04 86 68 88 30

Google force le passage en https…

par | 24 Sep 2014

Cet été, Google a ébranlé le monde du référencement en faisant une annonce particulière : désormais, les sites web fonctionnant en navigation sécurisée (‘https’ au lieu de ‘http’) seront favorisés par le moteur de recherche lors de l’affichage des résultats.

Ce message, à destination des référenceurs et webmasters, était un premier signal.

Un signal plus fort a été envoyé aux internautes avec une alerte dissuasive dès lors qu’il y a une anomalie dans le certificat destiné à garantir la sécurisation de la navigation :

Message d'alerte de Chrome : Votre connexion n'est pas privee

Le nouveau message d'alerte du navigateur Crhome en cas d'anomalie de certificat

 

Ce message est particulièrement alarmiste, et partiellement erroné : l’affirmation « votre connexion n’est pas privée » est en particulier exagérée, puisque ce message s’affiche dans n’importe lequel des cas suivants :

  • Le certificat est auto-signé (c’est le cas notamment lorsque l’on se connecte à l’interface d’administration d’un équipement réseau, ou au backoffice de son site)
  • Le certificat a expiré (c’est un cas peu légitime !)
  • Le nom de domaine ne correspond pas à celui indiqué dans le certificat (parfois pour simplifier la navigation, sur un webmail par exemple)

Si dans tous ces cas, le navigateur doit déclencher une alerte et obtenir le consentement éclairé de l’internaute, les messages actuellement diffusés grossissent ainsi le trait, et peuvent par conséquent affoler inutilement l’internaute.

Même si il y a une forme de dramatisation de la part de Google, les webmasters et agences web ne peuvent pas ignorer cette tendance… Même si l’utilisation d’un certificat « auto-signé » (donc non certifié par une autorité externe) permet en principe de sécuriser l’accès à un back-office ; il va falloir envisager l’utilisation d’un certificat SSL validé par une autorité externe (et donc payant).

Mais attention, il ne faudra pas opter pour un certificat signé en SHA-1 : Google à communiqué son planning de rejet progressif de ces certificats, à compter du 26 septembre avec la version 39 de Chrome.

Si le passage en « tout https » semble inéluctable, il ne sera pas de tout repos pour les agences web et les webmasters !

Werner KLINGER
Ingénieur Conseil Web & NTIC