tu me dire pourquoi le site du forum ne semble plus sécurisé ? […]

Cette personne est un habitué du site, ça se voit en lisant l’entièreté du message. La véritable question qu’il faut se poser c’est « Est-ce que cette personne est seule à voir cela, à y prêter attention ? » sachant que le site ne vend strictement rien, ne propose que des articles de blog et un forum public.

Si c’est une exception, on a juste à lui expliquer qu’on en a pas réellement besoin (encore que sur un forum c’est déjà un peu plus sensible). Par contre, si tout le monde pense que le site n’est pas sécurisé, je dirais qu’il faut vraiment commencer à y passer, tous sites confondus.

Comme je dis souvent, si on n’est pas sur et qu’on doute, autant nous enlever ce doute en faisant une action.

Conclusion

Je pense que c’est à traiter au cas par cas, car je vois mal certains de mes clients passer en HTTPS dès maintenant (de par la technologie obsolète, les changements que ça pourrait faire et l’inutilité d’une telle chose dans certains cas). Maintenant, j’essaye d’en passer un maximum. Quand on est face à une réalité comme un internaute qui se demande si le site est sécurisé, on doit en prendre soin et faire en sorte qu’il se sente bien chez nous, en sécurité, en confiance.

Donc les sites à données sensibles et ceux qui ont besoin de confiance, je les passe en force/obligatoirement en HTTPS. Les autres sites, je dis que c’est une bonne chose et que ça ne coûte rien d’y passer aujourd’hui. Par rapport à il y a quelques mois, je pense que j’insiste plus et que je mets en avant ces avertissements provenant de Chrome, etc.

Et vous ? Qu’en pensez-vous ?

 

Commentaires

      Alexandre Poulet

      says:

      Question intéressante que celle du HTTPS généralisé.
      Je suis assez de ton avis pour l’instant, par principe je me méfie toujours des communications absolues de type « menaces » (ex: « si vous ne passez pas au HTTPS votre site sombrera dans les abîmes de Google ») sans réel fondement. Je pense que le recul n’est pas encore suffisant pour valider un gain SEO direct sur un site qui basculerait en https. Par contre pour les e-commerce (tunnel de commande/achat) et besoin de réassurance car sites à données « sensibles », là ok pour pousser systématiquement (c’est du bon sens !)

        Christian MÉLINE

        says:

        Salut Thomas,

        Côté sécurisation technique, le https est du flan :
        Ça n’apporte rien du tout en termes de sécurisation et cela peut même s’avérer catastrophique : ton serveur attrape un virus ou autre, celui-ci hérite de la confiance de ton certificat vis-à-vis de l’extérieur : la vie est belle !
        Par ailleurs, il est possible sur un ordinateur de défaire les paquets https sortants pour lire les datas qui transitent… OK, il faut déjà que le renifleur soit sur ton ordinateur, mais, il me semble que cela arrive, non ? : D

        Côté sécurisation de l’internaute :
        À la limite, cela peut ne rassurer en cas de transaction, car le site est moins anonyme, mais il peut y avoir des escrocs derrière un site en https, donc, finalement, aucun avantage décisif au htpps ici.

        Côté Google:
        Cela lui permettra, le moment venu, de savoir quels sites sont probablement licites et ceux qui ne le sont peut-être pas… et encore, avec les certificats partagés sur un même serveur, cette lecture va perdre un jour en intérêt.

        Alertes de « Chrome » :
        Ce n’est pas la première fois que Google nous balade… et comme à chaque fois, il va permettre à des opportunistes de pouvoir profiter de l’aubaine… et on cédera, parce que des personnes mal informées utilisent Chrome sans savoir ce qu’il fait, lui, derrière le dos de son utilisateur…. (perso, j’ai fait une full-desinstall de Chrome en 2013 après avoir vu les daemons qu’il installait sur ma machine, lesquels daemons changeaient de nom à chaque lancement de Chrome…)

        Ma conclusion :
        On finira tous par y passer… et on fera cela sans doute en 2017….

          Yoann LUBIN

          says:

          Je pense que c’est une bonne arnaque ce « forçage »…
          Comme tu dis Thomas pour des données sensibles OK, mais pour de banals sites ne transitant pas de données nécessitant un cryptage je trouve ça ridicule, le pire est que l’on va être obligé car on aura droit bientôt à un beau popup et Google nous annoncera qu’il pénalise les sites qui affiche ce genre de popup (même pour ne pas mettre en avant une application…).
          Bref amis développeurs et designers n’attendez pas trop pour au moins préparer le terrain afin de ne pas agir en mode speed quand le billot tombera.

