Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Chrome va stigmatiser les sites non HTTPS

abecidofugy

Salut,

Je viens lire ce billet http://www.silicon.fr/chrome-veut-convertir-les-internautes-au-https-104402.html (voir aussi : http://www.silicon.fr/officiel-google-va-privilegier-referencement-sites-https-96029.html)

Ça va nous faire des frais supplémentaires, c'est énorme 50 euros par an et par domaine !

Je n'ai jamais fait de https, ça marche comment ? Sur mon panel d'admin chez OVH, l'option SSL est barrée sur mon nom de domaine. J'ai mon serveur dédié chez Online par contre. Il faut copier quelque chose sur son serveur ?

Merci de vos avis, et votre aide.

Elzen

Dans ces articles (dont le second emploie allègrement le barbarisme « crypté » alors que le terme convenant, compte tenu du sens des phrases, serait « chiffré », soit dit en passant), il ne fait que parler de TLS et d'https, sans préciser la politique de gestion des certificats. Or, un certificat auto-signé ne coûte rien, est largement plus sécurisé qu'une connexion http ordinaire, et est ce qu'il y a de plus adapté dans la plupart des cas (à part les sites de transferts d'argents et autre cas assez sensible comme celui-là, l'utilité de l'autorité de certification est assez douteuse).

Donc, ça dépend de la façon dont ils choisissent de faire ça : s'ils se décident enfin (et au contraire de la fondation Mozilla) à accepter le https autosigné sans messages d'avertissements affreux autant qu'idiots, alors mettre un avertissement de sécurité sur le http non-sécurisé pourrait avoir du sens. Mais qu'ils le fassent ou pas, vu l'état actuel des choses, le résultat a de fortes chances d'être surtout de décourager les gens d'utiliser ce navigateur pour éviter de se manger un avertissement à chaque site visité (à moins qu'une extension ne désactive ça) ce qui, compte tenu du fait qu'il s'agit d'un aspirateur à données personnelles, ne serait pas une mauvaise chose.

Après, il faut voir la portée du truc, aussi : si tu ne transfères pas de cookies et que tu ne réponds à aucun formulaire (ce qui devrait être le cas sur la plupart des sites, s'ils étaient bien conçus, vu qu'il n'y en a la plupart du temps pas besoin. Le fait de devoir se loguer est somme toute rarement une nécessité, même si c'en est une pour un forum comme celui-ci), alors utiliser du https plutôt que du http simple n'a strictement aucune utilité, puisque la seule chose que tu envoies dans ce cas est l'URL, qui est de toute façon transmise en clair.

Bref, sensibiliser les gens, c'est bien ; le faire en leur donnant de vraies explications, ce serait mieux. Et ça aiderait que les gens qui codent des navigateurs se souviennent que l'intelligence est censée être du côté de l'être humain, et que le rôle d'un logiciel n'est pas de penser à la place de ce dernier.

[supprimé]

Bien d'accord avec Elzen et notamment ceci :

Elzen a écritBref, sensibiliser les gens, c'est bien ; le faire en leur donnant de vraies explications, ce serait mieux. Et ça aiderait que les gens qui codent des navigateurs se souviennent que l'intelligence est censée être du côté de l'être humain, et que le rôle d'un logiciel n'est pas de penser à la place de ce dernier.

Ceci dit, Chrome, on sait qui est derrière, voilà donc, à mon sens, une bonne raison pour adopter d'autres navigateurs par défaut 😉

renaud07

ignus a écrit Ceci dit, Chrome, on sait qui est derrière, voilà donc, à mon sens, une bonne raison pour adopter d'autres navigateurs par défaut 😉

abecidofugy

Un certificat autosigné n'est pas rassurant pour un utilisateur (client) par exemple je viens de tester sous Internet Explorer et tu as la barre d'url qui devient toute rouge, avec un gros message d'erreur.

Aussi, je vais me prendre un certificat SSL payant, tant pis, ça me fera des frais mais je ne peux pas me permettre d'avoir un message venant gêner le surf de mes visiteurs.

Vous avez un vendeur à me conseiller ? Je cherche un certificat avec lequel je pourrais avoir des sous-domaines.

Merci de votre aide.

alex2423

ignus a écritBien d'accord avec Elzen et notamment ceci :
Elzen a écritBref, sensibiliser les gens, c'est bien ; le faire en leur donnant de vraies explications, ce serait mieux. Et ça aiderait que les gens qui codent des navigateurs se souviennent que l'intelligence est censée être du côté de l'être humain, et que le rôle d'un logiciel n'est pas de penser à la place de ce dernier.
Ceci dit, Chrome, on sait qui est derrière, voilà donc, à mon sens, une bonne raison pour adopter d'autres navigateurs par défaut 😉

Du coup, je me fais pas de souci pour qu'il ne soit pas moins adopté. Ils sont malin, ils vont tout faire pour conserver leur leadership. Donc s'ils voient que cela découragent certains d'aller voir ailleur, ils vont abandonner leur projet. Leur but, c'est que tout le monde utilise leurs services et outils.

tiramiseb

Salut,

Il existe des autorités de certification gratuites.
Je pense par exemple à StartSSL :
http://www.startssl.com/?app=1

Sinon, en certificats payants il n'y a pas besoin d'aller jusqu'à payer 50 euros par an : les tarifs chez Gandi commencent à 12 euros HT par an...

