En octobre, Google entamera la deuxième phase de son plan visant à qualifier toutes les pages HTTP de non sécurisées.
Chrome 62 affichera des avertissements « Non sécurisé » pour les pages HTTP avec des champs de saisie utilisateur et toutes les pages HTTP en mode navigation privée.
Google donne six mois aux développeurs Web pour préparer la prochaine phase de son plan visant à marquer toutes les pages HTTP comme « non sécurisées ».
Octobre marquera la deuxième étape du plan de Google visant à étiqueter toutes les pages HTTP comme « non sécurisées » dans Chrome.
En janvier, Google a commencé à étiqueter certaines pages en HTTP comme non sécurisé avec la sortie de Chrome 56. Cette phase concernait les pages qui transmettent des informations sensibles telles que les données de connexion et de carte de paiement sur le Web.
L'étiquette non sécurisée indique que les données sont échangées sur une connexion non cryptée. HTTPS, la version sécurisée de HTTP, offre une meilleure protection contre une personne sur le même réseau qui consulte ou modifie le trafic, dans le cadre de ce que l'on appelle une attaque de l'homme du milieu.
À partir d’octobre, Chrome qualifiera les pages HTTP de non sécurisées si les utilisateurs peuvent saisir des données. Google souligne que cela s'appliquera à toute page comportant un champ de recherche.
"Tout type de données que les utilisateurs saisissent sur des sites Web ne doit pas être accessible aux autres utilisateurs du réseau. à partir de la version 62, Chrome affichera l'avertissement « Non sécurisé » lorsque les utilisateurs saisissent des données sur des sites HTTP," dit Emily Schechter, chef de produit de l'équipe de sécurité Chrome.
Les avertissements étendus pour les pages HTTP augmenteront probablement la pression sur les propriétaires de sites pour qu'ils acquièrent les certificats SSL/TLS nécessaires et configurent HTTPS sur leurs serveurs Web. De plus, les avertissements pour tout champ de saisie utilisateur couvrent un réseau plus large que les pages de connexion et de paiement, étant donné la fréquence des pages comportant un champ de recherche.
Les propriétaires de sites ont environ six mois pour activer HTTPS avec Chrome 62 sortie stable prévue le 24 octobre.
Le créateur de Firefox, Mozilla, n'a pas encore indiqué s'il suivrait les nouveaux avertissements de saisie utilisateur de Chrome, mais il a également commencé à afficher des avertissements « en contexte » pour les pages de paiement et de connexion en janvier.
Un propriétaire de site découvert les conséquences de ne pas avoir activé HTTPS sur les pages de paiement et de connexion en mars et, de manière amusante, a déposé un rapport de bogue à Mozilla demandant la suppression des avertissements.
Chrome 62 introduira également des avertissements pour toutes les pages HTTP lorsque l'utilisateur sélectionne le mode Incognito de Chrome.
"Lorsque les utilisateurs naviguent sur Chrome en mode Incognito, ils ont probablement des attentes accrues en matière de confidentialité. Cependant, la navigation HTTP n'est pas privée pour les autres utilisateurs du réseau, donc dans la version 62, Chrome avertira également les utilisateurs lorsqu'ils visiteront une page HTTP en mode Incognito", a déclaré Schechter.
Google n'a pas précisé comment ni quand il étendrait les avertissements non sécurisés à davantage de pages HTTP, mais il finira par qualifier toutes les pages HTTP de non sécurisées. Quand cela arrive, il affichera « Non sécurisé » en rouge, qui n'est aujourd'hui utilisé que pour les HTTPS défectueux.
L'autre raison pour laquelle Google fait évoluer le Web vers HTTPS est de soutenir ses efforts auprès des développeurs. adopter des applications Web progressives via des « travailleurs de service » JavaScript. Ceux-ci se situent entre le navigateur et le réseau pour activer les fonctionnalités de synchronisation hors ligne et en arrière-plan et nécessitent l'activation de HTTPS.
Selon le rapport de transparence HTTP de Google, plus de la moitié de toutes les pages sont consultées via HTTPS sur le bureau. Pour Chrome OS, 71 % des pages sont chargées via HTTPS, tandis que 58 % le sont pour Chrome sous Windows. Bien qu'il soit de plus en plus courant que les sites activent HTTPS, des dizaines de sites parmi les plus populaires au monde ne l'ont toujours pas fait.
En savoir plus sur Chrome et les navigateurs
- Est-ce que quelqu'un utilise réellement (ou connaît même) le navigateur Edge de Microsoft ?
- Le terme « sécurisé » du navigateur Chrome n'est pas la même chose que « sûr »
- Google: les demandes de données des utilisateurs ont explosé, nous avons donc besoin de nouvelles règles transfrontalières
- Chrome: le géant de la publicité Google est-il sur le point de déployer son propre bloqueur de publicité ?
- Firefox abandonne son canal Aurora et déplace l'édition Developer vers la version bêta