          Merci pour cet article thomas

            Xavier

            says:

            Mon opinion, c’est que la valeur accordée à la confiance, à l’image qu’on dégage, n’a pas de prix. Un visiteur doit toujours se sentir entièrement en confiance sur un site, même si un HTTPS est inutile car aucune donnée ne transite.

            A l’heure où on encourage les gens à faire attention aux faux sites, aux arnaques, aux fausses pubs, à ceci et à cela, il est normal que de nombreuses personnes, pas très au faite des technologies, aient moins confiance, voir peur, quand un site ne présente pas ce fameux cadenas vert.

            Je formulerais donc la question autrement: « À part pour les sites où il est technologiquement lourd et coûteux de passer en HTTPS, pourquoi ne pas y passer ? ». Car, justement, c’est un signe de confiance, une image positive, un effet rassurant, même si il est inutile. Car cette confiance, l’image, elle n’a pas de prix !

            Même si cela ne sert à rassurer que 5% des visiteurs, ce sont peut-être des visiteurs qui peuvent être de futurs clients ou de futurs ambassadeurs. Si ils n’ont pas confiance, ils passeront peut-être leur chemin à cause d’une image écornée.

              Romain PETIT

              says:

              Salut Thomas,
              J’ai lu quelques articles récemment sur le HTTPS.
              Finalement j’en tire les mêmes conclusion que toi dans cet article.

              J’espère que les sites e-commerce avaient pensez à çela bien avant d’entendre Google dire qu’il y aurait un « boost » pour le SEO. La sécurité étant je pense une priorité pour pas mal d’acheteur.

              Pour les sites d’informations, je ne vois toujours pas l’intérêt d’y migrer car aucune donnée sensible n’est collecter par le site, mais bon il semble aujourd’hui que ce soit plus simple qu’avant donc s’il y a une vraie envie, pourquoi pas.

              Enfin pour les sites qui se créent aujourd’hui, peut importe qu’ils soient e-commerce ou simple site d’information, autant se mettre en HTTPS, ça ne coûte pas plus cher et il y a potentiellement un petit up SEO.

              Je dirais donc que le cas par cas se fait pour les sites existants et pour les nouveaux sites un oui.

                Thomas Cubel

                says:

                Merci à tous pour vos commentaires, ça fait plaisir de voir qu’il y a encore des gens qui prennent le temps de répondre, ça me manquait ! Tout cela me fait penser à ces histoires d’hébergements mutualisés, dédiés, clouds, etc… Est-ce bien un mutu pour un e-commerce, etc… Doit on investir là dedans ? J’ai toujours estimé que c’était comme le « local pignon sur rue », donc oui. On ne déconne pas avec un e-commerce.

                @Alexandre Poulet : Carrément que c’est du bon sens. Tu as bien vu l’aspect généralisé que j’ai voulu indiqué. C’est pour moi inutile que 100% des sites soient en HTTPS. Après, on verra bien dans le temps. Perso je suis SEO, il y a d’autres points de vue à prendre en compte aussi.

                @Christian Méline : Je suis 100% d’accord avec toi. Le HTTPS aujourd’hui, tout le monde peut se le prendre, même les personnes malveillantes. Finalement, ça revient à mettre tout le monde sur le même pied d’égalité. La seule chose qui change c’est le cryptage des données, encore que tu peux détourner le truc autrement effectivement. Bizarrement, quand tu as marqué ça, j’ai pensé à Yandex Metrica & co qui nous permettent de voir beaucoup de choses ;)

                @Yoann Lubin : Idem que pour les autres, d’accord avec toi.

                @Xavier : Tu as raison, ça donne une bonne image, ça mets en confiance. L’internaute aurait vu le cadenas en haut, il aurait rien eu dans sa boite mail mon client ce matin. Maintenant, le généraliser et dire que le site n’est pas sécurisé, c’est de la connerie ! Les seuls systèmes aujourd’hui qui sont à peu près sécurisés sont les banques, les impots, les app comme ça… On devrait tout le temps avoir un message d’alerte. Je trouve que la communication sur le HTTPS est particulièrement merdique. C’est pas parce qu’un site est HTTPS qu’il est sécurisé.

