Google veut stimuler l'adoption du HTTPS avec le mode HTTPS-First de Chrome

Google Chrome 94 ajoutera un nouveau mode HTTPS-First qui met à niveau les chargements de pages non sécurisés vers des chargements sécurisés, rendant ainsi la navigation Web plus sûre pour les utilisateurs.

HTTPS, abréviation de Hypertext Transfer Protocol Secure, utilise Transport Layer Security (TLS) pour protéger les données transférées entre l'utilisateur et un site Web. Il est conseillé depuis des années aux webmasters d'adopter HTTPS sur leurs sites Web afin de protéger les utilisateurs, et grâce à l'adoption généralisée du protocole, la plupart des navigateurs Web ont fait de HTTPS la valeur par défaut pour la page charges. Il existe encore quelques récalcitrants qui n'ont pas adopté HTTPS pour le chargement des pages. Google introduit donc un nouveau mode dans Chrome qui empêchera les utilisateurs de se connecter aux sites via HTTP.

Avec la sortie de Chrome 94 fin septembre, les utilisateurs pourront activer un nouveau mode HTTPS-First. Une fois activé, le navigateur Chrome tentera de mettre à niveau tous les chargements de pages vers HTTPS et affichera un avertissement pleine page avant de charger un site via HTTP. Cela garantit que Chrome connecte les utilisateurs aux sites Web via le protocole le plus sécurisé chaque fois que cela est possible. Le mode avertit également les utilisateurs avant de tenter de se connecter à un site via le HTTP moins sécurisé.

Mode HTTPS-First dans Google Chrome, comme déjà repéré par Histoire de Chrome

Google évalue toujours si HTTPS-First sera activé ou non par défaut. Mozilla teste un mode similaire uniquement HTTPS depuis le sortie de Firefox 83 à la fin de l'année dernière, et la société États que le mécanisme a réussi à mettre à niveau les charges de niveau supérieur pour plus de 73 % des adresses existantes. Compte tenu du grand nombre d’utilisateurs de Google Chrome, nous nous attendons à constater des améliorations similaires, car de nombreux utilisateurs ignorent la différence entre HTTP et HTTPS.

En parlant de cela, Chrome expérimente une modification de l'icône de verrouillage du navigateur afin de réduire la confusion sur ce que HTTPS signifie réellement en matière de sécurité. Recherche menée par Google indique que les utilisateurs associent fréquemment l'icône de verrouillage à la fiabilité réelle d'un site Web alors qu'en réalité l'icône indique uniquement la sécurité de la connexion. Pour réduire cette confusion, Google mène une expérience dans Chrome 93 qui remplace l'icône de verrouillage dans la barre d'adresse par une flèche déroulante plus neutre qui affiche autrement les mêmes informations de chargement de page. Cependant, un indicateur "non sécurisé" s'affichera toujours sur les sites sans prise en charge HTTPS, et les entreprises pourront également se retirer complètement de cette expérience.

Enfin, Google déclare que Chrome continuera à prendre en charge les anciennes connexions HTTP, mais qu'elles évaluera si les nouvelles fonctionnalités de la plateforme Web seront limitées ou restreintes sur les pages Web HTTP.