Avertissements de sécurité SSL (HTTPS) dans Chrome 62

Olivier Duffez (admin)
Membre du personnel
Comme des millions de webmasters dans le monde, j'ai reçu ce mail cette nuit (le message [WNC-10038795] présent aussi dans Search Console) :

À compter d'octobre 2017, Chrome (version 62) signalera les pages HTTP comportant des formulaires de saisie de texte comme non sécurisées. Il fera de même pour toutes les pages HTTP en mode navigation privée.

Les URL suivantes de votre site contiennent des champs de saisie de texte (comme < input type="text" > ou < input type="email" >) qui déclencheront l'affichage du nouvel avertissement de Chrome. Passez en revue ces exemples pour savoir où ces avertissements s'afficheront, et pour prendre des mesures afin d'aider à protéger les données des utilisateurs. Cette liste n'est pas exhaustive.

Ce nouvel avertissement s'inscrit dans un objectif à long terme consistant à signaler toutes les pages utilisant le protocole HTTP comme n'étant pas sécurisées.

chrome-62-alertes-https.png


Pour résoudre ce problème, ils indiquent qu'il faut passer à HTTPS (en plus HTTPS est un ranking factor). Je m'y prépare, et vous c'est déjà fait ?

PS : à ce sujet, lisez la liste des messages envoyés par Google dans Search Console
 
WRInaute impliqué
Salut,

J'ai également reçu ce message pour mes sites non HTTPS, je me prépare aussi à les passer en HTTPS car cela semble de plus en plus inévitable avec Google...
 
WRInaute passionné
Si personne ne migrait ses sites en https ca ne serait pas un problème puisque ces alertes seraient affichées de partout. :-)
 
WRInaute passionné
C'est ce que l'on appelle un abus de position dominante : 63% des internautes dans le monde utiliseraient Chrome selon StatCounter http://www.zdnet.fr/actualites/chiffres-cles-les-navigateurs-internet- ... 381322.htm

S'y plier, c'est faire le mouton :( .... protester contre cette mesure et ne rien faire, c'est apporter un peu de démocratie dans ce pauvre web :)

Lorsque des millions d'utilisateurs de Chrome verront s'afficher sur leur browser des avertissements sur la plupart des sites http qu'ils visiteront, ils remettront en question la fiabilité de ce navigateur, n'êtes-vous pas d'accord ?
 
WRInaute impliqué
Il faut souligner que l'avertissement vise les pages de saisie de texte et non les sites entiers concernés. Et il me semble que l'avertissement ne pourra pas être affiché dans les sitelinks (vu les formes - par ex, horizontale- de ceux-ci).

D'autre part, à l'expérience, il est illusoire pour un site d'espérer un gain SEO du passage à https.

Ceci dit, si vous avez un site marchand (ou un blog où la majorité des pages permettent la saisie de texte par des tiers), il est indispensable d'être en https. Et ce peu importe les consignes de Google.
 
WRInaute passionné
WebRankInfo a dit:
non, pas d'accord...
d'ailleurs Firefox fait pareil. As-tu protesté contre Mozilla ?
Firefox c'est QUE 14% de part de marché des navigateur web, Firefox n'est pas dans en position dominante à comparer de Chrome (63%) !

Oui je fait de la résistance : je n'utilise pas Mozilla, ni Chrome :)

La plupart des sites possèdent sur une de leur page des input text ou input email et s'ils continuent d'être en HTTP les utilisateurs de Chrome verront s'afficher ces avertissements.... c'est du grand n'importe quoi !
 
WRInaute accro
poupilou a dit:
La plupart des sites possèdent sur une de leur page des input text ou input email et s'ils continuent d'être en HTTP les utilisateurs de Chrome verront s'afficher ces avertissements.... c'est du grand n'importe quoi !
A commencer par la boite de recherches :-D qui est présente sur toutes les pages de beaucoup de sites Internet.

Bref, compte tenu du fait que Google est le principal pourvoyeur de visiteurs sur nos sites à ce jour, il faudra donc en passer par le https ou laisser... et avoir un avertissement sur le navigateur.
 
WRInaute discret
cthierry a dit:
A commencer par la boite de recherches :-D qui est présente sur toutes les pages de beaucoup de sites Internet.

Exact!

Je me suis posé la question au sujet des commentaires... Je n'ai pas trouvé input type="text" ni input type="email" dans la section des commentaires (bizarrement), par contre j'ai trouvé input type="text" dans la section du formulaire de recherche...

Hardcore :mrgreen:
 
Nouveau WRInaute
La difficulté va surtout être sur la génération de certificats SSL rétrocompatibles avec les (trop) anciennes versions des navigateurs usuels. Le souci actuel est malheureusement qu'on est poussé pour des raisons diverses et variées à avoir un petit cadenas vert dans la barre d'URL, mais tout le monde n'a pas un navigateur à jour...
Avoir un certificat SSL rétrocompatible est bien plus complexe qu'une simple génération de certificat Let's Encrypt, et à mon avis le problème se trouve davantage dans la poussée (forcée ?) technologique sans forcément tenir compte des utilisateurs profanes, ce qui engendre tôt ou tard, si cela n'est pas géré avec un surcoût, de la perte de visites ou de ventes (dans le cadre d'un e-commerce).
Bon sinon, juste avec Let's Encrypt, faut le dire, c'est pas bien difficile à faire...
 
WRInaute passionné
La mouise des uns fait toujours le bonheur des autres : les revendeurs de certificats SSL se frottent les mains !

Sur quels sites peut-on commander un certificat SSL Let's Encrypt (gratuit) sans avoir à commander un nom de domaine (ou à transférer de ndd) ou à commander un hébergement web ? J'ai mon propre serveur dédié chez OVH sur lequel j'héberge mes sites, je n'ai pas d'hébergement mutualisé.
 
WRInaute passionné
UsagiYojimbo a dit:
https://www.human-geek.com/installer-lets-encrypt-sur-un-vps-ovh/
Merci pour le lien.

Mon serveur tourne sous une Release 3 chez OVH, l'installation de ce certificat ne va-t-il pas casser la Release 3 ? Oui je sais la Release 3 n'est plus mise à jour par OVH mais je n'ai pas le temps de migrer tous mes sites sur un autre serveur :)
 
Discussions similaires
Haut