Fin d'un long suspense : c'est finalement au mois de juillet prochain que le navigateur Google Chrome affichera systématiquement un message d'alerte indiquant que le site n'est pas sécurisé lorsqu'une page sera en HTTP. Il vous reste donc encore quelques mois pour migrer votre site vers des URL sécurisées, si ce n'est pas encore fait...
On savait que ça devait arriver et cela aurait même dû se passer plus tôt, mais finalement, Google a annoncé hier officiellement que la version 68 du navigateur Chrome affichera un message "Site non sécurisé" à côté de la barre d'adresse (voir illustration ci-dessous) pour TOUS les sites en HTTP à partir du mois de juillet 2018 (jusqu'à maintenant, le navigateur n'affichait ce message que pour certaines pages, affichant notamment des formulaires ou potentiellement des informations personnelles).
La firme de Mountain View en a profité pour donner des chiffres sur la croissance de l'HTTPS sur le Web :
- 68% du trafic sur Chrome (Android et Windows) est sécurisé.
- Le chiffre est de 78% sur Chrome OS et Mac.
- 81 sites sur les 100 plus gros du Web sont désormais en HTTPS.
Bref, le message est clair : si votre site n'est pas encore en HTTPS, il est plus que temps d'y passer au plus vite !
 Alerte de sécurité affiché par Chrome sur les pages en HTTP à partir de juillet 2018. Source : Google |
Sinon vous avez les SSl gratuits sans aucune configuration en passant par cloudflare
Le SSL n’est aujourd’hui plus synonyme de dépenses grâce aux certificats gratuits « Let’s Encrypt » résultant d’une mise en commun de moyens par de grands noms du web, dont OVH d’ailleurs.
L’obtention de ces certificats SSL à l’aide de Certbot sur dédié OVH est une formalité (expérimenté avec la Release 3 d’OVH) => commandes de Certbot utilisées uniquement pour l’obtention des certifs, mais pas leur install en auto car la R3 d’OVH bloque sur cette seconde partie => l’installation du SSL à proprement parler en mode « manuel » via Webmin ne demande aucune maîtrise technique particulière (il existe un excellent tuto en ligne sur ce sujet : Googler « configurer-certificat-ssl-sur-ovh-release-3 »).
En ajoutant à cela, un cron bi-quotidien cô suggéré par la doc de certbot pour contrôler si les certifs sont à renouveler, on dort sur ses deux oreilles pour l’avenir, et ça ne coûte donc pas un rond, juste le temps de s’y coller.
Pas cool pour ceux qui ont des sites pour lesquels le HTTPS ne sert à rien et qui vont devoir payer des SSL…
Typiquement, mon site pro n’est rien de plus qu’un CV en ligne + des articles de blogs. C’est du Read Only. Le HTTPS ne sert à rien. Par chance, OVH offre le SSL sur les serveurs mutualisés, mais par malchance j’ai un serveur dédié…
Bref, les grands dictent la loi, les petits s’écrasent.