Anne118

Bonjour la tyrannie ! Merci de l'info Abecidofugy, ça va me casser aussi les pieds.
Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.
Ce qui m'ennuie est que Chrome détient 33% du trafic.

Outre le tarif pour passer en sécurisé, il y a aussi le problème du suivi des anciens liens. Avec les avertissements des antivirus qui déconseillent toutes les redirections, on est pas sorti de l'auberge ! Vaut il mieux être signalé dangereux par le navigateur Chrome ou par son antivirus ? :rolleyes:

J'ai trouvé un tuto qui explique comment passer en https, si ça t'intéresse.
http://wpformation.com/wordpress-http-https/

Moi, je vais attendre de voir si ça a une incidence sur la fréquentation de mon site. Personnellement ce type d'avertissement m'a toujours laissée froide, mais je ne sais pas si l'internaute moyen réagira comme moi

tiramiseb

Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.

Mouais, on est dans l'ère post-Snowden, maintenant tout le monde sait que les gouvernements espionnent de partout, alors si on veut un peu de vie privée le HTTPS est une bonne solution. Rappelons que sans chiffrement, toute communication sur Internet c'est comme une carte postale : n'importe qui, sur le chemin, peut lire le contenu. Pas glop pour la vie privée.

Outre le tarif pour passer en sécurisé

Relis mon message #7, où j'indique que des registrars payants peuvent commencer leurs tarifs aux alentours de 10 euros/an (pas excessif je trouve) et où même certains registrars (StartSSL) proposent des certificats gratuits.
Enfin, on peut toujours se contenter d'un certificat autosigné : à voir quelle sera la hiérarchie des messages selon Chrome : si le certificat autosigné est présenté comme + sûr qu'un site non chiffré, alors quitte à avoir une alerte, autant que ce soit la moins grave.

Après, comme tu dis : attendons de voir. Moi je vais m'y mettre progressivement : mon site perso est déjà accessible en HTTPS avec certificat autosigné, je passerai sur un truc propre bientôt, je pense, avec redirection forcée du HTTP vers le HTTPS. Mais ça n'est en rien une obligation.

alex2423

Anne118 a écritBonjour la tyrannie ! Merci de l'info Abecidofugy, ça va me casser aussi les pieds.
Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.
Ce qui m'ennuie est que Chrome détient 33% du trafic.

Si Chrome a autant de traffic, tu peux prévenir tes internautes avec une sorte de popup non intrusif pour leur signaler que les utilisateurs de Chrome ont ce message d'avertissement suite à la mise à jour qu'à décider Google. La navigation sur ton navigateur n'a rien de dangereux si toutefois, vous ne voulez plus avoir ce type de message, je vous conseille d'utiliser un autre navigateur tel que Firefox, Opera par exemple.

Voila ce que je mettrais à peu près. Les internautes ne comprendront pas si on leur expliqueront mais s'appercevront que c'est uniquement Chrome.

tiramiseb

Si j'ai bien compris, c'est un projet pour courtant 2015, ce n'est pas encore implémenté, si ça se trouve ce sera quelque chose de discret. Ou alors quelqu'un a déjà vu ce truc en action ?

[supprimé]

tiramiseb a écritSi j'ai bien compris, c'est un projet pour courtant 2015, ce n'est pas encore implémenté, si ça se trouve ce sera quelque chose de discret. Ou alors quelqu'un a déjà vu ce truc en action ?

Rien dans le dernier Chrome stable, je pense pas qu'ils l'aient déjà appliqué dans la bêta sinon on en aurait entendu plus parler.

Vu le taux de pages encore en HTTP, je pense pas qu'ils soient assez bêtes pour mettre les mêmes avertissements que pour les certificats périmés ou autosignés.

voxpopuli

Et mozzila, quand se décide-t-il a pénaliser le HTTP? ^^ (pour les auto-signé c'est surtout gênant sur Tor Bundle qui ne sauvegarde pas les certificat et donc on se tape tout le temps les avertissements sur les auto-signé)

Anne118

Merci Alex, mais j'ai contrôlé mon site en passant sous Chromium, je n'ai pas de message d'alerte pour l'instant. Peut être que cela se mettra en place plus tard, je surveillerais même si Chrome n'est pas mon navigateur favori.

