Google Chrome 68 : le HTTPS devient obligatoire

Juillet 2018, apparaît la nouvelle version du navigateur de Google : Chome 68. C’est un petit tremblement de terre avec l’obligation du HTTPS pour tout contenu de page. En effet, les sites ne disposant pas d’une certification SSL et étant restés sur HTTP seront considérés comme « Non sécurisé ». De quoi alerter les exploitants de site qui ne sont pas totalement à jour. Nous vous expliquons ce qu’est Chrome 68, le HTTPS, les certifications, et de quoi il en retourne.

Qu’est-ce que Google Chrome 68 ?

Cela passe parfois inaperçu, mais Google met à jour régulièrement son navigateur Chrome. 2018 marque un grand changement avec Chrome 68. Dorénavant, si une page ne détient pas un certificat SSL/TLS (Transport Layer Security) valide, un avertissement de sécurité (« Non sécurisé » ou « Not secured » en anglais) apparaîtra sur la partie gauche de la barre de navigation.

La mention « non sécurisé » ne vous est certainement pas inconnue : elle apparaissait déjà pour certains cas de figure. En effet, depuis 2016 avec Chrome 56, toute page pour laquelle un mot de passe ou des coordonnées bancaires étaient sollicités était systématiquement marquée comme non sécurisée avec un petit « i » d’information sur Chrome si elle ne possédait pas de certificat SSL/TLS. Aujourd’hui, la mention s’est généralisée à chaque page ne possédant pas de certificat valide. Google ne prend donc plus en compte le type de contenu mais a fait le choix d’avertir systématiquement ses utilisateurs lorsqu’ils pénètrent sur une page qui n’est pas totalement sécurisée. Il appartient ensuite à chacun de décider de continuer ou non sa navigation.

A noter, Chrome 68 traite chaque page une à une. Ainsi, le navigateur vérifie avant d’atterrir sur une page si cette dernière est bien chiffrée. Si la connexion est établie par HTTP, le message d’avertissement fait irruption. Il n’est donc plus possible de prendre son site de manière globale : à chaque page non chiffrée HTTPS, vous risquez d’apparaître comme un site non sécurisé.

Quelle différence entre HTTP et HTTPS ?

Auparavant, la distinction entre une page possédant un certificat valide se faisait grâce à une petite lettre dans la barre de navigation : le « S » additionnel de HTTPS, signifiant « Secure ». Toutefois, selon une étude menée par Google, cette distinction aurait peu d’impact sur les utilisateurs. Un message « Not secure » capte en revanche beaucoup plus leur attention et leur permet de faire un choix en réel connaissance de cause. En bref, le nouvel avertissement permet un étiquetage plus clair des pages.

Pour passer au HTTPS, il est nécessaire que vos données soient chiffrées avec un protocole SSL (Secure Sockets Layer). Si vous n’êtes pas propriétaire de cette licence, vous restez en HTTP. Le HTTPS chiffre l’ensemble des informations qui circulent entre le site Web et l’internaute. Il sécurise la transmission de données.

D’après le blog de Google traitant des questions de sécurité, déjà bon nombre de sites aurait adopté le HTTPS. Dans la publication du moteur de recherche annonçant la transition à Chrome 68, des chiffres assez intéressants montrent que le Web s’est déjà emparé du HTTPS : non seulement 81 des 100 meilleurs sites Internet l’utiliseraient par défaut, mais le HTTPS représenterait aussi 68% du trafic Chrome sur Windows et Android. La transition devrait donc s’imposer à 32% du Web (Windows et Android seulement pris en compte), un pourcentage qui reste tout de même non négligeable.

Conseil

Le saviez-vous ? Le certificat SSL Wildcard de Digicert est inclus aves tous les packs d’hébergement et domaines 1&1 !

Pourquoi Chrome 68 rend le HTTPS obligatoire ?

Pour Google, l’argument numéro un en faveur du HTTPS est la sécurité des internautes. Le HTTP appartient en effet à une autre ère, et ne répond pas à tous les enjeux de sécurité que le Web pose aujourd’hui. Le chiffrement HTTPS en revanche est beaucoup plus performant et sûr. Il permet de protéger les sessions, notamment lorsque des données sensibles doivent être échangées, comme des coordonnées bancaires. Les hackers peuvent beaucoup plus facilement s’emparer des pages HTTP et capter les informations transmises. Dès 2014, Google avait commencé à tirer la sonnette d’alarme sur les sites HTTP, pour mettre en place deux ans plus tard des avertissements sur certaines pages.

