Auteur/autrice : Christophe Gérard

CPO - Nameshield Group

Game over HTTP, welcome HTTPS

Chrome 56 et Firefox 51 sont arrivés et sonnent le glas de l’ère du HTTP.

Annoncée depuis longtemps, l’apparition des termes « Non sécurisé » dans la barre d’adresse est maintenant effective pour toutes les pages contenant la saisie de mots de passe qui seraient encore en HTTP.

Plus qu’un long discours, voilà à quoi cela peut ressembler sur un site à très fort trafic :

Traitement HTTP sur la page d’accueil du site, à gauche Chrome 56, à droite Firefox 51, depuis le 27 janvier 2017
(Traitement HTTP sur la page d’accueil du site, à gauche Chrome 56, à droite Firefox 51, depuis le 27 janvier 2017)

Nous vous laissons imaginer les conséquences sur l’image de marque qui n’offre pas la sécurité attendue à ses internautes peu enclins à poursuivre leur navigation avec de telles alertes : perte de confiance, baisse des taux de clic et conversion, augmentation du taux de rebond et, au final, perte de chiffre d’affaires au profit d’autres sites web. Dramatique.

N’oublions pas non plus que les pages concernées pour l’instant sont uniquement celles contenant des données à sécuriser (mot de passe, paiement en ligne), mais que la volonté des deux géants du web est de considérer à l’avenir toutes les pages en HTTP comme « Non Sécurisé », affiché en rouge.

Pas de calendrier annoncé pour l’instant, mais la machine est en marche comme l’a confié Emily Schechter, chef de produit Chrome Security dans son fameux post de septembre 2016 :

“Historically, Chrome has not explicitly labelled HTTP connections as non-secure. Beginning in January 2017 (Chrome 56), we’ll mark HTTP sites that transmit passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure,”

Comment s’organiser

Le trafic HTTPS mondial vient de passer le cap symbolique des 50% (50,15% à fin janvier 2017, contre 39% un an plus tôt), porté notamment par l’initiative Let’s Encrypt. Actuellement, au niveau mondial le protocole HTTPS est déployé sur plus de la moitié du top 100 des sites figurant sur l’indice Alexa et 44 % d’entre eux l’ont activé par défaut.

Mais la France est en retard (voir notre article précédent sur le sujet ici), en particulier dans le monde de l’entreprise où l’inertie est importante, de même que la peur du déréférencement ou de la chute des revenus publicitaires.

Demain tous les sites web seront concernés, du site web de vente en ligne au simple site vitrine, tous devront passer au HTTPS pour rassurer les internautes. Si la réflexion n’est pas déjà lancée au sein des équipes web et marketing de votre entreprise, il est plus que temps de se positionner.

• Former et informer vor équipes : HTTPS, certificats SSL ;
• Définir votre stratégie de certification : Autorité de Certification, types de certificats, workflow ;
• Identifier l’ensemble des sites web de votre société… et définir les priorités d’action :

1-Sites contenant un espace de saisie de données personnelles (formulaire, login, mot de passe, récupération de mot de passe, achats en ligne) => vérifier la présence de httpS
2-Sites corporate, vitrine, flagship : prévoir de passer en httpS par défaut en 2017
3-Sites secondaires

• Préparer la transition vers le httpS avec vos équipes web
• Effectuer la transition vers le httpS des sites identifiés et surveiller le bon déroulement
• Gérer vos certificats

Nameshield vous accompagne

Notre équipe d’experts SSL vous accompagne dans la formation de vos équipes en organisant régulièrement des réunions d’information au sein de ses locaux pour vous permettre d’échanger avec d’autres acteurs du marché.

Nous mettons également à votre disposition les outils nécessaires à la prise de décision (audit, analyse, conseil).

Nameshield est fournisseur reconnu de solutions de sécurisation de vos sites web : certificats SSL, DNS, registry lock, n’hésitez pas à contacter nos équipes pour plus de renseignements.

SAVE THE DATE – 11 mai 2017 : le SSL café

Nous vous proposons de nous retrouver autour d’un petit déjeuner dans nos locaux pour échanger sur le marché des certificats SSL/TLS, l’actualité, les problématiques et les solutions à mettre en place pour un passage au HTTPS sans encombre. Inscrivez-vous par email ou téléphone auprès de votre contact habituel.

