Selon Google, HTTPS devient de plus en plus important, il est déjà considéré comme un des facteur de ranking ou “small ranking factor”. Donc, maintenant il n’est plus possible de ne pas prendre en compte HTTPS. Les pages sécurisées influencent positivement l’expérience utilisateur et rendent votre site plus crédible pour les internautes et les moteurs de recherche. Nous avons récemment réalisé une étude intéressante sur les erreurs les plus communes d’implémentation de HTTPS. Pendant cette conférence, Natalia vous fera découvrir les résultats de cette recherche exclusive et partagera avec vous des recommandations pour corriger les erreurs HTTPS.
---------------
The most common HTTPS implementation issues
According to Google, HTTPS is becoming more and more important, it is already considered as a “small ranking factor”. So now, it is no longer possible to ignore HTTPS. Secure pages positively influence user experience and make your website more credible for users and search engines. Recently SEMrush has carried out an interesting study on the most common HTTPS implementation mistakes. During this conference, Natalia presents the results of this exclusive research and shares tips on how to fix these problems.
4. TRANSPORT LAYER SECURITY (TLS)
1. Chiffrement
2. Intégrité des données
3. Authentification
3 NIVEAUX CLÉS DE PROTECTION :
5. “DÉBUT JANVIER 2017 (CHROME 56), ON VA
MARQUER LES PAGES HTTP QUI DEMANDENT
LES MOTS DE PASSE OU LES CARTES DE
CRÉDIT COMME NON SÉCURISÉES, COMME
UNE PARTIE D'UN PLAN À LONG TERME POUR
SIGNALER TOUS LES SITES HTTP COMME
NON SÉCURISÉS."
Google Security Blog
GOOGLE SECURITY BLOG
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
6. Il s'agit de la sécurité, la confiance et l'expérience d'utilisateurs
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
Pourquoi faire la migration à HTTPS ?
12. Encore un signal positif de
ranking pour Google
https://webmasters.googleblog.com/2014/08/https-as-
ranking-signal.html
13. L'occasion idéale pour commencer à utiliser
HTTP / 2 et améliorer la vitesse de votre site
http://searchengineland.com/everyone-moving-http2-236716
18. TOP 5,000 DES DOMAINES
BOOM !!!
30% 47% 77%
Arts et loisirs
Shopping
Informatique et électronique
Emploi et formation
Finance
Alimentation
Voyage
Santé
Commerce et industriel
Internet et télécom
Droit et gouvernement
Jeux
Autos et véhicules
Immobilier
Animaux de compagnie et autres
25 INDUSTRIES
EN 2017
19. FORTUNE 500 - TOP GLOBAL COMPANIES
PAR SECTOR D'ACTIVITÉ
WALMART
APPLE
GENERAL MOTORS
FORD MOTOR
GENERAL ELECTRIC
AMAZON.COM
ALLIANCE
HP
.......
FORTUNE 500 :
EN 2017
FINANCE
TECH
TÉLÉCOMMUNICATIONS
TRANSPORT
COMMERCE DE GROS
SERVICES AUX ENTREPRISES
50% 70%
20. CERTIFICAT
Activer le protocole HTTPS pour votre site
Obtenir un certificat de sécurité délivré par l'autorité de
certification (AC) / certificate authority (CA) /
Validez votre SSL certificat & statut de contenu sécurisé
ETC.
21. CERTIFICAT
DÉTERMINEZ LE TYPE DE CERTIFICAT DONT VOUS AVEZ BESOIN :
Simple pour une seule origine sécurisée WWW.EXAMPLE.COM
WWW.EXAMPLE.COM, CDN.EXAMPLE.COM, EXAMPLE.CO.UK
Multi-domaine pour de multiples origines sécurisées bien connues
A.EXAMPLE.COM, B.EXAMPLE.COM
À caractère générique pour une origine sécurisée avec de nombreux
sous-domaines dynamiques
24. RECOMMENDATIONS DE
Utilisez les certificats de sécurité solides
Utilisez les redirections 301 côté serveur
Vérifiez que vos pages HTTPS peuvent être
explorées et indexées par Google
Prenez en compte le mécanisme HSTS
302
noindex
robots.txt
26. HSTS
À DES FINS DE COMPATIBILITÉ, UTILISEZ UN SERVEUR WEB QUI ACCEPTE LE
MÉCANISME HTTP STRICT TRANSPORT SECURITY (HSTS) ET AUTORISEZ-LE.