Je ne suis pas sûre qu'une fenêtre pop up servirait à quelque chose : c'est avant d'arriver sur le site que ce genre de barrage est posé. Donc les internautes inquiets partiront sans voir mon message. Quand aux autres, ils risquent d'arriver en se demandant alléchés, "qu'est ce qui est donc politiquement si incorrect ici"

Anne118

tiramiseb a écrit
Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.
Mouais, on est dans l'ère post-Snowden, maintenant tout le monde sait que les gouvernements espionnent de partout, alors si on veut un peu de vie privée le HTTPS est une bonne solution. Rappelons que sans chiffrement, toute communication sur Internet c'est comme une carte postale : n'importe qui, sur le chemin, peut lire le contenu. Pas glop pour la vie privée.

Outre le tarif pour passer en sécurisé
Relis mon message #7, où j'indique que des registrars payants peuvent commencer leurs tarifs aux alentours de 10 euros/an (pas excessif je trouve) et où même certains registrars (StartSSL) proposent des certificats gratuits.
Enfin, on peut toujours se contenter d'un certificat autosigné : à voir quelle sera la hiérarchie des messages selon Chrome : si le certificat autosigné est présenté comme + sûr qu'un site non chiffré, alors quitte à avoir une alerte, autant que ce soit la moins grave.

Après, comme tu dis : attendons de voir. Moi je vais m'y mettre progressivement : mon site perso est déjà accessible en HTTPS avec certificat autosigné, je passerai sur un truc propre bientôt, je pense, avec redirection forcée du HTTP vers le HTTPS. Mais ça n'est en rien une obligation.

Mon site fait juste dans l'information de santé. Il n'a vraiment rien de confidentiel.

Sinon plus que le prix, ce qui me casse les pieds c'est pour les liens, j'ai beaucoup de liens en provenance de forums divers, ce qui me permet d'être très bien placée. Si je change l'adresse des pages, ça fout en l'air mon référencement.

tiramiseb

Si je change l'adresse des pages, ça fout en l'air mon référencement.

Je pense qu'avec des bonnes redirections, ça ne poserait pas de problème...

Anne118

Sauf que quand j'étais sous W$, mon antivirus me signalait toutes les pages redirigées comme susceptibles d'être du phishing !

Donc j'ai le choix entre laisser Chrome annoncer à mes visiteurs que mon site n'est pas sûr ou le sécuriser aux yeux de Chrome pour que leur antivirus bloque mon site avec un message d'alerte : "Attention cette page semble être du phishing, choisissez entre
(gros bouton) Sortez moins d'ici d'urgence
(en tout petit) je comprends les risques, laissez-moi accéder

En plus, je ne vois vraiment pas l'intérêt du https dans mon cas. Je ne vends rien, je ne prends pas d'adresses, je ne fais pas de politique, il n'y a même pas de risques d'attaques vu le sujet. Quels risques pourraient bien avoir mes visiteurs ?

voxpopuli

Anne118 a écritSauf que quand j'étais sous W$, mon antivirus me signalait toutes les pages redirigées comme susceptibles d'être du phishing !

Donc j'ai le choix entre laisser Chrome annoncer à mes visiteurs que mon site n'est pas sûr ou le sécuriser aux yeux de Chrome pour que leur antivirus bloque mon site avec un message d'alerte : "Attention cette page semble être du phishing, choisissez entre
(gros bouton) Sortez moins d'ici d'urgence
(en tout petit) je comprends les risques, laissez-moi accéder

Jamais vu ce genre d'aberration. Attention que google a annoncer qu'il va dévaloriser les sites qui ne sont pas dispo en HTTPS.

Anne118 a écrit En plus, je ne vois vraiment pas l'intérêt du https dans mon cas. Je ne vends rien, je ne prends pas d'adresses, je ne fais pas de politique, il n'y a même pas de risques d'attaques vu le sujet. Quels risques pourraient bien avoir mes visiteurs ?

Le risque de se faire espionner par d'autres que toi (quelqu'un en MITM par exemple). Si ton site a une vocation médicale c'est assez grave (plus pour celui qui se renseigne sur la verrue du culs que celui qui cherche des infos a propos des pellicules dans la chevelure ^^) .

tiramiseb

Quels risques pourraient bien avoir mes visiteurs ?

Une seule raison : vie privée.
Dans la "vraie vie", sauf pour les souvenirs de vacances on préfère les enveloppes aux cartes postales car on préférerait que les postiers ne lisent pas nos courriers... c'est pareil.

Anne118

Tiramiseb

Si tu veux préserver ta vie privée, tu surfes sous proxy, vpn ou sous tor, en évitant IE et google.

Si tu cherches le nom d'un produit ou d'une maladie sur google, celui fiche ton intérêt sur le sujet ainsi que ta localisation géographique.

En quoi le fait de mettre mes pages en https empêchera t-il le fichage de ceux qui n'ont pas pris la précaution de se protéger ?
S'ils l'ont fait, ils se foutent que je sois en http ou https ; s'ils ne l'ont pas fait, c'est qu'ils se foutent que leur intérêt soit connu de leur moteur de recherche et de leur FAI

Page suivante »