Chrome va stigmatiser les sites non HTTPS

abecidofugy · Le 20/12/2014, à 12:24

Salut,

Je viens lire ce billet http://www.silicon.fr/chrome-veut-conve … 04402.html (voir aussi : http://www.silicon.fr/officiel-google-v … 96029.html)

Ça va nous faire des frais supplémentaires, c'est énorme 50 euros par an et par domaine !

Je n'ai jamais fait de https, ça marche comment ? Sur mon panel d'admin chez OVH, l'option SSL est barrée sur mon nom de domaine. J'ai mon serveur dédié chez Online par contre. Il faut copier quelque chose sur son serveur ?

Merci de vos avis, et votre aide.

Dernière modification par abecidofugy (Le 20/12/2014, à 12:25)

Elzen · Le 20/12/2014, à 13:44

Dans ces articles (dont le second emploie allègrement le barbarisme « crypté » alors que le terme convenant, compte tenu du sens des phrases, serait « chiffré », soit dit en passant), il ne fait que parler de TLS et d'https, sans préciser la politique de gestion des certificats. Or, un certificat auto-signé ne coûte rien, est largement plus sécurisé qu'une connexion http ordinaire, et est ce qu'il y a de plus adapté dans la plupart des cas (à part les sites de transferts d'argents et autre cas assez sensible comme celui-là, l'utilité de l'autorité de certification est assez douteuse).

Donc, ça dépend de la façon dont ils choisissent de faire ça : s'ils se décident enfin (et au contraire de la fondation Mozilla) à accepter le https autosigné sans messages d'avertissements affreux autant qu'idiots, alors mettre un avertissement de sécurité sur le http non-sécurisé pourrait avoir du sens. Mais qu'ils le fassent ou pas, vu l'état actuel des choses, le résultat a de fortes chances d'être surtout de décourager les gens d'utiliser ce navigateur pour éviter de se manger un avertissement à chaque site visité (à moins qu'une extension ne désactive ça) ce qui, compte tenu du fait qu'il s'agit d'un aspirateur à données personnelles, ne serait pas une mauvaise chose.

Après, il faut voir la portée du truc, aussi : si tu ne transfères pas de cookies et que tu ne réponds à aucun formulaire (ce qui devrait être le cas sur la plupart des sites, s'ils étaient bien conçus, vu qu'il n'y en a la plupart du temps pas besoin. Le fait de devoir se loguer est somme toute rarement une nécessité, même si c'en est une pour un forum comme celui-ci), alors utiliser du https plutôt que du http simple n'a strictement aucune utilité, puisque la seule chose que tu envoies dans ce cas est l'URL, qui est de toute façon transmise en clair.

Bref, sensibiliser les gens, c'est bien ; le faire en leur donnant de vraies explications, ce serait mieux. Et ça aiderait que les gens qui codent des navigateurs se souviennent que l'intelligence est censée être du côté de l'être humain, et que le rôle d'un logiciel n'est pas de penser à la place de ce dernier.

Compte supprimé · Le 20/12/2014, à 15:16

Bien d'accord avec Elzen et notamment ceci :

Elzen a écrit :

Bref, sensibiliser les gens, c'est bien ; le faire en leur donnant de vraies explications, ce serait mieux. Et ça aiderait que les gens qui codent des navigateurs se souviennent que l'intelligence est censée être du côté de l'être humain, et que le rôle d'un logiciel n'est pas de penser à la place de ce dernier.

Ceci dit, Chrome, on sait qui est derrière, voilà donc, à mon sens, une bonne raison pour adopter d'autres navigateurs par défaut

renaud07 · Le 20/12/2014, à 15:42

ignus a écrit :

Ceci dit, Chrome, on sait qui est derrière, voilà donc, à mon sens, une bonne raison pour adopter d'autres navigateurs par défaut

+1

abecidofugy · Le 20/12/2014, à 22:48

Un certificat autosigné n'est pas rassurant pour un utilisateur (client) par exemple je viens de tester sous Internet Explorer et tu as la barre d'url qui devient toute rouge, avec un gros message d'erreur.

