HTTPS, son fonctionnement et ce que vous devez savoir
Lorsqu’il s’agit de naviguer en toute sécurité sur le Web, il n’est pas possible de ne pas faire référence à l’utilisation du Protocole HTTPS (Protocole de transfert HyperText sur Secure Socket Layer).
Lorsque vous visitez une page, la présence du cadenas fermé dans la partie initiale de la barre d’adresse du navigateur Web confirme que le site utilise HTTPS.
Une fois que le protocole HTTPS n’était utilisé que par les banques et sur les sites de grandes entreprises, mais depuis août 2014, lorsque Google a également fait référence à l’utilisation du HTTPS comme un facteur de classement modéré, son adoption s’est de plus en plus répandue.
Aujourd’hui, la grande majorité des sites Web utilisent HTTPS même s’ils ne traitent aucune information personnelle ou donnée sensible. Cependant, nous enregistrons de nombreuses exceptions: certaines pages web qui n’utilisent pas HTTPS restent aujourd’hui bien positionnées sur le moteur de recherche.
HTTPS, comment il est né et à quoi il sert
L’idée de HTTPS remonte à 1994 et était de Communications Netscape.
HTTPS peut être considéré comme une sorte de version avancée de HTTP, c’est-à-dire le protocole historiquement utilisé pour l’échange d’informations sur le Web entre client et serveur.
Le protocole HTTP se concentre sur les mécanismes d’échange d’informations qui distinguent les hypertextes (comme les pages Web) mais n’intègre aucun niveau de sécurité supplémentaire: les données sont échangées sans utiliser d’algorithme cryptographique et sont donc potentiellement indétectables, surveillées, modifiables et endommagé par des tiers.
Avec HTTPS, nous voulions gérer le problème en permettant au navigateur Web d’échanger des données avec le serveur distant sous forme cryptée. Étant donné que les données entre le client et le serveur Web sont cryptées, les personnes malveillantes ne peuvent pas se mettre le nez dans les informations transférées ni les endommager. (les attaques dites MITM sont évitées, l’homme au milieu).
La couche de cryptage supplémentaire utilisée pour protéger les informations provenant du client et du serveur et vice versa est fournie par des protocoles cryptographiques spéciaux: SSL (Couche de sockets sécurisés) et TLS (Sécurité de la couche de transport). Certaines versions de protocoles cryptographiques sont désormais considérées comme obsolètes et non sécurisées car dans le passé, elles se sont révélées à plusieurs reprises sujettes à des agressions.
SSL est maintenant obsolète (bien que cet acronyme soit encore fréquemment utilisé aujourd’hui) tandis que TLS 1.3 et TLS 1.2 sont maintenant les seuls protocoles qui devraient être utilisés avec HTTPS. Le support de TLS 1.x est en fait préservé avant tout par les sites Web qui ne gèrent pas les informations sensibles pour étendre la compatibilité des pages même aux navigateurs plus anciens.
Le site SSL Server Test vous permet de tout savoir sur l’utilisation du HTTPS par n’importe quel site Web.
Avec HTTPS, un certificat numérique est utilisé, principalement utilisé pour certifier l’identité du site Web visité.
Le certificat numérique est émis par une autorité de certification qui vérifie l’identité du demandeur, la possession ou la propriété du nom de domaine et délivre un document à exposer aux clients connectés.
Sur la base des contrôles que l’autorité de certification effectue avant la délivrance du certificat, différents certificats numériques sont émis: DV (Domaine validé), VO (Organisation validée) et EV (Validation étendue).
Les certificats ont également un coût d’émission et de renouvellement différent, en fonction du type spécifique.
Pour une utilisation normale, un certificat DV est très bien, ou même un service comme Crypterons fournit gratuitement: dans ce cas, l’autorité de certification se limite à vérifier uniquement que le demandeur a le droit de gérer le nom de domaine.
À un moment donné, les navigateurs Web montraient une solution graphique différente au début de la barre d’adresse qui expliquait mieux le type de certificat utilisé pour charger la page HTTPS. Désormais, le cadenas gris fermé sert simplement à indiquer l’utilisation avec le protocole HTTPS d’un certificat numérique valide et non expiré quel que soit le type de certificat. L’utilisateur peut éventuellement cliquer sur le cadenas puis sur Certificat (ou Informations complémentaires dans le cas de Firefox) pour obtenir plus d’informations sur le certificat numérique utilisé.
Comment obtenir un certificat TLS à utiliser avec HTTPS
Pour obtenir un certificat numérique à utiliser sur votre site Web afin de protéger les données en transit avec HTTPS, vous pouvez contacter une autorité de certification ou en tout cas le fournisseur choisi. Certains fournisseurs vous permettent d’obtenir instantanément un certificat DV pour le site que vous administrez simplement en utilisant une interface Web pratique.
