web-dev-qa-db-fra.com

Vais-je dérouter les utilisateurs en rendant l'ensemble de mon site HTTPS?

Je voudrais que chaque page de mon site se charge via HTTPS par défaut (moins de tracas de ma part, personnellement je préfère HTTPS si on me donne le choix en tant qu'utilisateur).

Cependant, je crains que voir l'icône HTTPS/barre verte dans leur navigateur déroute certains utilisateurs, car ils l'associent (et ont même été invités à l'associer par de nombreux sites) à des choses comme les connexions sécurisées, les achats en ligne, les informations personnelles être envoyé, etc.

Mon site a un espace membre, mais aussi beaucoup de contenu gratuit accessible à tous.

Question: est-il probable que le fait de voir HTTPS sur des pages de contenu simples déroute les utilisateurs ou les rende inquiets que quelque chose de "plus grave" se passe?

31
Hugh Grigg 葛修远

Je suppose que non - de nombreux sites de consommation/divertissement adoptent le HTTPS. Twitter et Facebook sont parmi les exemples les plus populaires. La migration vers "HTTPS par défaut" est également une tendance générale sur le Web. Elle deviendra bientôt une norme plutôt qu'une exception.

44
Nikita Prokopov

La plupart des gens ne le remarqueront même pas, sauf si votre certificat nécessite une interaction de l'utilisateur pour l'accepter.

Nous ne connaissons pas les données démographiques de votre site, mais en règle générale, vous pouvez considérer que l'utilisateur tapera site.com dans la barre d'adresse, ce qui les amènera à votre espace sur la société d'hébergement et là, la réponse les mènera à la bonne URL, quelle qu'elle soit. D'autres saisiront l'adresse sur leur moteur de recherche préféré, ce qui les mènera directement à la bonne URL ou affichera les résultats avec la bonne URL et ils cliqueront dessus.

Un petit nombre d'entre eux tapera l'adresse entière, et ceux-ci remarqueront la redirection de HTTP vers HTTPS, donc il ne devrait y avoir aucun problème avec eux.

Conclusion, la seule chose que vous devez faire est de vous assurer que votre site est correctement configuré, de sorte que toutes les redirections se produisent de manière transparente et que l'utilisateur ne passe pas de HTTP à HTTPS.

17
PatomaS

Assurez-vous simplement que vos certificats de serveur sont toujours corrects. Ne les laissez pas s'épuiser, ne redirigez pas vers des URL avec une adresse différente et utilisez le même certificat de serveur, etc. Parce qu'alors vos utilisateurs vont remarquer et recevoir des notifications plutôt effrayantes de leurs navigateurs qui pourraient les amener à abandonner votre site.

8
gnasher729

Je vois deux problèmes: l'indication du nom du serveur et les annonces.

Si vous êtes sur un niveau d'hébergement moins cher, vous partagez une adresse IP avec plusieurs autres sites Web. Avec HTTP en texte clair, l'en-tête Host: fait la distinction entre les sites Web sur le port 443 d'une seule adresse IP. Mais avec HTTPS, la pile SSL du serveur doit savoir quel est le nom d'hôte avant de pouvoir envoyer le certificat correct. Sinon, il vous suffira d'envoyer le premier certificat, qui pourrait ne pas correspondre à votre site particulier. Mais l'extension pour fournir un nom d'hôte à la pile SSL, appelée Server Name Indication (SNI) , est assez récente et les navigateurs plus anciens ne la prennent pas en charge. Les navigateurs non SNI les plus importants sont Internet Explorer pour Windows XP et Android Navigateur pour Android 2.x. Donc afin de ne pas confondre les utilisateurs de ces anciens navigateurs, vous devrez faire du certificat de votre site le premier sur cette adresse IP, ce qui signifie acheter une adresse IPv4 dédiée auprès de votre hébergeur.

Si votre site Web utilise un serveur de publicité tiers pour financer la publication de "contenu gratuit auquel tout le monde peut accéder", vous devrez vous assurer qu'il prend en charge HTTPS, ou les navigateurs Web présenteront des avertissements de "contenu actif mixte" qui peuvent effrayez vos utilisateurs. AdSense semble être le premier réseau publicitaire majeur à ajouter la prise en charge HTTPS , et même cela ne s'est produit qu'en septembre 2013 (il y a moins de six mois au moment de la rédaction de cet article).

4
Damian Yerrick

Il n'y a rien de mal à faire livrer du contenu public via http + ssl (https). C'est l'inverse qui pourrait vous faire échouer, car notre courrier électronique des étudiants en 2008 a été envoyé via http. C'est un vrai problème de sécurité.

