Qu’est-ce que HTTPS et pourquoi est-il si important?

  1. 1. En train de lire: Qu’est-ce que HTTPS et pourquoi est-il si important?
  2. 2. Comment installer SSL gratuit à partir de Let’s Encrypt dans WordPress

Alors, quelle est cette chose https que je ne cesse de voir? Le nom HTTPS dérive de Hyper Text Transfer Protocol Secure, le nom d’origine du protocole est HTTP, la lettre clé ici est le «s» en HTTPS, ce qui signifie sécurise.


Lorsque vous envoyez et recevez des données via votre navigateur, cela se fait de 2 manières. Soit la norme ou Sécurisé. Lorsque vous visitez des sites qui utilisent HTTP standard, cela signifie que votre communication avec le serveur se déroule sans chiffrement. Dans la plupart des cas, cela ne pose pas de problème, car vous ne lisez probablement que le contenu fourni par un site Web et ne fournissez pas de données privées précieuses..

Mais dans les cas où vous fournissez des informations personnelles (en particulier des données de facturation, bancaires ou d’identification), ce n’est pas optimal car un attaquant potentiel pourrait éventuellement intercepter ce contenu et les changer à la volée. Ce qui à son tour peut conduire à des tentatives de piratage ou à des vols. Cela signifie que pour les entreprises en ligne et les sites Web de commerce électronique sécurisé, l’utilisation de HTTP est absolument pas acceptable.

L’échange de données privées telles que les transactions par carte de crédit nécessite HTTPS mais avec l’augmentation actuelle des activités de piratage, la demande de ce que Google appelle HTTPS partout grandit de jour en jour.

Pourquoi HTTPS devient plus important

Maintenant que vous savez ce qu’est HTTP, il est important de comprendre pourquoi il est important. Pour simplifier à l’extrême: HTTPS vous aide à garder vos activités de navigation Web en sécurité.

Un site HTTP qui fonctionne non chiffré peut être plus sensible aux attaques. Les sites piratés peuvent également entraîner l’installation de logiciels malveillants, ce qui affecte les lecteurs, car les logiciels malveillants affecteront également les navigateurs. Cette situation est devenue une préoccupation croissante avec les tentatives de piratage automatisées qui ont lieu partout dans le monde. L’utilisation de HTTPS aiderait à annuler bon nombre de ces attaques en convertissant tous les transferts de données en connexions chiffrées, qui sont des mécanismes de chiffrement plus difficiles à briser.

Avertissement concernant les logiciels malveillants Google

L’utilisation de HTTPS pourrait conduire à un site Web plus sûr et plus sécurisé. Mais jusqu’à présent, la route a été longue et il reste encore beaucoup à faire avant que le HTTPS ne devienne universel. De plus, il est important de se rappeler que HTTPS n’est pas le seul facteur à prendre en compte dans la création de sites Web sécurisés – il existe de nombreuses autres étapes que les gestionnaires Web devraient mettre en œuvre pour la sécurité des blogs..

HTTPS avait de nombreux défauts dans le passé

Pourquoi le HTTPS devient-il plus important maintenant? Dans le passé, HTTPS a eu du mal à gagner du terrain depuis Certificats SSL (les documents Web réels responsables de la création de mécanismes de chiffrement) ont été pas libre. Au lieu de cela, ils devaient être délivrés par des autorités de certification spécifiques pour être valides..

Avertissement Google non approuvé

Ainsi, la seule autre option pour les gens à budget limité a été les certificats «auto-signés». Ce ne sont pas des alternatives viables car elles jettent un avertissement sur votre navigateur. L’avertissement des certificats auto-signés est suffisant pour empêcher vos lecteurs d’essayer d’accéder à votre site car il peut sembler trop dangereux d’ignorer. Cela rend les certificats «auto-signés» inutiles pour toute tentative sérieuse d’augmenter votre présence en ligne. Ils sont cependant toujours une option lorsqu’ils ne sont utilisés que pour des sites Web faisant partie de votre propre réseau et accessibles en interne, mais là encore, cela ne fait pas grand-chose pour développer votre marque en ligne.

