Google annonçait au début de l’année que Chrome disposera bientôt d’une expérience qui tentera automatiquement de se connecter aux versions HTTPS des URL des sites Web que vous tapez dans la barre d’adresse, au lieu de la version HTTP non sécurisée. Eh bien ! Le calendrier se précise désormais, car l’entreprise a annoncé mardi que ce changement interviendra dès la sortie de Chrome 90. Cette version du navigateur est actuellement en développement et, en prenant en charge HTTPS par défaut, il devrait améliorer la confidentialité des utilisateurs et la vitesse de chargement des sites Web prenant en charge ce protocole.
Après les API d’interactions matérielles, Chrome implémente HTTPS par défaut
Avec la sortie de Chrome 89, Google a poursuivi ses efforts en matière « d’interactions matérielles avancées », alors que Mozilla et Apple considèrent ces fonctionnalités comme nuisibles Ces API augmenteraient le risque de piratage en rajoutant de nouveaux vecteurs d’attaques pour les cybercriminels. Chrome 90 est en développement depuis quelques semaines déjà, mais un changement majeur s’annonce dans cette version : le support de HTTPS par défaut. « À partir de la version 90, la barre d’adresse de Chrome utilisera par défaut « https:// » », a écrit l’entreprise mardi dans un article de blogue sur le site dédié au développement du navigateur.
« Désormais, Chrome choisira HTTPS par défaut pour la plupart des URL de navigation saisies qui ne spécifient pas de protocole. HTTPS est le schéma le plus sûr et le plus largement utilisé dans Chrome sur toutes les grandes plateformes », a-t-elle ajouté. En effet, la première fois que vous essayez d’accéder à un site Web particulier en tapant une URL dans la barre d’adresse du navigateur, sans spécifier le protocole, Chrome essaie la version non sécurisée de l’URL , par exemple « http://developpez.com ». À ce moment-là, la plupart des sites Web qui ont une version sécurisée vous redirigent vers l’URL sécurisée « https:// ».
Lorsque cette redirection HTTPS se produit, Chrome enregistre ce comportement et se souviendra la prochaine fois de passer directement à l’URL « https:// ». Actuellement, c’est le comportement par défaut du navigateur, mais ce ne sera plus le cas à partir de Chrome 90. Selon la société, il s’agissait d’une valeur par défaut pratique dans le passé, lorsqu’une grande partie du Web ne prenait pas en charge le protocole HTTPS. En changeant la valeur par défaut, Google estime que les entreprises et les développeurs ont largement eu le temps d’implémenter ce protocole et que la sécurité des utilisateurs est plus importante que jamais.
Il ajoute que la prise en charge de HTTPS par défaut améliorera les performances du navigateur, notamment en matière de sécurité et de vitesse de chargement des sites Web supportant le protocole HTTPS. « Outre une nette amélioration de la sécurité et de la confidentialité, cette modification améliorera la vitesse de chargement initiale des sites Web prenant en charge le protocole HTTPS, car Chrome se connectera directement au point de terminaison HTTPS sans devoir être redirigé de http:// vers « https:// » », a-t-il expliqué.
HTTPS par défaut : que risquent les sites Web ne supportant pas HTTPS ?
En effet, le protocole HTTPS protège les utilisateurs en chiffrant le trafic envoyé sur le réseau, de sorte que les informations sensibles que les utilisateurs saisissent sur les sites Web ne peuvent pas être interceptées ou modifiées par des attaquants ou des personnes qui les écoutent. Ainsi, le protocole HTTPS est passé du statut de moyen de se sentir en sécurité sur un site particulier à celui de minimum attendu pour un site Web. À tel point qu’au lieu d’afficher « Sécurisé » lorsque vous êtes sur un site HTTPS, Chrome affiche « Non sécurisé » lorsque vous êtes sur un site HTTP standard.
Chrome s’efforce de faire du protocole HTTPS le protocole par défaut pour le Web, et, selon Google, cette modification est un pas de plus vers la garantie que le navigateur utilise toujours des connexions sécurisées par défaut. Pour les sites qui ne prennent pas encore en charge le protocole HTTPS, Google a annoncé que Chrome se rabattra sur le protocole HTTP en cas d’échec de la tentative HTTPS (notamment en cas d’erreur de certificat, telle qu’une incompatibilité de nom ou un certificat autosigné non fiable, ou d’erreur de connexion, telle qu’un échec de résolution DNS).
Ce changement sera initialement déployé sur Chrome Desktop et Chrome pour Android dans la version 90, avec une version pour Chrome sur iOS qui suivra peu après. Dans l’ensemble, il s’agit d’un changement qui s’impose depuis longtemps. L’on estime que, grâce à des efforts tels que Let’s Encrypt, qui simplifient le HTTPS même pour les développeurs Web les moins expérimentés, il n’y a vraiment aucune raison pour que des navigateurs comme Chrome n’essaient pas de se connecter d’abord par HTTPS. Selon la feuille de route de l’équipe, elle prévoit de publier Chrome 90 en avril.
Source : Google