Aussi, je vais me prendre un certificat SSL payant, tant pis, ça me fera des frais mais je ne peux pas me permettre d'avoir un message venant gêner le surf de mes visiteurs.

Vous avez un vendeur à me conseiller ? Je cherche un certificat avec lequel je pourrais avoir des sous-domaines.

Merci de votre aide.

alex2423 · Le 21/12/2014, à 01:02

ignus a écrit :

Bien d'accord avec Elzen et notamment ceci :
Elzen a écrit :
Bref, sensibiliser les gens, c'est bien ; le faire en leur donnant de vraies explications, ce serait mieux. Et ça aiderait que les gens qui codent des navigateurs se souviennent que l'intelligence est censée être du côté de l'être humain, et que le rôle d'un logiciel n'est pas de penser à la place de ce dernier.
Ceci dit, Chrome, on sait qui est derrière, voilà donc, à mon sens, une bonne raison pour adopter d'autres navigateurs par défaut

Du coup, je me fais pas de souci pour qu'il ne soit pas moins adopté. Ils sont malin, ils vont tout faire pour conserver leur leadership. Donc s'ils voient que cela découragent certains d'aller voir ailleur, ils vont abandonner leur projet. Leur but, c'est que tout le monde utilise leurs services et outils.

tiramiseb · Le 24/12/2014, à 00:52

Salut,

Il existe des autorités de certification gratuites.
Je pense par exemple à StartSSL :
http://www.startssl.com/?app=1

Sinon, en certificats payants il n'y a pas besoin d'aller jusqu'à payer 50 euros par an : les tarifs chez Gandi commencent à 12 euros HT par an...

Anne118 · Le 27/12/2014, à 04:49

Bonjour la tyrannie ! Merci de l'info Abecidofugy, ça va me casser aussi les pieds.
Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.
Ce qui m'ennuie est que Chrome détient 33% du trafic.

Outre le tarif pour passer en sécurisé, il y a aussi le problème du suivi des anciens liens. Avec les avertissements des antivirus qui déconseillent toutes les redirections, on est pas sorti de l'auberge ! Vaut il mieux être signalé dangereux par le navigateur Chrome ou par son antivirus ?

J'ai trouvé un tuto qui explique comment passer en https, si ça t'intéresse.
http://wpformation.com/wordpress-http-https/

Moi, je vais attendre de voir si ça a une incidence sur la fréquentation de mon site. Personnellement ce type d'avertissement m'a toujours laissée froide, mais je ne sais pas si l'internaute moyen réagira comme moi

tiramiseb · Le 27/12/2014, à 13:40

Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.

Mouais, on est dans l'ère post-Snowden, maintenant tout le monde sait que les gouvernements espionnent de partout, alors si on veut un peu de vie privée le HTTPS est une bonne solution. Rappelons que sans chiffrement, toute communication sur Internet c'est comme une carte postale : n'importe qui, sur le chemin, peut lire le contenu. Pas glop pour la vie privée.

Outre le tarif pour passer en sécurisé

Relis mon message #7, où j'indique que des registrars payants peuvent commencer leurs tarifs aux alentours de 10 euros/an (pas excessif je trouve) et où même certains registrars (StartSSL) proposent des certificats gratuits.
Enfin, on peut toujours se contenter d'un certificat autosigné : à voir quelle sera la hiérarchie des messages selon Chrome : si le certificat autosigné est présenté comme + sûr qu'un site non chiffré, alors quitte à avoir une alerte, autant que ce soit la moins grave.

Après, comme tu dis : attendons de voir. Moi je vais m'y mettre progressivement : mon site perso est déjà accessible en HTTPS avec certificat autosigné, je passerai sur un truc propre bientôt, je pense, avec redirection forcée du HTTP vers le HTTPS. Mais ça n'est en rien une obligation.

alex2423 · Le 29/12/2014, à 13:52

Anne118 a écrit :

Bonjour la tyrannie ! Merci de l'info Abecidofugy, ça va me casser aussi les pieds.
Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.
Ce qui m'ennuie est que Chrome détient 33% du trafic.

