Le HTTPS sur les sites web populaires

Google a une mission : il veut voir du HTTPS partout. Et il utilise plusieurs moyens pour y parvenir... Les sites les plus populaires dans le monde vont dans son sens, et utilisent de plus en plus le HTTPS.

L'HyperText Transfer Protocol Secure (abréviation : HTTPS) est un mécanisme qui permet à un navigateur Internet ou à une application de se connecter en toute sécurité avec un site web. L'objectif principal du HTTPS est d'authentifier le site web visité et protéger la vie privée et l'intégrité des données échangées.
Le but de cet article est d’abord montrer que Google a une mission : il veut du HTTPS partout. Ensuite, nous verrons comment il compte réaliser son souhait. Enfin, l’état HTTPS des sites web populaires dans le monde donnera des indicateurs intéressants.

HTTPS : une mission importante pour Google

Pour Google, le HTTPS est devenu une mission très importante. L'entreprise explique : "La sécurité est au cœur des priorités de Google. Nous concentrons nos investissements et nos efforts pour nous assurer que nos sites et nos services vous offrent une connexion HTTPS moderne par défaut. Nous sommes engagés à faire du Web un endroit plus sûr, non seulement pour des utilisateurs de Google, mais pour tous les utilisateurs. Le HTTPS rend difficile pour des fournisseurs d'accès à Internet, des gouvernements et d’autres de surveiller ce que vous faites en ligne."
C'est très clair, Google veut du HTTPS partout.

Comment Google motive la migration vers le HTTPS ?

Par le SEO
Google a annoncé le 06/08/2014 que le HTTPS deviendrait un signal de classement. Depuis, il montre souvent sa volonté pour voir le HTTPS partout.
Les sites web importants et établis hésitent parfois à migrer vers le HTTPS  en raison de la perte de la valeur du Pagerank pendant les redirections. C’est pour cela que Gary Illyes, un des porte-paroles de Google a publié un tweet expliquant qu'avec les redirections 30X, les sites ne perdront pas de Pagerank.   












Par Chrome

L'équipe de sécurité du Chrome a annoncé le 08/09/2016, dans le cadre d'un plan à court terme, que le navigateur commencerait à signaler les pages en HTTP qui transmettent des mots de passe ou numéro de cartes de crédit comme non-sécurisées, à partir de janvier 2017. Dans le cadre d'un plan à plus long terme, cette équipe envisage de marquer tous les sites HTTP comme non-sécurisées.
Dans un communiqué récent, le 27/04/2017, l'équipe de sécurité du Chrome a annoncé qu'à partir de Octobre 2017 sur Chrome en mode navigation privée, le navigateur marquera tous les sites HTTP comme non sécurisées. Ils ont également rappelé qu'ils comptent toujours bien qualifier de non-sécurisée toutes les pages en non-HTTPS dans le cadre d'un plan qui se déroule par étapes. 

Par ailleurs, le protocole HTTP2 exige l'utilisation du chiffrement. Par conséquent, un site web devrait supporter le HTTPS avant de pouvoir servir en HTTP2. Chrome pousse là encore vers le HTTPS car ce sont bien les navigateurs principaux (Firefox comme Chrome) qui ne supportent le HTTP2 que quand il est utilisé sur une connexion cryptée.

Le HTTPS vu par Google

Selon les statistiques de Google, 85% de requêtes envoyées du monde entier aux serveurs de Google ont utilisé des connexions cryptées fin avril 2017. Ce chiffre était 47% à la fin de 2013. 




Ci-dessous les dates de migration vers le HTTPS de Google et quelques sites web populaires.




Bien que Google ait migré vers le HTTPS bien avant des top sites comme Twitter, Facebook ou Wikipedia, Google n'était pas un des premiers sur le HTTP Strict Transport Security (HSTS). Le HSTS est apporté à www.google.com seulement depuis 27/07/2016. 

HTTPS sur des sites web populaires
Google a partagé des données concernant l’état HTTPS des 100 premiers sites en termes de popularité sur Internet (hors Google)en février 2016. Selon Google, les sites dans cette liste représentent 25% du trafic Web mondial.




Ce graphique montre l'état HTTPS des 100 premiers sites (hors Google) à trois différentes dates. Le nombre de sites web utilisant le HTTPS dans cette liste a sensiblement augmenté depuis le début de 2017. Aujourd’hui, 60% de ces sites utilisent le HTTPS. 
Google a souhaité voir le HTTPS sur les 100 premiers sites à la fin de 2016. Malheureusement cela ne s'est pas réalisé. Google souhaite désormais voir son souhait réalisé d'ici à la fin 2017. Est-ce qu’il va réussir cette fois-ci ?
Si vous hésitez encore pour la migration vers le HTTPS, je vous conseille de ne pas hésiter et sauter le pas. J'ai donné une conférence sur le HTTPS au WebCampDay à Angers récemment. Si vous voulez savoir plus sur le HTTPS, pourquoi et comment migrer vers le HTTPS les slides de ma conférence se trouvent ici https://www.slideshare.net/AysunAkarsu1/sur-la-route-vers-le-https-partout-web-campday-angers
L’article avec toutes les statistiques sur le HTTPS de Google se trouve ici
https://www.google.com/transparencyreport/https/grid/?hl=fr