Transition vers le HTTPS : la France est en retard… et le réveil pourrait être difficile

Le JDN vient de publier un article très intéressant sur le décollage du HTTPS sur le top 100 des sites les plus visités en France. Il en ressort que 44/100 sont maintenant en HTTPS par défaut (dont 12 dans le top 20) et 54% des pages vues sont en HTTPS. C’est une bonne nouvelle pour les internautes français MAIS…

…on peut surtout remercier les acteurs américains. Sur le top 20, le seul acteur français aujourd’hui en HTTPS par défaut est Leboncoin.fr ! Si on pousse jusqu’au top 50, on ne trouve que quatre acteurs français supplémentaires : La Poste, Le Crédit Agricole, Mappy et Service Public.fr. Sur le top 100, 44 acteurs sont en HTTPS par défaut, dont seulement 15 acteurs français. Du côté du e-commerce c’est encore pire avec 33 acteurs français dans le top 40 mais seulement 7 en HTTPS par défaut.

La France est à la traine… et doit réagir

Google et Firefox, les deux fers de lance de la généralisation du HTTPS, continuent à annoncer des mesures toujours plus fermes en vue de l’adoption généralisée du HTTPS par défaut :

  • bonus sur le référencement naturel,
  • « malus » au cours de la navigation avec de plus en plus d’alertes,
  • limitation de fonctionnalités au seul HTTPS : HTTP2, géolocalisation, utilisation de la caméra, auto-remplissage des formulaires…
  • dépréciation des versions trop anciennes : SHA1 remplacé par SHA256

Chrome 56 arrive en Janvier 2017 avec une première série d’alertes dans les barres d’adresse pour les pages de connexion et contenant des champs de carte de crédit… et annonce déjà la couleur pour la suite avec la volonté clairement affichée d’une alerte pour tous les sites en HTTP (voir visuels ci-dessous).


https-2

Firefox n’est pas en reste et annonce la mise en place d’une alerte sur les saisies de mot de passe

treatment HTTPS firefox

Et d’autres acteurs majeurs comme WordPress, Apple ou Microsoft suivent le mouvement.

Pourtant le HTTPS peine à s’imposer pour la plupart des acteurs français du Web. Pourquoi ?

La transition d’un site Web en HTTPS par défaut n’est pas une mince affaire et deux freins importants existent encore : le risque d’un déclassement en termes de SEO si la transition est mal opérée, et certaines régies publicitaires qui restent en sources HTTP. Le trafic et les revenus publicitaires, le nerf de la guerre pour beaucoup de sites web.

Et donc, on attend ! On attend le dernier moment en espérant que Google et Firefox reculent ? C’est peu probable et le calendrier se resserre. Même si Google n’a pas encore annoncé de date pour la mise en place des alertes sur le HTTP, il y a fort à parier qu’ils le feront le plus tôt possible, et les conséquences risquent d’être désastreuses s’il faut agir dans l’urgence.

Nous recommandons d’étudier au plus tôt un calendrier de transition vers le HTTPS par défaut, projet à mener en étroite collaboration avec les équipes web et référencement, pour tous les sites vitrine dans un premier temps et pour l’ensemble des activités web dans un second.

Les équipes de Nameshield pourront vous accompagner en termes de conseil pour la mise en place et la gestion des certificats qui permettront d’afficher le HTTPS.

HTTPS et SSL : Google continue son offensive

https-chromeChrome 53 est arrivé le 31 août et avec lui Google continue de militer pour un internet plus sûr.

Avec son navigateur Chrome, Google souligne de plus en plus clairement quand un site ne dispose pas de httpS dès sa page d’accueil. Et les versions à venir vont continuer dans ce sens jusqu’à barrer purement et simplement le http d’une croix rouge, ce qui sera rédhibitoire pour l’image de marque des sites web, donc des marques notoires.

Http Cdiscount
Site en http
Https Amazon
Site en httpS par défaut
Https Nameshield
Site en httpS EV (Extended Validation)

Firefox a d’ores et déjà annoncé une mesure similaire. Ajoutez à cela le httpS comme facteur supplémentaire de référencement naturel et la prise en compte du httpS pour les pages de saisie de données personnelles dans les résultats de Google shopping, si vous ne l’avez pas encore envisagé, il est temps de préparer la migration de votre site web vers plus de sécurité.

Pourquoi passer maintenant au HTTPS ?