Cela a été un énorme inconvénient pour les blogueurs et les petites entreprises du monde entier. Bien que les grandes entreprises n’aient aucun problème avec le coût, les blogueurs disposant d’un budget qui ne génèrent pas encore de revenus suffisants sur leur site Web ne peuvent tout simplement pas se permettre de payer pour de tels certificats. Et sans alternative fiable, ils ont été SOL pour SSL.

En plus de tout cela, une fois qu’un site Web a été chargé avec HTTPS, le temps de chargement dudit site a souffert. Cela était dû à la surcharge supplémentaire que le serveur devait supporter en devant Crypter toutes les données avant de les envoyer. Pas du tout un processus efficace si vous vouliez et pouviez vous le permettre en premier lieu.

La version 3 de SSL est désormais obsolète

Pour ajouter encore plus d’insulte aux blessures, des certificats SSL valides fonctionnaient sur une plate-forme obsolète. La dernière version de SSL appelée la version 3 qui a commencé en 1996 avait de plus en plus de défauts exposés, à tel point que le Internet Engineering Task Force (IETF) a décidé de le rendre obsolète

ne pas utiliser-sslv3

Le nouveau protocole TLS est beaucoup plus sûr à tous égards, ce qui a conduit à l’interdiction de SSLv3 sur les principaux navigateurs.

Plus de puissance CPU, Let’s Encrypt, TLS et HTTP / 2 ont changé le jeu

Avec l’avènement du nouveau matériel, des processeurs plus rapides, des serveurs Web plus rapides (tels que nginx et lighttpd) et des mécanismes de mise en cache plus rapides (tels que le vernis), la surcharge de prise en charge de HTTPS a été considérablement réduite. Cela signifie que les nouveaux adoptants SSL n’ont pas à se soucier des temps de chargement ralentis.

De plus, le nouveau TLSv1.2 Le protocole introduit pour SSL a rendu SSLv3 obsolète et a ouvert la voie à une adoption SSL plus rapide.

De plus, le récent lancement de HTTP / 2 va être le dernier clou du cercueil pour les supporters HTTP. HTTP / 2 est un protocole amélioré par rapport au HTTP original qui a été pensé et développé pour aujourd’hui. HTTP non chiffré est un protocole plus ancien qui fonctionne très bien, mais n’est pas aussi optimisé pour les besoins d’aujourd’hui (ne vous inquiétez pas – nous parlerons plus en détail de HTTP / 2 dans un prochain article).

http2-multiplexage

HTTP / 2 utilise le multiplexage pour améliorer les performances par rapport au HTTP traditionnel. Image reproduite avec l’aimable autorisation de CloudFlare

Ensemble, ces facteurs (et plus) réduisent presque à zéro l’impact d’un site fonctionnant en HTTPS. Mais qu’en est-il du coût? Cette dernière question a été modifiée par une variable et s’appelle: Cryptons.

Cryptons

Cryptons le SSL gratuit

Cryptons est un certificat gratuit autorité. Cela signifie qu’il peut émettre des certificats gratuits d’une durée valide de 90 jours et les certificats ne coûtent rien à mettre en œuvre. Let’s Encrypt est récemment sorti de la version bêta et fonctionne parfaitement bien depuis lors. Cette dernière pièce du puzzle a fait de l’ensemble du «HTTPS partout» Google un pas de plus vers la réalisation. Le principal problème de Google en ce moment est adoption.

Heureusement, Encrypt a plusieurs façons d’émettre un certificat, que ce soit via le Web en ZeroSSL, par un plugin wordpress via WP-Encrypt ou par serveur avec les nouveaux paquets dans Debian et autres distributions Linux appelées Certbot.

WP Encrypt Plugin WordPress gratuit

WP Encrypt Plugin WordPress gratuit

Le libre Plugin WP Encrypt WordPress facilite l’installation et la gestion de votre certificat SSL gratuit Let’s Encrypt. Vous pouvez utiliser le plugin pour créer un certificat, l’enregistrer et les déplacer votre site Web vers HTTPS. Mais la meilleure partie est que le plugin renouvellera automatiquement votre certificat pour vous tous les 90 jours, donc vous aurez toujours un certificat SSL valide.

