Pourquoi faut-il le https ?

Publié par Pierre-Yves Bonnetain le

Si vous disposez d'un site web, vous devez avoir activé https - même si vous ne recevez pas de données sensibles comme des numéros de cartes bancaires. Il s'agit simplement d'une bonne pratique, sachant que la dépréciation du http dans les navigateurs est en route. Mozilla Firefox et Google Chrome peuvent d'ores et déjà être configurés pour refuser de se connecter à un site Web en http.

Avoir activé https ne suffit pas. Il faut l'avoir bien fait. Assurez-vous que votre site web met en œuvre le protocole TLS 1.2 au moins, voire TLS 1.3, et n'utilise plus les versions obsolètes TLS 1.1 ni TLS 1.0, et encore moins SSL 3 ou SSL 2. Vous pouvez vérifier cela très facilement à l'aide du site https://tls.imirhil.fr/https/ ou https://www.ssllabs.com/ssltest/analyze.html

Voici un exemple de résultat d'analyse par tls.imirhil.fr :

Pour le https

Si vous obtenez une note de B ou moins (ici, C), la configuration du chiffrement de votre serveur Web est à améliorer.