  •  Cela va devenir incontournable ;
  • C’est bénéfique pour votre image en ligne, notamment avec Extended Validation ;
  • La transition d’un site web vers le httpS se prépare et il vaut mieux se pencher dessus maintenant que dans l’urgence demain.

A quoi ressemblera la barre de navigation en Janvier 2017 ?

Pour les pages des sites HTTP proposant la saisie de mots de passe ou de cartes de crédit, le petit picto d’avertissement « i » sera agrémenté d’un texte pour le moins explicite : « Not secure » !

Ce que Chrome souhaite afficher à terme

Pour tous les sites, le but ultime de Google est d’afficher le libellé « Not secure » pour toutes les pages des site HTTP.

Note secure

Source : https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Les équipes de Nameshield vous accompagnent dans le choix des certificats SSL les plus adaptés pour obtenir le HTTPS, contactez dès maintenant votre commercial ou votre chargé de clientèle pour aborder la question.

Référencement naturel et certificats SSL : faut-il passer au HTTPS:// ?

Commençons par le commencement, à savoir, qu’est-ce que https:// exactement, et à quoi cela sert-il ?

Le HTTP est un protocole de communication internet utilisé pour charger la plupart des pages web. Le problème de ce protocole est qu’il n’est pas massivement sécurisé ; n’importe quel cyber criminel peut ainsi surveiller les données de votre trafic et les sites web que vous visitez. Cela devient particulièrement embêtant lorsque le site web en question demande aux internautes de remplir des formulaires contenant des informations personnelles et confidentielles, que ces individus mal intentionnés peuvent espionner très facilement.

Winner

Pour protéger la vie privée, le protocole HTTPS a donc été développé. Le « S » signifie « Sécurisé », ce qui indique que la communication entre l’internaute et le site web est sécurisée. En utilisant ce protocole, le navigateur encrypte l’ensemble des données échangées à l’aide d’une clé de cryptage, que seule une clé de décryptage unique peut déchiffrer. Les hackers ont alors besoin de cette clé de décryptage, extrêmement dure à identifier, et sans laquelle les données interceptées n’ont aucun sens. Utiliser HTTPS rend beaucoup plus difficile, voire impossible, de surveiller ou d’intercepter les communications. Utiliser HTTPS offre à vos internautes la garantie qu’ils peuvent échanger avec votre site en toute sécurité.

Avec HTTP seulement, n’importe quel cyber criminel peut ainsi surveiller les données de votre trafic et les sites web que vous visitez.

Maintenant, concentrons-nous sur le rapport entre le fait de disposer d’un site en HTTPS et le référencement naturel. En août 2014, Google a annoncé publiquement son intention de prendre en compte la présence du HTTPS sur un site web comme un signal positif en termes de sécurité avec pour conséquence un impact positif sur le classement dans les résultats de son moteur de recherche. Cette annonce a mis le monde des webmasters en émoi, notamment pour les détenteurs de sites web qui, traditionnellement, n’utilisent pas de protocole sécurisé, tels que les sites ne faisant pas de e-commerce ou ne disposant pas d’espace de transaction.

A quel point est-ce important de passer en HTTPS pour le référencement naturel ?  

Et bien la réponse est : cela dépend ! Cela dépend de votre situation personnelle, à savoir du contenu de votre site web, de ce que les internautes attendent d’un site web de votre catégorie, de l’état des sites web concurrents, du bénéfice d’une telle transition par rapport au budget investi. Pour parler plus généralement…

Dans un futur immédiat, l’impact du passage au HTTPS reste considéré par Google comme un signal supplémentaire certes, mais dont le poids n’est pas majeur. Google a annoncé cependant suivre de près cette transition et se réserve la possibilité de mettre beaucoup plus de poids sur ce facteur dans l’avenir. En faisant le changement maintenant, il faut s’attendre à impact faible sur votre SEO si la mise à jour est effectuée correctement. Ce que les propriétaires de site web doivent garder à l’esprit, c’est la multitude des autres paramètres de poids plus important qui peuvent être optimisés également avant de se focaliser sur ce changement.

Dans un futur immédiat, l’impact du passage au HTTPS reste considéré par Google comme un signal supplémentaire certes, mais dont le poids n’est pas majeur.