Si Chrome a autant de traffic, tu peux prévenir tes internautes avec une sorte de popup non intrusif pour leur signaler que les utilisateurs de Chrome ont ce message d'avertissement suite à la mise à jour qu'à décider Google. La navigation sur ton navigateur n'a rien de dangereux si toutefois, vous ne voulez plus avoir ce type de message, je vous conseille d'utiliser un autre navigateur tel que Firefox, Opera par exemple.

Voila ce que je mettrais à peu près. Les internautes ne comprendront pas si on leur expliqueront mais s'appercevront que c'est uniquement Chrome.

tiramiseb · Le 29/12/2014, à 14:06

Si j'ai bien compris, c'est un projet pour courtant 2015, ce n'est pas encore implémenté, si ça se trouve ce sera quelque chose de discret. Ou alors quelqu'un a déjà vu ce truc en action ?

Compte supprimé · Le 29/12/2014, à 19:51

tiramiseb a écrit :

Si j'ai bien compris, c'est un projet pour courtant 2015, ce n'est pas encore implémenté, si ça se trouve ce sera quelque chose de discret. Ou alors quelqu'un a déjà vu ce truc en action ?

Rien dans le dernier Chrome stable, je pense pas qu'ils l'aient déjà appliqué dans la bêta sinon on en aurait entendu plus parler.

Vu le taux de pages encore en HTTP, je pense pas qu'ils soient assez bêtes pour mettre les mêmes avertissements que pour les certificats périmés ou autosignés.

voxpopuli · Le 29/12/2014, à 19:54

Et mozzila, quand se décide-t-il a pénaliser le HTTP? ^^ (pour les auto-signé c'est surtout gênant sur Tor Bundle qui ne sauvegarde pas les certificat et donc on se tape tout le temps les avertissements sur les auto-signé)

Dernière modification par voxpopuli (Le 29/12/2014, à 19:57)

Anne118 · Le 29/12/2014, à 20:38

Merci Alex, mais j'ai contrôlé mon site en passant sous Chromium, je n'ai pas de message d'alerte pour l'instant. Peut être que cela se mettra en place plus tard, je surveillerais même si Chrome n'est pas mon navigateur favori.

Je ne suis pas sûre qu'une fenêtre pop up servirait à quelque chose : c'est avant d'arriver sur le site que ce genre de barrage est posé. Donc les internautes inquiets partiront sans voir mon message. Quand aux autres, ils risquent d'arriver en se demandant alléchés, "qu'est ce qui est donc politiquement si incorrect ici"

Anne118 · Le 29/12/2014, à 20:45

tiramiseb a écrit :

Il me semble absurde de poser du https quand il n'y a aucune donnée sensible transitant sur un site.
Mouais, on est dans l'ère post-Snowden, maintenant tout le monde sait que les gouvernements espionnent de partout, alors si on veut un peu de vie privée le HTTPS est une bonne solution. Rappelons que sans chiffrement, toute communication sur Internet c'est comme une carte postale : n'importe qui, sur le chemin, peut lire le contenu. Pas glop pour la vie privée.
Outre le tarif pour passer en sécurisé
Relis mon message #7, où j'indique que des registrars payants peuvent commencer leurs tarifs aux alentours de 10 euros/an (pas excessif je trouve) et où même certains registrars (StartSSL) proposent des certificats gratuits.
Enfin, on peut toujours se contenter d'un certificat autosigné : à voir quelle sera la hiérarchie des messages selon Chrome : si le certificat autosigné est présenté comme + sûr qu'un site non chiffré, alors quitte à avoir une alerte, autant que ce soit la moins grave.
Après, comme tu dis : attendons de voir. Moi je vais m'y mettre progressivement : mon site perso est déjà accessible en HTTPS avec certificat autosigné, je passerai sur un truc propre bientôt, je pense, avec redirection forcée du HTTP vers le HTTPS. Mais ça n'est en rien une obligation.