Cryptons l'hébergement compatible

Cryptons l’hébergement compatible

La deuxième façon simple d’ajouter Let’s Encrypt est via votre hébergeur. De nombreux hôtes populaires ont intégré Let’s Encrypt à leurs packages pour permettre à leurs clients d’ajouter SSL à leurs sites WordPress de manière simple et abordable. Certains de nos favoris incluent Cloudways, WP Engine et Flywheel. Ces premiers utilisateurs ont fait de l’ajout de SSL et une partie facile de leurs processus de configuration de site Web déjà simples.

Google pousse déjà HTTPS avec SEO Ranking Boost

Google avait déjà commencé à envisager l’adoption du HTTPS dans le cadre de son propre algorithme de classement SEO en 2015. Puis, ils ont annoncé en 2016 qu’ils allaient mettre en œuvre un très mineur boost de classement à tous les sites Web qui passent de HTTP à HTTPS. Selon Google, cela n’est actuellement pas assez fort pour affecter le classement de manière significative, mais c’est une indication des choses à venir.

Comme vous pouvez le voir, Google a déjà apporté des changements révélateurs en 2015 et 2016, et maintenant ils vont repousser les limites encore plus en 2017.

Il y aura un avertissement sur Google Chrome en 2017

Avec le protocole HTTP / 2 maintenant largement adopté et peut-être même la prolifération des utilisateurs de Let’s Encrypt qui comptent maintenant des millions dans le monde entier, Google a commencé à faire le prochain pas. Google a récemment annoncé qu’ils commenceront à afficher un point d’exclamation pour tous les sites non chiffrés, en commençant par leur récent Mise à jour de Google Chrome.

point d'exclamation google

Puis à partir de janvier 2017, ils prévoient de marquer les sites Web HTTP qui transmettent des données utilisateur sensibles (telles que des mots de passe, des informations de carte de crédit, etc.) avec un panneau d’avertissement rouge. Cela va sans aucun doute commencer à créer de la méfiance envers tous les sites qui ne font pas le changement.

red-warning-google

La décision est audacieuse, j’en suis sûr, mais elle dit quelque chose sur la direction que prend le Web. Avec de plus en plus de sites passant au HTTPS et l’augmentation de l’utilisation d’Internet dans le monde entier, le HTTPS va devenir le norme de facto Dans les années à venir.

résumer

De nouvelles technologies sont enfin arrivées pour rendre HTTPS beaucoup plus attractif. Avec l’inclusion de serveurs Web plus rapides, de processeurs plus rapides, de meilleurs mécanismes de chiffrement des protocoles via TLSv1.2, le protocole HTTP / 2 récemment lancé et Let’s Encrypt donnant des certificats gratuits à tous ceux qui le souhaitent, ont ouvert la voie à une adoption HTTPS plus rapide. En plus de cela, l’application par Google des commutateurs par les futures mises à jour est une autre poussée vers HTTPS.

Mais ne vous inquiétez pas – comme mentionné dans le premier article de cet article, pour les blogs et les magazines, vous ne devriez pas vous sentir obligé de vous précipiter vers HTTPS. Vous devriez soigneusement réfléchir à votre passage de HTTP à HTTPs car cela pourrait affecter votre classement dans les moteurs de recherche. Mais pour les sites Web de commerce électronique et d’adhésion, vous aurez besoin du HTTPS activé et actif sur vos pages de connexion et de paiement pour empêcher les utilisateurs de voir un avertissement en 2017.

Vous ai-je donné suffisamment de raisons de changer? Dans mon prochain article, je vais examiner comment passer au HTTPS dans WordPress à l’aide de plugins, comment ajouter votre certificat dans cPanel, Vesta ou votre VPS personnalisé avec nginx. Restez à l’écoute!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me