A moyen et long terme cependant, offrir une expérience de navigation sécurisée aux internautes est susceptible de devenir un aspect beaucoup plus important, voire indispensable, de sorte que nous recommandons de se pencher sur la question dès maintenant. Des acteurs comme Google, mais aussi Microsoft, Mozilla ou encore Akamaï poussent de plus en plus pour un web plus sûr. Considérant la position ultra-dominante du moteur de recherche de Google dans la plupart des marchés, il nous parait sage d’aligner votre stratégie de référencement sur leurs grands objectifs. Il parait également raisonnable de penser que Google augmentera graduellement l’importance de ce critère parmi ses critères de classement SEO.

Il faut également considérer le fait qu’en adoptant le protocole sécurisé, et en multipliant les signaux de sécurité sur votre site (barre d’adresse en vert, sceau de sécurité, cadenas et HTTPS), plus nombreux seront les internautes disposés à communiquer leurs données personnelles et à réaliser des transactions parce qu’ils se sentiront en sécurité. Et si votre site web devient plus efficace dans la conversion de votre trafic en clic ou acte d’achat, la valeur du trafic issu du SEO, mais aussi des autres canaux, augmentera d’autant plus. Si vous vous posez la question de l’adoption ou non du HTTPS, il est important de considérer les bénéfices collatéraux que vous pourriez en tirer.

Il est fortement recommandé de s’adresser à votre webmaster et à votre agence de référencement pour planifier la transition.

Y a-t-il des risques liés à la transition vers le HTTPS ?

 Si vous avez pris la décision de faire passer votre site vers HTTPS, il y a des éléments techniques essentiels qui doivent être pensés pour assurer une transition en douceur d’un point de vue du SEO. Il existe malheureusement de nombreux exemples de sites ayant perdu plus qu’ils n’ont gagné durant une telle transition, et oui il existe des risques liés à la transition vers le HTTPS si une planification soignée n’est pas mise en œuvre.

 Il est fortement recommandé de s’adresser à votre webmaster et à votre agence de référencement pour planifier la transition. Pour les personnes impliquées directement dans le SEO, vous trouverez à la fin de cet article une liste des points clés à considérer et des liens vers des ressources complémentaires en ligne.

Quel impact en termes de visibilité ?

Avec presque un an de recul maintenant, certaines études commencent à voir le jour sur l’impact réel du passage à httpS et font état de résultats significatifs. Parmi celles-ci l’étude de Searchmetrics, blog spécialisé dans le SEO, qui base son étude sur l’observation depuis 2012 de près de 30 000 keywords, et dont les conclusions sont sans appel : il existe une différence statistique de 1% à 5% en matière de visibilité entre le http et le httpS. Cette étude est disponible ICI

Il reste cependant un dernier frein important à l’adoption massive du HTTPS : la publicité. En effet, malgré les annonces et résultats très probants constatés auprès de ceux qui ont fait la transition, un nombre très important de sites web reste encore et toujours en HTTP, y compris sur les pages de connexion à leur espace confidentiel. Pour passer proprement au HTTPS, il faut en effet que tous les éléments de la page soient chargés en HTTPS et les régies publicitaires du web ont tendance à négliger cet aspect. Les choses sont cependant en train d’évoluer rapidement là aussi puisque Google, encore lui, délivre depuis fin 2014 ses publicités Youtube en HTTPS et a annoncé pour le 30 juin 2015 le passage des campagnes issues de Google Display Network, AdMob et DoubleClick en HTTPS. Très certainement de quoi entrainer le reste du marché.

Les signes pour une adoption du HTTPS se multiplient sur le marché. Tous les grands acteurs vont dans ce sens.

Conclusion

 Faut-il passer au HTTPS dès maintenant ou attendre ? En admettant que le passage au HTTPS présente des risques si la transition n’est pas bien orchestrée, on peut légitimement se poser la question. Pour autant, les signes pour une adoption du HTTPS se multiplient sur le marché. Tous les grands acteurs vont dans ce sens, et les internautes, au travers notamment des révélations d’Edward Snowden et des actualités quotidiennes mentionnant diverses attaques toutes plus importantes les unes que les autres, commencent (enfin) à se soucier réellement de la sécurité de leur navigation.

Alors pourquoi attendre ? Un jour ou l’autre il faudra passer au HTTPS sur l’ensemble des pages comprenant des échanges de données personnelles et sensibles. Le faire dès aujourd’hui c’est prendre les devants, c’est mieux se positionner dans les moteurs de recherche, c’est augmenter les revenus issus du canal internet et enfin c’est envoyer un message positif aux internautes comme quoi vous vous souciez de leur sécurité, et c’est en tirer les bénéfices pour votre image de marque.