Mon site fait juste dans l'information de santé. Il n'a vraiment rien de confidentiel.

Sinon plus que le prix, ce qui me casse les pieds c'est pour les liens, j'ai beaucoup de liens en provenance de forums divers, ce qui me permet d'être très bien placée. Si je change l'adresse des pages, ça fout en l'air mon référencement.

tiramiseb · Le 29/12/2014, à 21:22

Si je change l'adresse des pages, ça fout en l'air mon référencement.

Je pense qu'avec des bonnes redirections, ça ne poserait pas de problème...

Anne118 · Le 29/12/2014, à 21:44

Sauf que quand j'étais sous W$, mon antivirus me signalait toutes les pages redirigées comme susceptibles d'être du phishing !

Donc j'ai le choix entre laisser Chrome annoncer à mes visiteurs que mon site n'est pas sûr ou le sécuriser aux yeux de Chrome pour que leur antivirus bloque mon site avec un message d'alerte : "Attention cette page semble être du phishing, choisissez entre
(gros bouton) Sortez moins d'ici d'urgence
(en tout petit) je comprends les risques, laissez-moi accéder

En plus, je ne vois vraiment pas l'intérêt du https dans mon cas. Je ne vends rien, je ne prends pas d'adresses, je ne fais pas de politique, il n'y a même pas de risques d'attaques vu le sujet. Quels risques pourraient bien avoir mes visiteurs ?

voxpopuli · Le 29/12/2014, à 21:58

Anne118 a écrit :

Sauf que quand j'étais sous W$, mon antivirus me signalait toutes les pages redirigées comme susceptibles d'être du phishing !
Donc j'ai le choix entre laisser Chrome annoncer à mes visiteurs que mon site n'est pas sûr ou le sécuriser aux yeux de Chrome pour que leur antivirus bloque mon site avec un message d'alerte : "Attention cette page semble être du phishing, choisissez entre
(gros bouton) Sortez moins d'ici d'urgence
(en tout petit) je comprends les risques, laissez-moi accéder

Jamais vu ce genre d'aberration. Attention que google a annoncer qu'il va dévaloriser les sites qui ne sont pas dispo en HTTPS.

Anne118 a écrit :

En plus, je ne vois vraiment pas l'intérêt du https dans mon cas. Je ne vends rien, je ne prends pas d'adresses, je ne fais pas de politique, il n'y a même pas de risques d'attaques vu le sujet. Quels risques pourraient bien avoir mes visiteurs ?

Le risque de se faire espionner par d'autres que toi (quelqu'un en MITM par exemple). Si ton site a une vocation médicale c'est assez grave (plus pour celui qui se renseigne sur la verrue du culs que celui qui cherche des infos a propos des pellicules dans la chevelure ^^) .

Dernière modification par voxpopuli (Le 29/12/2014, à 22:00)

tiramiseb · Le 29/12/2014, à 22:01

Quels risques pourraient bien avoir mes visiteurs ?

Une seule raison : vie privée.
Dans la "vraie vie", sauf pour les souvenirs de vacances on préfère les enveloppes aux cartes postales car on préférerait que les postiers ne lisent pas nos courriers... c'est pareil.

Anne118 · Le 29/12/2014, à 23:07

Tiramiseb

Si tu veux préserver ta vie privée, tu surfes sous proxy, vpn ou sous tor, en évitant IE et google.

Si tu cherches le nom d'un produit ou d'une maladie sur google, celui fiche ton intérêt sur le sujet ainsi que ta localisation géographique.