Ceux qui utilisent un serveur dédié ou un service cloud peuvent se référer au module Certbot par EFF (Electronic Frontier Foundation) qui vous permet de générer automatiquement des certificats numériques Crypterons pour les sites configurés sur le serveur Web.
En effectuant les sélections appropriées à Mon site Web HTTP est en cours d’exécution, vous obtiendrez les instructions pour générer le certificat numérique pour l’activation HTTPS et les instructions pour procéder au renouvellement périodique. Les certificats Crypterons en fait ils ont une expiration trimestrielle mais peuvent être renouvelés automatiquement en créant une tâche planifiée avec la commande cron sous Linux ou sur Windows Server, avec un peu de travail, en utilisant Planificateur.
Plus d’informations sont publiées dans l’article HTTPS, comment obtenir un certificat numérique gratuit.
Pour vérifier la date d’expiration des certificats utilisés sur leurs sites Web différentes méthodologies peuvent être utilisées, y compris l’utilisation d’un script qui extrait les délais pour tous les noms de domaine administrés.
Quiconque gère un site Web peut consulter l’article Passer de HTTP à HTTPS: l’importance du certificat SSL pour recueillir quelques conseils pratiques.
De quoi dépendent les erreurs HTTPS sur les sites Web
Avec l’indication Pas certain le navigateur Web indique aujourd’hui, en haut de la barre d’adresse, toutes les pages Web qui utilisent encore HTTP au lieu de HTTPS, qu’elles gèrent des données personnelles ou que nous ayons ou non un formulaire de connexion.
Le site de test BadSSL, quant à lui, affiche des erreurs que vous pouvez occasionnellement recevoir lors de la visite de pages HTTPS. En cliquant sur expiré, mauvais.host, auto-signé, racine non approuvée est révoqué, par exemple, vous pouvez vérifier le comportement du navigateur Web choisi lorsque vous deviez visiter, respectivement, une page HTTPS avec un certificat expiré, qui fait référence à un autre nom de domaine, auto-signé (donc sans passer par une autorité de certification) ou émis par une entité racine non approuvée.
En cliquant sur tls-v1-0 est tls-v1-1 vous pouvez vérifier l’avertissement éventuel affiché par le navigateur au cas où vous essayez de visiter une page HTTPS qui utilise uniquement les protocoles non sécurisés TLS 1.x.
Si vous utilisez une application au sein du réseau local qui intègre très souvent les fonctionnalités d’un serveur Web, vous rencontrerez l’erreur ERR_CERT_AUTHORITY_INVALID car le certificat numérique aura été généré seul. Cela ne signifie pas que les données ne voyagent pas sous forme cryptée: elles sont protégées et ne peuvent pas être lues ou modifiées le long de leur chemin. Il n’y a tout simplement aucune preuve de l’identité de la personne qui a configuré le serveur Web et qui a rendu l’application disponible via HTTPS.
Contenu mixte et attitude changeante des navigateurs Web
Les principaux navigateurs déclarent depuis longtemps la guerre aux pages qu’ils hébergent contenu mixte.
Ce terme fait référence à l’insertion d’objets récupérés via HTTP (donc en texte clair) à partir de pages HTTPS.
La présence de contenu mixte fait disparaître le cadenas sur les pages HTTPS car tout contenu malveillant récupéré via HTTP pourrait modifier les informations contenues dans la page HTTPS avec la possibilité, par exemple, d’intercepter les noms d’utilisateurs et les mots de passe. À cet égard, les modules de connexion qui font référence à des scripts via HTTP sont également immédiatement signalés à l’utilisateur.
Toujours de BadSSL peut se produire (recherche mixte dans la page) quel est le comportement du navigateur Web dans la gestion de contenu mixte.
En traitant le contenu mixte le comportement du navigateur est en train de changer et a tendance à être de plus en plus intransigeant.
Chrome, par exemple, à partir de la version 86 s’abstient de télécharger un fichier via HTTP mais n’informe en aucune façon l’utilisateur: le résultat est que parfois un lien est cliqué qui ne fonctionne pas car le fichier à télécharger est directement rappelé (ou via redirection) en utilisant une URL HTTP. Pour corriger, voir Chrome bloque les téléchargements de fichiers: que se passe-t-il et comment y remédier.
Découvrez également plus d’articles dans nos catégories Internet, productivité ou encore Ordinateurs et internet.
Merci pour votre visite on espère que notre article HTTPS, son fonctionnement et ce que vous devez savoir
vous aide, pensez à partager l’article sur Facebook, twitter et e-mail avec les hashtag ☑️ #HTTPS #son #fonctionnement #vous #devez #savoir ☑️!