Les fraudes vont bon train, qu’ils s’agissent de vol de cookies, de redirection, de phishing, d’attaque de l’homme du milieu, de spoofing ou de simple espionnage. En interceptant des messages, les hackers développent des techniques toujours plus crédibles pour pénétrer dans l’intimité des utilisateurs, les tromper et tirer profit de leur vulnérabilité. Les pages Web doivent donc être protégées au mieux pour éviter l’intervention de toute tierce partie non autorisée. En cas de faille de sécurité, les données peuvent rapidement être utilisées et détournées. Le HTTPS vise à empêcher ces désagréments.

Conseil

Vous souhaitez que votre site soit plus sécurisé ? Informez-vous ici pour en savoir plus sur les certificats SSL de 1&1 et comment ils peuvent augmenter la fiabilité de votre site.

Quels avantages au HTTPS ?

Critère clé pour Chrome 68, le HTTPS est maintenant plus qu’un gage de sécurité. Il influence le classement des sites sur les moteurs de recherche et devient ainsi un enjeu SEO.

Cela paraît logique : les internautes, plus susceptibles de fuir les pages HTTP, augmente le trafic des pages HTTPS. Ces dernières sont donc doublement récompensé : avec un taux de rebond plus faible et une conformité aux critères de Chrome 68, il est tout naturel qu’elles grimpent dans leur référencement naturel. Attention toutefois, le HTTPS s’applique page par page. Si l’une des pages de votre site ne présente pas de certificat SSL valide, elle peut être déclassée. Par ailleurs, le HTTPS est plus performant (identique HTTP/2), ce qui participe de nouveau à un meilleur classement.

Enfin de manière générale, il en va de la crédibilité de votre site, et ce d’autant plus si vous possédez une boutique en ligne. Vos visiteurs ne sont qu’à un clic de la concurrence. Une image fiable et professionnelle pour le e-commerce est donc vital à votre survie. Les internautes ne réfléchissent pas à deux fois lorsqu’ils voient un message « non sécurisé » sur Google Chrome 68, même s’il s’agit d’un site qu’ils connaissent et auquel ils faisaient auparavant confiance. Internet est mouvant et chaque signe de risque éventuel de fraude freine les utilisateurs dans leur élan. Si cela arrive avant de valider un panier d’achat, c’est la fuite assurée. Il est en effet fort à parier que ce marquage beaucoup plus clair proposé par Chrome 68 influence drastiquement le trafic d’un site Web mais surtout les décisions des utilisateurs. Dans un sondage de novembre 2014, l’autorité de certification Globalsign a constaté que 85% des acheteurs en ligne évitent les sites Web non cryptés.

Comment être conforme à Chrome 68 ?

Rien de plus simple : il vous faut acquérir un certificat SSL/TLS auprès d’une autorité reconnue.

Le passage à une extension sécurisée du HTTP ne nécessite pas trop de temps. Vous pouvez acquérir un certificat à validation de domaine (niveau d’identification le plus bas). Toutefois, si vous traitez des données hautement sensibles, un niveau de protection plus élevé est nécessaire. Pour un type de validation plus sûre, vous devrez vous tourner vers le certificat à validation d’organisation qui vérifie notamment votre appartenance au registre de commerce de l’entreprise. De nouveau, cette certification n’assure néanmoins pas la meilleure des sécurités. C’est le certificat à validation étendue (EV pour extended validation) qui représente le meilleur niveau d’authentification avec un contrôle strict. Les informations sur votre entreprise sont vérifiées de manière beaucoup plus détaillée et le certificat va permettre, entre autres, de protéger les utilisateurs dans la saisie de leurs données sensibles, comme les numéros de cartes de crédit. Les coûts de ces 3 certificats sont bien sûr croissants.

Certaines erreurs et problèmes peuvent malheureusement apparaître lors de votre réorganisation. Pour les éviter ou les résoudre, vous pouvez consulter notre article complémentaire.

Google étant pionnier dans de nombreux domaines, on peut s’attendre à ce qu’un certain nombre de navigateurs emboîte le pas du géant et revendique au cœur de ses préoccupations la protection des données des utilisateurs. Un sujet particulièrement sensible depuis le scandale Facebook et la mise en place du RGPD en Union Européenne.