En quoi le fait de mettre mes pages en https empêchera t-il le fichage de ceux qui n'ont pas pris la précaution de se protéger ?
S'ils l'ont fait, ils se foutent que je sois en http ou https ; s'ils ne l'ont pas fait, c'est qu'ils se foutent que leur intérêt soit connu de leur moteur de recherche et de leur FAI

Anne118 · Le 29/12/2014, à 23:18

Vox Populi

Si tu es à 100%, linuxien, c'est logique. Sinon et si tu veux voir "ce genre d'aberration" installe Bit defender. Ceci dit, c'est un très bon antivirus. Il ne m'a rien laissé passer sur plusieurs années. Après... il est un peu suspicieux, j'avoue. C'est son rôle.

Pour une attaque en MITM, il faut qu'il y ait échange. Là il n'y a pas échange, juste des pages d'information permettant aux visiteurs de prendre leur santé en main. Pour une attaque, il faudrait hacker mon site et modifier les pages mais ça n'intéresse personne. Ce n'est pas lucratif et il n'y a pas de motif idéologique susceptible de donner envie de pirater.

Pour le référencement Google, je suis au courant, ça joue sur 1%. Je perdrais plus en référencement en changeant parce que j'ai énormément de liens naturels.

Dernière modification par Anne118 (Le 29/12/2014, à 23:21)

Compte supprimé · Le 29/12/2014, à 23:19

Anne118 a écrit :

Tiramiseb
Si tu veux préserver ta vie privée, tu surfes sous proxy, vpn ou sous tor, en évitant IE et google.
Si tu cherches le nom d'un produit ou d'une maladie sur google, celui fiche ton intérêt sur le sujet ainsi que ta localisation géographique.
En quoi le fait de mettre mes pages en https empêchera t-il le fichage de ceux qui n'ont pas pris la précaution de se protéger ?
S'ils l'ont fait, ils se foutent que je sois en http ou https ; s'ils ne l'ont pas fait, c'est qu'ils se foutent que leur intérêt soit connu de leur moteur de recherche et de leur FAI

Rien à voir. On peut vouloir se protéger des interceptions et choisir d'utiliser des services qui nous profilent. Tu veux choisir pour les autres ce qu'ils veulent ?

Anne118 a écrit :

Vox Populi
Si tu es à 100%, linuxien, c'est logique. Sinon et si tu veux voir "ce genre d'aberration" installe Bit defender. Ceci dit, c'est un très bon antivirus. Il ne m'a rien laissé passer sur plusieurs années. Après... il est un peu suspicieux, j'avoue. C'est son rôle.
Pour une attaque en MITM, il faut qu'il y ait échange. Là il n'y a pas échange, juste des pages d'information permettant aux visiteurs de prendre leur santé en main. Pour une attaque, il faudrait hacker mon site et modifier les pages mais ça n'intéresse personne. Ce n'est pas lucratif et il n'y a pas de motif idéologique susceptible de donner envie de pirater.

Bah si; il y a échange d'une requête et d'une page HTML. Un MITM permettrait de savoir quelles pages a visité ton visiteur. Et la santé, ça fait partie des informations sensibles.

Dernière modification par CasoarRotatif (Le 29/12/2014, à 23:21)

tiramiseb · Le 29/12/2014, à 23:21

Si tu veux préserver ta vie privée, tu surfes sous proxy, vpn ou sous tor, en évitant IE et google.

Les proxies et les VPNs publics ne préservent pas la vie privée, on peut te suivre comme on veut.
Concernant Tor, il s'agit d'anonymisation, de rendre difficile (voire impossible) de te localiser ; Tor ne sert pas à protéger la vie privée (bien que ça y participe).

En quoi le fait de mettre mes pages en https empêchera t-il le fichage de ceux qui n'ont pas pris la précaution de se protéger ?

En HTTP, n'importe qui "sur le chemin" de tes paquets peut en lire le contenu et savoir ce que tu consultes.
En HTTPS, il faut des compétences et matériels bien plus complexes pour pouvoir faire ça.
Après, bien sûr, si on donne toutes les données à Google et tout, dans la globalité c'est un peu raté, mais c'est mieux que rien.

s'ils ne l'ont pas fait, c'est qu'ils se foutent que leur intérêt soit connu de leur moteur de recherche et de leur FAI

et de la NSA et de la DGSE, du SIS, du SGRS, du BND... et de leur voisin, et des autres utilisateurs du wifi de leur hôtel ou du mac donald's... et... et... et...