En ce qui concerne vos utilisateurs, un indicateur https est une notion de sécurité, de sécurité, de validité et de fiabilité. Vos utilisateurs se sentiront encore plus détendus s'ils voient l'image https, même si cela ne fait aucune différence sur un site public.

2
Benny Skogberg

Google et d'autres développeurs de navigateurs forcent également https. Chrome ne permet plus la géolocalisation sans lui. Ils essaient de forcer chaque site Web à SSL au cours des prochaines années.

Nous voulons commencer par exiger des origines sécurisées pour ces fonctionnalités existantes:

  • Mouvement/orientation de l'appareil
  • EME
  • Plein écran
  • Géolocalisation
  • getUserMedia

Comme pour marquer progressivement HTTP comme non sécurisé ( https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure ), nous prévoyons de migrer progressivement ces fonctionnalités à sécuriser uniquement, en fonction des seuils d'utilisation, en commençant par l'utilisation la plus faible et en allant vers des niveaux plus élevés. Nous prévoyons également d'indiquer progressivement dans l'UX que les fonctionnalités sont obsolètes pour les origines non sécurisées.

La stratégie de dépréciation pour chacune de ces fonctionnalités n'est pas décidée et peut très bien différer d'une fonctionnalité à l'autre. Nous ne savons pas actuellement quels seront les seuils, ni dans quelle mesure les fonctionnalités sont utilisées pour quels types d'origines. Nous sommes en train de collecter des données et nous rendrons compte lorsque nous les aurons. À l'heure actuelle, il n'y a aucun plan ferme, mis à part la dépréciation éventuelle. Nous voulons que cela stimule un débat public sur la meilleure façon d'aborder cette dépréciation. Donc, jusqu'à ce point, nous aimerions entendre ce que la communauté pense.

voir http://www.brightedge.com/blog/is-https-really-necessary/ et https://groups.google.com/a/chromium.org/forum/#! msg/blink-dev/2LXKVWYkOus/gT-ZamfwAKsJ

Et maintenant, Mozilla est également dans le jeu…

Il existe un large consensus sur le fait que HTTPS est la voie à suivre pour le Web. Au cours des derniers mois, des déclarations de l'IETF, de l'IAB (même des autres IAB), du W3C et du gouvernement américain ont appelé à une utilisation universelle du chiffrement par les applications Internet, ce qui dans le cas du Web signifie HTTPS.

Après une discussion approfondie sur notre liste de diffusion communautaire, Mozilla s'engage à concentrer ses nouveaux efforts de développement sur le Web sécurisé et à commencer à supprimer les fonctionnalités du Web non sécurisé. Ce plan comporte deux grands éléments:

  • Définition d'une date après laquelle toutes les nouvelles fonctionnalités ne seront disponibles que pour les sites Web sécurisés
  • Supprimez progressivement l'accès aux fonctionnalités du navigateur pour les sites Web non sécurisés, en particulier les fonctionnalités qui présentent des risques pour la sécurité et la confidentialité des utilisateurs.

Voir l'entrée complète ici https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

Donc, pour répondre à la question des PO. Non, vous ne confondrez pas les utilisateurs, car tous les sites seront sécurisés sur https avec ssl.

MISE À JOUR: ios10 beta3 et beta4 nécessitent désormais également https pour l'emplacement.

1
jkuhns5

NON. HTTPS augmente la confiance des utilisateurs et leur garantit une connexion sécurisée. Cela ne signifie pas que votre site Web a un contenu sensible. Un SSL provenant d'une autorité de certification de confiance fournira le plus haut niveau de cryptage. L'autorité de certification vérifie la propriété du domaine et les détails de l'organisation avant d'émettre le certificat. La connexion HTTPS offre donc sécurité et confiance.

1
Sanjay B.

D'accord avec tout ce qui précède. Je suggérerais une page de secours pour expliquer ce que c'est et pourquoi vous le faites si l'utilisateur rejette la demande HTTPS. Je ne sais pas comment vous signez vos certificats, mais cette page peut être utilisée pour informer les utilisateurs qui la rejettent que vous sécurisez tout par défaut et pour la confidentialité générale.

0
Mark Sloan

1) Qu'est-ce que tu as? Nous avons VIP avec formulaire de paiement. Prendre les informations de carte de crédit nécessite bien sûr https donc nous mettons cette page sous le protocole https. Mais le reste du site est sous http même dans la zone membre.

2) Du point de vue technique, https est un peu plus lent - ajoute environ 1 seconde au temps de chargement de la page. SSL doit être installé lors de la première demande de page - cela prend 4 demandes et de plus il nécessite moins de demandes à cause de ssl-cache. Mais de toute façon, c'est un peu plus lent que http.

0
Humanoit