Protégez toujours tous vos sites Web à l'aide du protocole HTTPS, même s'ils ne gèrent pas de communications sensibles. En plus d'assurer la sécurité et l'intégrité des données essentielles à la fois pour vos sites Web et les informations personnelles de vos utilisateurs, HTTPS est requis pour de nombreuses nouvelles fonctionnalités du navigateur, en particulier celles requises pour les applications Web progressives.
Le protocole HTTPS protège l'intégrité de votre site Web
HTTPS empêche les intrus de falsifier la communication entre vos sites et les navigateurs de vos utilisateurs. Les intrusions incluent à la fois les pirates intentionnellement malveillants et les entreprises légitimes, mais intrusives, telles que les FAI qui injectent des annonces dans les pages.
Les intrusions exploitent les communications non protégées pour inciter vos utilisateurs à divulguer des informations sensibles, installer des logiciels malveillants ou insérer leurs propres ressources. Par exemple, certains tiers injectent des annonces qui peuvent nuire à votre expérience utilisateur et créer des failles de sécurité.
Les intrusions exploitent toutes les ressources non protégées qui transitent entre vos sites Web et vos utilisateurs. Les images, les cookies, les scripts et le code HTML sont tous exploitables. Des intrusions peuvent survenir à n'importe quel point du réseau, y compris sur l'ordinateur d'un utilisateur, un point d'accès Wi-Fi ou un FAI compromis, pour n'en citer que quelques-uns. Avec HTTPS, il est plus difficile pour les intrus d'accéder aux ressources de vos sites.
Le protocole HTTPS protège la confidentialité et la sécurité de vos utilisateurs
HTTPS empêche les intrus d'écouter passivement les communications entre vos sites Web et vos utilisateurs.
Une idée fausse courante à propos du protocole HTTPS est que les seuls sites Web qui en ont besoin sont ceux qui gèrent des communications sensibles. En fait, chaque requête HTTP non protégée peut potentiellement révéler des informations sur le comportement et l'identité de vos utilisateurs.
Une seule visite sur l'un de vos sites Web non protégés peut sembler anodine, mais certains intrus examinent les activités de navigation agrégées de vos utilisateurs pour déduire leurs comportements et leurs intentions, et pour anonymiser leur identité. Par exemple, les employés peuvent divulguer par inadvertance des problèmes de santé sensibles à leur employeur simplement en lisant des articles médicaux non protégés.
Le HTTPS est l'avenir du Web
De nouvelles fonctionnalités puissantes de la plate-forme Web, telles que la prise de photos ou l'enregistrement audio avec getUserMedia(), l'utilisation d'applications hors connexion avec des service workers ou la création d'applications Web progressives, nécessitent une autorisation explicite de la part de l'utilisateur via HTTPS. De nombreuses API plus anciennes sont également mises à jour pour nécessiter une autorisation, telles que l'API Geolocation. HTTPS est un composant clé des workflows d'autorisation pour les fonctionnalités nouvelles et mises à jour.