Petit à petit, le HTTPS s’impose par défaut pour les sites web. Sous l’impulsion des créateurs de navigateurs web et en particulier de Google, ce protocole chiffré devient le fonctionnement par défaut et le HTTP historique est déprécié. Dans un premier temps, les navigateurs ont commencé à alerter quand la connexion au site en cours d’affichage n’était pas sécurisée.
L’étape suivante est de favoriser le protocole chiffré par défaut et c’est ce que Chrome fera à partir de sa prochaine version. Jusque-là, quand vous tapiez le nom de domaine d’un site (macg.co
par exemple), tous les navigateurs commençaient par tester l’URL sans chiffrement (http://macg.co
). C’est ainsi que le web fonctionnait depuis son lancement et tous les sites étaient accessibles par ce biais, seule une partie bénéficiait du HTTPS. Le problème avec cette approche, c’est que c’est au serveur web de rediriger vers la connexion chiffrée si elle est disponible. Sans cela, l’utilisateur reste sur la version non chiffrée.
Dans le même scénario, Chrome 90 testera en premier la connexion sécurisée (https://macg.co
). Le navigateur pourra toujours revenir en http s’il détecte que le serveur n’est pas capable de fournir une adresse sécurisée, mais l’inversion du choix par défaut favorise encore un petit peu plus le nouveau mode de fonctionnement. C’est aussi un gain de temps, puisqu’il n’y a pas besoin d’attendre une première réponse du serveur, puis de suivre une redirection vers le HTTPS le cas échéant, ce qui prenait quelques millisecondes à chaque fois.
Naturellement, ce nouveau comportement n’entrera en action que si l’utilisateur ne saisit pas le protocole lui-même. Si vous saisissez une adresse complète dans le navigateur web, ou si vous suivez un lien depuis une page web, Chrome respectera le protocole associé. Les serveurs web devront continuer à rediriger les pages en HTTP vers HTTPS pour encore un bon nombre d’années.
Google est le premier à franchir cette étape supplémentaire vers la généralisation du HTTPS, mais Mozilla et Apple devraient rapidement suivre. D’ailleurs, Firefox propose une option depuis quelques mois pour forcer le HTTPS par défaut, mais avec un comportement différent, plus strict et moins compatible : si on active cette option, le navigateur utilise systématiquement le protocole chiffré, sans se soucier de savoir si le serveur derrière dispose des certificats nécessaires.
Si le HTTP est la seule option, Firefox affiche alors une erreur et empêche par défaut de voir le site. Un fonctionnement radical, qu’il est toutefois possible de contourner en désactivant la mesure, soit temporairement, soit pour le nom de domaine en cours. L’approche de Google est néanmoins plus transparente et on peut supposer que c’est elle qui va s’imposer comme fonctionnement standard des navigateurs web.
Les versions pour ordinateurs et pour Android de Chrome 90 bénéficieront en premier de cette nouveauté, il faudra attendre un petit peu plus pour la version iOS du navigateur web.