Vous devez toujours protéger tous vos sites Web avec le protocole HTTPS, même s'ils ne traitent pas de communications sensibles. En plus d'assurer la sécurité et l'intégrité des données critiques de vos sites Web et des informations personnelles de vos utilisateurs, HTTPS est une exigence pour de nombreuses nouvelles fonctionnalités de navigateur, en particulier celles requises pour les applications Web progressives.
Résumé
- Des intrus malins ou bénins exploitent toutes les ressources non protégées entre vos sites Web et vos utilisateurs.
- De nombreux intrus examinent les comportements agrégés pour identifier vos utilisateurs.
- HTTPS ne bloque pas seulement l'usage abusif de votre site Web. C'est également une exigence pour de nombreuses fonctionnalités de pointe et une technologie de développement pour des fonctionnalités de type application telles que les service workers.
Le protocole HTTPS protège l'intégrité de votre site Web.
Le protocole HTTPS empêche des intrus de falsifier les communications entre vos sites Web et les navigateurs des utilisateurs. Cela inclut les pirates intentionnellement malveillants, ainsi que les entreprises légitimes mais intrusives telles que les FAI ou les hôtels qui injectent des annonces dans les pages.
Des intrus exploitent des communications non protégées pour inciter vos utilisateurs à divulguer des informations sensibles ou à installer des logiciels malveillants, ou pour insérer leurs propres annonces dans vos ressources. Par exemple, certains tiers injectent des publicités dans des sites Web, ce qui peut perturber l'expérience utilisateur et créer des failles de sécurité.
Des intrus exploitent toutes les ressources non protégées qui transitent entre vos sites Web et vos utilisateurs. Les images, les cookies, les scripts, le code HTML, etc. sont tous exploitables. Des intrusions peuvent se produire à n'importe quel point du réseau, y compris sur l'ordinateur d'un utilisateur, un point d'accès Wi-Fi ou un FAI dont la sécurité est compromise, pour n'en citer que quelques-uns.
Le protocole HTTPS protège la confidentialité et la sécurité de vos utilisateurs.
Le protocole HTTPS empêche des intrus d'écouter passivement les communications entre vos sites Web et vos utilisateurs.
Une idée fausse courante à propos du protocole HTTPS est que les seuls sites Web nécessitant ce protocole sont ceux qui gèrent des communications sensibles. Chaque requête HTTP non protégée peut potentiellement révéler des informations sur les comportements et l'identité de vos utilisateurs. Même si une seule visite sur l'un de vos sites Web non protégés peut sembler anodine, certains intrus examinent les activités de navigation globales de vos utilisateurs pour en déduire leurs comportements et leurs intentions, et pour désanonymiser leur identité. Par exemple, les employés peuvent divulguer par inadvertance des maladies sensibles à leur employeur simplement en lisant des articles médicaux non protégés.
Le HTTPS est l'avenir du Web
Les nouvelles fonctionnalités puissantes de la plate-forme Web, telles que la prise de photos ou l'enregistrement audio avec getUserMedia(), la possibilité d'utiliser des applications hors connexion avec des service workers ou la création d'applications Web progressives, nécessitent une autorisation explicite de la part de l'utilisateur avant l'exécution. De nombreuses anciennes API sont également mises à jour pour exiger une autorisation d'exécution, telles que l'API Geolocation. HTTPS est un composant clé des workflows d'autorisations pour ces nouvelles fonctionnalités et ces API mises à jour.