https://support.google.com/webmasters/
answer/6073543?hl=fr
27. HSTS
HTTP Strict Transport Security
Remplace automatiquement tous les liens non sécurisés par des
liens sécurisés
HTTP://WWW.EXEMPLE.COM/UNE/PAGE/ ---> HTTPS://WWW.EXEMPLE.COM/UNE/PAGE/
MINIMISE LE RISQUE DE DIFFUSION DE CONTENU NON SÉCURISÉ
À VOS INTERNAUTES
HSTS NE PROTÈGE QU'APRÈS LA PREMIÈRE CONNEXION
28. PENSEZ AU PRÉCHARGEMENT HSTS
NAVIGATEUR MÉMORISE HSTS
Plus rapidement
Connexion est plus sécurisée
REDIRECT AUTOMATIQUE
Les sites peuvent s'enregistrer sur https://hstspreload.org/ (EN),
pour demander de les inclure dans cette liste
Définir l'instruction includeSubDomains dans le header HSTS
Si le site www.example.com présente un header HSTS avec includeSubdomains
34. GARDER UN OEIL SUR LA DATE D'EXPIRATION
Ranking
Mauvaise expérience utilisateur
CERTIFICAT EXPIRÉ 2%
35. Info correcte sur le propriétaire du site dans un certificat
www.example.com et example.com sont des sites différents pour Google
Cértificat pour root domain uniquement ne marche pas pour les sous-domaines
PENSEZ DES SOUS-DOMAINES Multiple domain certificate
CERTIFICAT ENREGISTRÉ
AU NOM INCORRECT 6%
37. SSL 3.0 Versions TLS 1.0 (2006), 1.1, 1.2, etc.
ANCIENNE VERSION DU
PROTOCOLE DE SÉCURITÉ 3.6%
MISE À JOUR DES BIBLIOTHÈQUES DE TLS
Opportunités pour les hackers
38. Extension du protocol TLS qui permet de maintenir de multiples serveurs et
avoir multiples cértificats dans la même adresse IP
AUCUN SUPPORT POUR SNI 0.56%
METTRE AU POINT LE SNI
Pas touts les navigateurs ont le support SNI
Utilisation SNI résout le problème CERTIFICAT ENREGISTRÉ AU DOMAINE INCORRECT
39. AUCUN SUPPORT DE HSTS
86%
Nouvelle technologie, prise en charge par les navigateurs récemment
IMPLÉMENTER HSTS
Risque de man-in-the-middle attack
41. PROBLÈMES AVEC LE
CONTENU MIXTE 50%Mix des contenus sécurisés et non sécurisés
MODIFIER LES LIENS VERS LE CONTENU À LA FAÇON INDÉPENDANTE
(GENRE // OU HTTPS:// )
Bloque du contenu par les navigateurs
Problèmes de sécurité lors de l'affichage d'une page
IMG
IFRAME
SCRIPT
LINK (STYLE)
42. PAS DE 301 OU CANONICAL VERS
LA PAGE D'ACCEUIL EN HTTPS À
PARTIR DE LA VERSION HTTP 8%
Utilisation de redirect ou canonical à la façon intelligente améliore le positionnement
IMPLÉMENTER REDIRECT, CANONICAL OU HSTS
302
Pas sécurisé
43. URL HTTP DANS SITEMAP.XML
POUR LE SITE HTTPS 5.5%
N'OUBLIEZ PAS DE MODIFIER TOUS LES URL HTTP VERS HTTPS
Pages HTTP dans sitemap.xml ou hreflang plutôt que la
version HTTPS
44. LES LIENS INTERNES
CONDUISENT AUX PAGES
HTTP À LA PLACE DE HTTPS
50%
CORRIGER LES LIENS // OU HTTPS://, POUR LA SÉCURITÉ