Hypertext Transfer Protocol (HTTP) est un protocole de couche application utilisé par les navigateurs Web et les services Web pour communiquer et transmettre des informations sur Internet.
Hypertext Transfer Protocol Secure (HTTPS) est une méthode de communication sécurisée qui chiffre les données en transit entre les serveurs Web et les navigateurs. L’obtention d’un certificat de sécurité est la façon la plus courante de mettre en œuvre HTTPS.
Pourquoi vous souciez-vous de vous?
Bien qu’il soit essentiel à la navigation sur Internet, HTTP n’est pas chiffré et les pirates peuvent l’exploiter pour « écouter » le flux d’informations échangées entre votre serveur et un navigateur Web. HTTP a d’autres répercussions négatives sur l’entreprise :
- Les sites Web utilisant HTTP afficheront un verrou rouge brisé et un message indiquant que le site n’est pas sécurisé.
- HTTP peut soulever des soupçons auprès des clients que votre site Web est non sécurisé ou potentiellement un domaine frauduleux, une tactique d’hameçonnage courante.
- Les noms d’utilisateur et les mots de passe peuvent être récoltés en raison de l’absence de chiffrement, exposant potentiellement des renseignements personnels identifiables (PII) ou des renseignements médicaux personnels (PHI) aux pirates informatiques.
HTTPS est considéré comme la norme pour les sites Web modernes et aide à établir l’autorité pour le site Web de votre entreprise.
Comment résoudre le problème
Passez à HTTPS pour créer une expérience plus sécurisée pour votre entreprise. Nous recommandons d’obtenir un certificat de sécurité auprès d’une source commerciale ou gratuite.
Nous estimons que 94 % des organisations numérisées au cours de la dernière année ont au moins un service non chiffré exposé à Internet. Priorisez la mise à niveau d’Apache Server, IIS 10 et Nginx — ces trois technologies de serveur Web sont le plus souvent identifiées comme utilisant HTTP dans nos analyses.
Consultez les ressources suivantes pour chaque serveur Web.
1) Configuration de TLS sur le serveur Apache
- https://www.ssl.com/how-to/install-ssl-apache-mod-ssl/
- https ://www.ssl.com/how-to/redirect-http-to-https-with-apache/
2) Configuration de TLS sur IIS 10
- https://www.ssl.com/how-to/install-an-ssl-tls-certificate-in-iis-10/
- https://www.ssl.com/how-to/redirect-http-to-https-with-windows-iis-10/
3) Configuration de TLS sur Nginx
- https://www.ssl.com/how-to/install-ssl-certificate-on-nginx/
- https://www.ssl.com/how-to/acme-ssl-tls-automation-with-apache-and-nginx/
Certificats SSL vs TLS
Certains composants font toujours référence à Secure Socket Layers (SSL) plutôt qu’à Transport Layer Security (TLS).
-
-
- Il s’agit d’un artefact historique de l’évolution de SSL en TLS.
- La dernière version de SSL, 3.0, a été amortie en 2015.
- De plus, les versions 1.0 et 1.1 de TLS ont toutes deux été amorties en 2021.
- Lors de la configuration de TLS, activez uniquement les versions 1.2 et supérieures, sauf s’il existe une raison commerciale spécifique de prendre en charge les protocoles obsolètes.
-