                @Romain Petit : Pour le petit UP SEO, je suis assez mitigé encore. Il y en a un, mais je ne peux pas dire qu’à chaque migration, cela fasse son effet. Est-ce que ça impacte pas un autre critère ? J’y crois un peu plus (il y a des effets en science qui sont là, qu’on constate, mais qu’on ne sait pas expliquer). Dans tous les cas, clair que ça coûte plus rien et qu’il faut y passer pour les nouveaux sites. Pour les anciens, il faut se poser la question.

                  Xavier

                  says:

                  @Thomas: Attention, je n’ai pas dit qu’un HTTPS assurant une sécurité absolue. Je parle uniquement de l’image renvoyée par le site pour un internaute lambda qui ne connaît pas grand chose au fonctionnement d’internet, aux serveurs, etc… Si je dis que l’HTTPS devrait être généralisé, c’est uniquement pour l’image et la confiance. ;)

                    Philippe

                    says:

                    Pour « Depuis des mois je me fais attaquer par des gens sur la page de login et via le système de ping de WordPress. »
                    Depuis que j’ai mis http://www.philippe-donnart.com/proteger-wordpress-contre-les-attaques-sur-xmlrpc.html en place je suis plus tranquille.

                      Raph

                      says:

                      Hello Thomas,
                      une chose qu’il faut bien expliquer aux clients aussi, c’est que passage de http -> https revient à une migration et tous les risques que cela peut apporter.
                      Et même quand tout se passe correctement, il y a des dommages collatéraux.
                      Mon dernier exemple en date, un site que j’ai racheté, refondu et j’ai profité de l’occasion pour le migrer en https. Et bien Google m’en a fait voir de toutes les couleurs avec parfois dans sa serp le title du https, l’url du http et la meta desc du http. Il m’a même fait disparaître ma home pendant presque 72H avant de me mettre la version https à la même place.
                      Et pourtant tout avait été fait dans les règles de l’art (maillage, interne, sitemaps, GSC, forçage de crawl…)
                      Donc si on part sur un site neuf je dis go à 100% pour du https.
                      Si c’est une migration j’étudie au cas par cas si intéressant / nécessaire et surtout je prévois cela pendant une période creuse de l’activité du client.
                      Voila mon point de vue
                      ++
                      Raph

                        Thomas Cubel

                        says:

                        C’est dans les logs que je vois qu’on tente des trucs, j’ai aucun problème :)

                          Thomas Cubel

                          says:

                          @Raph : Oui, tout à fait d’accord, j’ai déjà plusieurs fois ce phénomène aussi. De toute façon, il faut prendre en compte les blocages technologiques, la popularité d’un site, etc. Perso, souvent (pas tout le temps), c’est du à l’accumulation de redirection. http://domaine.com 301 -> http://www.domaine.com 301 -> https://www.domain.com. Il faut aller directement vers la bonne version et ça limite la casse et les baisses de performances parfois. Je remarque aussi que les sites qui a la base ont une superbe technique, ça passe nickel. Par contre, si tu as des trucs un peu bancal à côté (maillage, indexation, etc), ça augmente les risques. Merci pour ton point de vue ! :)

                            Jessyseonoob

                            says:

                            A cette question je répondrait par :

                            Site neuf = https obligatoire

                            Site ancien, aussi, a cause de la mention sur chrome.

                            A ce propos tu peux avoir un site https mais que le cercle apparaisse avec l’identification d’un soucis juste parcque t’as pas modifié l’URL qu’il y a sur le logo qui est mis sans https.

                            La sécurité n’as rien a voir la dedans c’est juste que les données sont filtré en entrée et en sortie. Que se passe t-il si un site a un certificat valide d’une société qui n’existe pas ? Le certificat s’affiche quand même.

                            L’utilisateur lambda sur chrome s’arrêtera là.

                              Thomas Cubel

                              says:

                              @Jessyseonoob : J’aime bien ta réponse, t’as tellement raison ! Surtout à la fin !

