HTTPS : Google devient plus sévère en interdisant le contenu mixte

À partir de l’année prochaine, Google Chrome sera beaucoup plus sévère avec les sites Web qui n’ont pas encore migré entièrement vers HTTPS et qui continuent de charger certaines ressources de page, telles que des images, du son, des vidéos ou des scripts, via HTTP.

Cette situation, connue sous le nom de “contenu mixte”, est un problème depuis les premiers jours où les sites Web ont commencé à migrer vers le HTTPS. Mais ces dernières années, les navigateurs ont ignoré le problème des contenus mixtes, et ce tant que le domaine principal était chargé via HTTPS.

Pourquoi ? Parce que pendant la grande majorité de l’histoire d’Internet, le HTTPS a été négligé. Peu de sites Web l’utilisaient, et le HTTPS n’était pas considéré comme une exigence technique indispensable.

Google depuis longtemps à la manoeuvre

Mais ces dernières années, Google et Mozilla ont fortement encouragé l’utilisation de HTTPS, chacun à sa manière. Par ailleurs, la mise en place en Europe du RGPD, qui exige une sécurisation de bout en bout des communications électroniques, a encouragé ce mouvement.

Mozilla et ses partenaires ont lancé un service appelé Let’s Encrypt (qui a connu un véritable décollage suite à l’affaire Snowden) pour fournir aux administrateurs de serveurs un accès à des certificats TLS gratuits et faciles à utiliser, afin qu’ils puissent supporter HTTPS sur leurs sites.

Pour sa part, Google n’a cessé d’apporter des changements en ce sens à Chrome, le navigateur le plus populaire aujourd’hui. L’entreprise a effectivement “abusé” de sa position d’acteur dominant du marché pour créer des tendances et inculquer de nouvelles habitudes aux propriétaires de sites Web et aux utilisateurs finaux.

Pour commencer, il a commencé par afficher des indicateurs “Not Secure” sur les formulaires et les champs de connexion chargés via HTTP. Même avec les sites Web chargés via HTTPS, Chrome refusait d’afficher un cadenas vert s’il y avait un contenu mixte sur la page. Il a également commencé à bloquer les téléchargements par navigateur sur les pages HTTPS si le contenu était téléchargé via HTTP.

La société a également modifié son approche des sites Web HTTPS et HTTP. Au lieu de récompenser les sites qui sont passés à HTTPS en affichant un indicateur “Sécurisé” dans la barre d’URL, ils affichent maintenant un indicateur “Non sécurisé” sur les sites HTTP, comme pénalité pour les sites qui n’ont pas migré vers HTTPS.

90% du trafic Chrome se fait sur HTTPS

Tout cela a connu un grand succès et a aidé de plus en plus de propriétaires de sites Web et de services en ligne à utiliser HTTPS. “Les utilisateurs de Chrome passent maintenant plus de 90% de leur temps de navigation sur HTTPS sur toutes les plates-formes majeures” ont déclaré hier les ingénieurs de Google dans un billet de blog.

Et voici que Google fait son prochain pas — l’éradication du contenu mixte sur le Web. Les sites devront déplacer leurs sites Web HTTPS entièrement vers HTTPS, et pas seulement le domaine principal.

“Dans une série d’étapes commençant dans Chrome 79, Chrome va progressivement passer au blocage de tous les contenus mixtes par défaut” a déclaré Google aujourd’hui. “Pour minimiser les ruptures, nous allons mettre à jour automatiquement les ressources mixtes sur https://, de sorte que les sites continueront à fonctionner si leurs sous-ressources sont déjà disponibles sur https://”.

En outre, afin de ne pas bloquer les utilisateurs qui veulent accéder à des sites existants ou abandonnés, Google mettra également à leur disposition un paramètre leur permettant de refuser le blocage de contenu mixte sur certains sites Web.

Voici les plans à venir de l’entreprise :

• Dans Chrome 79, qui sortira sur le canal stable en décembre 2019, Google introduira un nouveau paramètre pour débloquer le contenu mixte sur des sites spécifiques. Ce paramètre s’applique aux scripts mixtes, aux iframes et aux autres types de contenu que Chrome bloque actuellement par défaut. Les utilisateurs peuvent déclencher ce paramètre en cliquant sur l’icône de verrouillage sur n’importe quelle page https:// et en cliquant sur Paramètres du site. Ceci remplacera l’icône de bouclier qui apparaît sur le côté droit de l’omnibox pour débloquer le contenu mixte dans les versions précédentes de Chrome en version desktop.
• Dans Chrome 80, les ressources audio et vidéo mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées via https://. Chrome 80 sera disponible sur les canaux de diffusion anticipée en janvier 2020. Les utilisateurs peuvent débloquer les ressources audio et vidéo affectées avec le réglage décrit ci-dessus.
• Toujours dans Chrome 80, les images mixtes seront toujours autorisées à se charger, mais Chrome affichera une puce “Not Secure” dans l’omnibox. Google pense qu’il s’agit d’une interface de sécurité plus claire pour les utilisateurs et il incitera les sites Web à migrer leurs images vers HTTPS. Les développeurs peuvent utiliser les demandes de mise à niveau non sécurisées ou les directives de politique de sécurité du contenu qui bloquent tous les contenus mixtes pour éviter cet avertissement.
• Dans Chrome 81, les images mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées sur https://. Chrome 81 sera disponible sur les canaux de diffusion anticipée en février 2020.

Il est conseillé aux webmasters de s’assurer que leurs sites Web ne chargent plus de ressources via HTTP. Cela inclut les iframes, les cookies, les fichiers CSS, les fichiers JavaScript, les fichiers audio, vidéo et surtout les images. Comme point de départ, les ingénieurs de Google ont recommandé les ressources suivantes :

Article “HTTPS : Google devient plus sévère en interdisant le contenu mixte” traduit et adapté par ZDNet.fr