Anne118 · Le 29/12/2014, à 23:30

Casoar a écrit :

Rien à voir. On peut vouloir se protéger des interceptions et choisir d'utiliser des services qui nous profilent. Tu veux choisir pour les autres ce qu'ils veulent ?

C'est pas un peu illogique ?
S'ils se sont protégés, ils ne risquent rien par définition, même en passant par ce cher Google.

Je n'ai pas à choisir pour les autres, celui qui veut surfer invisible le fait en toute liberté - je ne mets aucun cookie - celui qui veut venir franco le fait aussi en toute liberté. L'information est libre et je la mets à la portée de ceux qui la veulent. C'est tout.

Ce que je veux, c'est que mon site soit le plus facile d'accès possible. Il n'y a pas d'enjeu de sécurité tel qu'il est conçu. Le https ralentit, tu le sais bien.

tiramiseb · Le 29/12/2014, à 23:30

Je perdrais plus en référencement en changeant parce que j'ai énormément de liens naturels.

Encore une fois, avec les bonnes redirections les liens seraient toujours valables.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/12/2014, à 12:24

Chrome va stigmatiser les sites non HTTPS

#2 Le 20/12/2014, à 13:44

Re : Chrome va stigmatiser les sites non HTTPS

#3 Le 20/12/2014, à 15:16

Re : Chrome va stigmatiser les sites non HTTPS

#4 Le 20/12/2014, à 15:42

Re : Chrome va stigmatiser les sites non HTTPS

#5 Le 20/12/2014, à 22:48

Re : Chrome va stigmatiser les sites non HTTPS

#6 Le 21/12/2014, à 01:02

Re : Chrome va stigmatiser les sites non HTTPS

#7 Le 24/12/2014, à 00:52

Re : Chrome va stigmatiser les sites non HTTPS

#8 Le 27/12/2014, à 04:49

Re : Chrome va stigmatiser les sites non HTTPS

#9 Le 27/12/2014, à 13:40

Re : Chrome va stigmatiser les sites non HTTPS

#10 Le 29/12/2014, à 13:52

Re : Chrome va stigmatiser les sites non HTTPS

#11 Le 29/12/2014, à 14:06

Re : Chrome va stigmatiser les sites non HTTPS

#12 Le 29/12/2014, à 19:51

Re : Chrome va stigmatiser les sites non HTTPS

#13 Le 29/12/2014, à 19:54

Re : Chrome va stigmatiser les sites non HTTPS

#14 Le 29/12/2014, à 20:38

Re : Chrome va stigmatiser les sites non HTTPS

#15 Le 29/12/2014, à 20:45

Re : Chrome va stigmatiser les sites non HTTPS

#16 Le 29/12/2014, à 21:22

Re : Chrome va stigmatiser les sites non HTTPS

#17 Le 29/12/2014, à 21:44

Re : Chrome va stigmatiser les sites non HTTPS

#18 Le 29/12/2014, à 21:58

Re : Chrome va stigmatiser les sites non HTTPS

#19 Le 29/12/2014, à 22:01

Re : Chrome va stigmatiser les sites non HTTPS

#20 Le 29/12/2014, à 23:07

Re : Chrome va stigmatiser les sites non HTTPS

#21 Le 29/12/2014, à 23:18

Re : Chrome va stigmatiser les sites non HTTPS

#22 Le 29/12/2014, à 23:19

Re : Chrome va stigmatiser les sites non HTTPS

#23 Le 29/12/2014, à 23:21

Re : Chrome va stigmatiser les sites non HTTPS

#24 Le 29/12/2014, à 23:30

Re : Chrome va stigmatiser les sites non HTTPS

#25 Le 29/12/2014, à 23:30

Re : Chrome va stigmatiser les sites non HTTPS

Pied de page des forums