Pour Chrome, un site HTTP est NON sécurisé !

[WebRankInfo]

Google a les moyens de vous obliger à passer votre site en HTTPS :x

 

[jeanluc]

Cela ne concerne que ceux qui font des sites pour Google... Les autres ne verront même pas cette icône. :mrgreen:

Jean-Luc

 

[FortTrafic]

Je ne vois pas en quoi cette icône avec un cadenas et une croix rouge peut me faire passer à https.

Pas sécurisé? Et alors? Faire du ski ce n'est pas sécurisé, sortir de chez soi non plus, y rester pas toujours très sécurisé non plus.
Bref, faut être grave pour passer son site en https à cause de raisons comme ça.

D'ailleurs comme précisé dans l'article : "ce n'est pas parce que le site est en HTTPS qu'il est "sécurisé" à tous niveaux (on doit pouvoir trouver des sites HTTPS moins sécurisés que certains en HTTP)"

Donc l'icône ne doit pas être lue comme "non sécurisé" mais plutôt comme "non https" c'est tout.

 

[Bool]

C'est surtout pour les e-commerçant que ça va avoir un impact, difficile d'expliquer aux gens qu'ils peuvent commander en «toute confiance» avec un tel symbole.

Pour ce qui est du reste, ça coûte si peu de nos jours d'activer HTTPS, que c'est vrai que c'est dommage de s'en priver. Un certificat, c'est gratuit par exemple chez StartSSL.

 

[patapon87]

Sauf que, un site qui n´a pas de zone membre, qui ne vend rien etc... pourquoi se faire **** à passer en https

 

[Madrileño]

Bonjour,

+1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.

Je ne vais pas m'éterniser sur ce sujet et me répéter (déjà trop souvent débattu).

Cordialement.

 

[Bool]

HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.

 

[Blount]

+1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.

Ce qui va être drôle dans l'histoire, c'est le deuxième effet kisscool du HTTPs. Car quand un site se fera hacker et transformé en plateforme de récolte de données, l'utilisateur qui arrivera sur ce site verra le beau cadenas bien vert et sera convaincu du bien fondé du contenu …

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.

 

[Madrileño]

Bonjour,

En effet Blount c'est très amusant (surtout quand on sait que c'est déjà arrivé).

Cordialement.

 

[Bool]

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.

Mais... de quoi tu parles ?

Le système de certificat indique explicitement que oui, le serveur qui te répond a effectivement le droit de se faire appeler forum.webrankinfo.com. Pas plus, pas moins, mais c'est déjà beaucoup. Bref, il ne s'agit pas seulement de chiffrer le transfert : l'usurpateur pourrait en faire autant. Par contre l'usurpateur en question ne peut pas se faire passer pour forum.webrankinfo.com, à moins d'hacker réellement les serveurs de WRI.

Tandis que sans HTTPS, (presque) n'importe qui peut faire ça dans un McDo, une université, etc.

 

[Blount]

Justement, c'est le coté serveur (plus précisément le site en question) hacké que je veux mettre en avant.
Tu as beau avoir un certificat signé, si le hacker (où cracker d'ailleurs) place un fichier proxy, bah tu n'as plus le bon interlocuteur.
En gros, dans ce schéma : A => B => C
A, le client, se connecte sur B en chiffré/signé et B "redirige" les requêtes vers C.
Et bien entendu, A est persuadé de communiquer avec le "bon" interlocuteur.

Ça c'est pour bien te faire comprendre ce que j'essaie d'expliquer, mais le cracker n'aura qu'à modifier les fichiers de B bien entendu.

Mais effectivement, le HTTS empêche quelqu'un de se mettre entre A et B et de lire ce qu'ils se disent.

 

[Bool]

Alors oui, si quelqu'un a essayé de vous vendre HTTPS comme une solution protégeant vos serveurs, c'était clairement une erreur. Mais pour ma part je n'ai jamais lu ça où que ce soit.
HTTPS sert à éviter que quelqu'un entre votre poste et le véritable serveur n'intercepte/modifie/écoute les communications. C'est tout.

Après on peut discuter de l'efficacité des CA dans ce rôle, mais clairement la sécurité du serveur n'a rien à voir à l'histoire.

 

[Blount]

Tu as pourtant bien dit dans un de tes postes qu'avec un certificat on etait sur d'avoir le bon interllcuteur. C'est avec ce point que je ne suis pas d'accord.

 

[Bool]

Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.

 

[rick38]

Les avantages du HTTPS ne font pas de doute.
Par contre sur un site HTTPS, Adsense n'affiche pas les pubs (ou sites ?) qui ne sont pas HTTPS, donc ça veut dire une perte de revenus pour les sites qui utilisent Adsense.

 

[ybet]

HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.

Excellent post que j'ai reco (surtout par rapport aux autres réponses ... y compris quelques anneries).
Petit rappel sur les transferts internet de données.

http: les transactions ... demande -> envoi des données.
https: demande -> envoi d'une clé ->réception de la clé de celui qui demande->nouvelle demande et vérification de la clé pour chaque demande suivante ... sécurisé? une fois la clé réceptionnée ... pas de problèmes (je schématise): première connexion, récupération de la clé et ... accès.

Les mécanismes sont un peu plus complexes pour des sites VRAIMENT sécurisés (voire sur Google Kerberos par exemple) mais pour les autres ... Google en https, c'est juste pour cacher les requêtes

Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.

Effectivement ...

Mais ca ne garantit pas que le serveur n'est pas hacké.