Tous vos sites doivent être protégés par le protocole HTTPS, même ceux qui ne traitent pas de communications sensibles. En plus de renforcer la sécurité et l'intégrité des données de vos sites Web et des informations personnelles de vos utilisateurs, le protocole HTTPS est requis pour de nombreuses nouvelles fonctionnalités de navigateur, en particulier celles nécessaires aux applications Web progressives.
Le protocole HTTPS protège l'intégrité de votre site Web
Le protocole HTTPS permet d'éviter que des intrus ne détournent les communications entre vos sites et les navigateurs de vos utilisateurs. Les intrus incluent à la fois les pirates malveillants et les entreprises légitimes, mais intrusives, telles que les FAI qui insèrent des annonces sur les pages.
Les intrus exploitent les communications non protégées pour inciter vos utilisateurs à communiquer des informations sensibles ou à installer des logiciels malveillants, ou pour insérer leurs propres ressources. Par exemple, certains tiers insèrent des annonces qui peuvent nuire à l'expérience utilisateur et créer des failles de sécurité.
Les intrus exploitent toutes les ressources non protégées qui transitent entre vos sites Web et vos utilisateurs. Les images, les cookies, les scripts et le code HTML sont tous exploitables. Des intrusions peuvent se produire à n'importe quel point du réseau, y compris sur la machine d'un utilisateur, sur un point d'accès Wi-Fi ou sur un FAI piraté, pour ne citer que quelques exemples. Le protocole HTTPS rend l'accès aux ressources de vos sites plus difficile pour les intrus.
Le protocole HTTPS protège la confidentialité et la sécurité de vos utilisateurs
Le protocole HTTPS empêche les intrus d'écouter passivement les communications entre vos sites Web et vos utilisateurs.
Une idée fausse courante à propos du protocole HTTPS est que seuls les sites Web qui traitent des communications sensibles en ont besoin. En effet, chaque requête HTTP non protégée peut potentiellement révéler des informations sur le comportement et l'identité de vos utilisateurs.
Une simple visite sur l'un de vos sites Web non protégés peut sembler anodine, mais certains intrus examinent l'ensemble des activités de navigation de vos utilisateurs pour tirer des conclusions sur leurs comportements et leurs intentions, et pour désanonymiser leur identité. Par exemple, des employés peuvent divulguer par inadvertance des problèmes de santé sensibles à leurs employeurs simplement en lisant des articles médicaux non protégés.
HTTPS est l'avenir du Web
Les nouvelles fonctionnalités puissantes de la plate-forme Web, telles que la prise de photos ou l'enregistrement audio avec getUserMedia(), l'activation des expériences d'application hors connexion avec les service workers ou la création d'applications Web progressives, nécessitent l'autorisation explicite de l'utilisateur via HTTPS. De nombreuses anciennes API sont également mises à jour pour nécessiter une autorisation d'exécution, comme l'API Geolocation. HTTPS est un élément clé des workflows d'autorisation pour les fonctionnalités nouvelles et mises à jour.