                                Xavier

                                says:

                                Salut, quand on parle de HTTPS, il est aussi important de bien catégoriser les différents types de certificat. Par exemple le Domain Validated, que tout le monde utilise, qui ne sert à rien ou quasiment, et qui est sur la sellette des navigateurs depuis de nombreuses années. Vient ensuite le 3 facteurs mais enfin et surtout l’EV. L’EV n’est pas falsifiable (sauf erreur humaine, mais c’est le cas pour tout) et apporte un vrai trust (et j’insiste sur ce mot ;) ). Bref, ceux qui consomment du SSL l’utilisent plus souvent comme un moyen de valider l’identité d’un site ou d’un serveur que comme outil de sécurité, une sorte de passeport numérique en quelque sorte.
                                Qui sait, c’est peut être cet aspect que Google souhaite pousser. Du reste, cela fait maintenant prêt d’un an qu’on ne peut plus s’inscrire sur Google Shopping sans SSL, donc le rapport entre GG et le SSL semble aller plus loin que le SEARCH ou Chrome et semble plutot être issus d’une réflexion globale.

                                  Thomas Cubel

                                  says:

                                  @Xavier : Tu fais bien de faire la distinction entre les différents types de certificats. Perso, j’ai voulu souligné l’avertissement dans le navigateur, mais il est clair que cela a une importance. Quelqu’un qui investit dans un certificat est généralement une société qui sait faire des investissements et qui est un minimum sérieuse (pas toujours pas, ça limite les cas « mouton » et autres spammys).

                                    Eric

                                    says:

                                    Et pourquoi pas http2 directement ?

                                      Thomas Cubel

                                      says:

                                      @Eric : Tu as tout à fait raison de soulever cela, c’est un changement assez viable pour le long terme.

                                        Nicolas

                                        says:

                                        Bonjour Thomas,

                                        Je pense que pour les nouveaux sites il faut sans hésiter les mettre en https.
                                        Les messages d’avertissements vont surement se généraliser sur les autres navigateurs. Les messages de ce genre font peur aux utilisateurs. Il vaut mieux éviter de perdre du trafic à cause de cela. De plus Google peut donner de plus en plus d’importance aux sites https (le contraire semble impossible).

                                        Pour les anciens sites je pense qu’il faut penser à leurs migrations vers le https.
                                        Mais il faut faire attention car il y aura un changement d’url avec les inconvénients que cela implique.
                                        Si c’est un petit site de contenu sans grand enjeu financier, de trafic ou autre cela ne posera pas de problème.
                                        Si c’est le site d’un client il faudra l’avertir des risques liés à ce changement avant qu’il vous donne son feu vert.

                                        Au niveau SEO une fois le certificat installé il faudra mettre en place correctement les redirections 301 pour rediriger la version http vers la version https. Ce n’est techniquement pas très compliqué (dans la configuration Apache ou Nginx) mais il faut ABSOLUMENT vérifier que toutes les redirections se font correctement.

                                        Il faut ensuite modifier les liens internes si nécessaire. Par exemple dans le cas ou les liens sont en absolus (http://www……). Cela ne devrait pas être le cas mais sur certains CMS c’est bien le cas (je trouve cela aberrant au passage ^^).

                                        Il faut savoir que les backlinks externes auront un intermédiaire (http) avant d’être redirigés vers la version https. Il peut avoir une perte d’efficacité en terme de SEO du moins à court terme. Pour un site ecommerce cela peut avoir quelques conséquences en terme de perte de trafic donc de CA.

                                        Le mieux c’est de changer les urls à la source mais on sait tous en tant que SEO que de contacter les webmasters pour faire les changements d’url peut être fastidieux et long (surtout si vous avez des milliers de liens externes).
                                        Toutefois cela me semble vraiment intéressant de le faire. Vous pouvez par exemple commencer par les liens les plus importants mais aussi les liens les plus faciles à éditer par exemple ceux que vous pouvez modifier vous même via le compte utilisateur des sites concernés.

                                        Conclusion : A terme il faudra y passer le plus tôt sera le mieux. Pour les sites avec un grand enjeu il vaut mieux connaitre les risques et avoir un plan d’actions avant de faire le passage en https. On est pas à 3 jours près non plus ^^.

                                          Thomas Cubel

                                          says:

                                          @Nicolas : Oui, tu as carrément saisi les problématiques. En soi, dès qu’on fait des redirections, on perd toujours un peu et c’est parfois compliqué pour un Google de comprendre le changement. Il faut y songer, mais faut être clean quand on a ancien site.

                                        Commentaires fermés.