Protégez toujours tous vos sites Web avec HTTPS, même s'ils ne traitent pas de communications sensibles. En plus de renforcer la sécurité et l'intégrité des données de vos sites Web et des informations personnelles de vos utilisateurs, le protocole HTTPS est requis pour de nombreuses nouvelles fonctionnalités de navigateur, en particulier celles requises pour les applications Web progressives.
Le protocole HTTPS protège l'intégrité de votre site Web
Le protocole HTTPS permet d'éviter que des intrus ne détournent ou n'écoutent les communications entre vos sites et les navigateurs de vos utilisateurs. Les intrus incluent à la fois des pirates informatiques intentionnellement malveillants et des entreprises légitimes, mais intrusives, telles que les FAI qui injectent des annonces sur les pages.
Les intrus exploitent les communications non protégées pour inciter vos utilisateurs à divulguer des informations sensibles ou à installer un logiciel malveillant, ou pour insérer leurs propres ressources. Par exemple, certains tiers injectent des annonces qui peuvent perturber votre expérience utilisateur et créer des failles de sécurité.
Les intrus exploitent toutes les ressources non protégées qui circulent entre vos sites Web et vos utilisateurs. Les images, les cookies, les scripts et le code HTML peuvent tous être exploités. Les intrusions peuvent se produire à n'importe quel point du réseau, y compris sur l'ordinateur d'un utilisateur, sur un point d'accès Wi-Fi ou sur un FAI compromis, pour ne citer que quelques exemples. Le protocole HTTPS rend plus difficile l'accès des intrus aux ressources de vos sites.
Le protocole HTTPS protège la confidentialité et la sécurité de vos utilisateurs
Le protocole HTTPS empêche les intrus d'écouter passivement les communications entre vos sites Web et vos utilisateurs.
Une idée fausse courante concernant le protocole HTTPS est que les seuls sites Web qui en ont besoin sont ceux qui gèrent des communications sensibles. En fait, chaque requête HTTP non protégée peut potentiellement révéler des informations sur les comportements et les identités de vos utilisateurs.
Une seule visite sur l'un de vos sites Web non protégés peut sembler anodine, mais certains intrus examinent les activités de navigation globales de vos utilisateurs pour déduire leurs comportements et leurs intentions, et pour dé-anonymiser leurs identités. Par exemple, les employés peuvent divulguer par inadvertance des problèmes de santé sensibles à leurs employeurs simplement en lisant des articles médicaux non protégés.
HTTPS est l'avenir du Web
Les nouvelles fonctionnalités puissantes de la plate-forme Web, telles que prendre des photos ou enregistrer de l'audio avec getUserMedia(), activer des expériences d'application hors connexion avec des service workers ou créer des applications Web progressives, nécessitent l'autorisation explicite de l'utilisateur via HTTPS. De nombreuses anciennes API sont également mises à jour pour nécessiter une autorisation d'exécution, comme l'API Geolocation. Le protocole HTTPS est un composant clé des workflows d'autorisation pour les nouvelles fonctionnalités et les mises à jour.