Tous les sites doivent être protégés par HTTPS, même ceux qui ne traitent pas de données sensibles. Par exemple, vous devez éviter le contenu mixte, où certaines ressources sont chargées via HTTP bien que la requête initiale soit diffusée via HTTPS. Le protocole HTTPS empêche les intrus de détourner ou d'écouter passivement les communications entre votre application et vos utilisateurs. Il est également une condition préalable à l'utilisation de HTTP/2 et de nombreuses nouvelles API de plates-formes Web.
Pour en savoir plus sur les raisons pour lesquelles tous les sites doivent être protégés à l'aide du protocole HTTPS, consultez la page Pourquoi le protocole HTTPS est-il important.
Échec de l'audit HTTPS Lighthouse
Lighthouse signale les pages qui ne sont pas basées sur HTTPS:
Migrer votre site vers le protocole HTTPS
Envisagez d'héberger votre site sur un CDN. La plupart des CDN sont sécurisés par défaut.
Pour savoir comment activer HTTPS sur vos serveurs, consultez la page Activer HTTPS sur vos serveurs de Google. Si vous exécutez votre propre serveur et que vous avez besoin d'un moyen simple et économique de générer des certificats, Let's Encrypt est une bonne option.
Si votre page s'exécute déjà sur HTTPS, mais que vous ne parvenez pas à cet audit, vous pouvez rencontrer des problèmes avec le contenu mixte. Une page présente un contenu mixte lorsqu'elle est chargée via HTTPS, mais qu'elle demande une ressource non protégée (HTTP). Consultez le document suivant dans le panneau de sécurité des outils pour les développeurs Chrome pour savoir comment déboguer ces situations : Comprendre les problèmes de sécurité avec les outils pour les développeurs Chrome.
Ressources
- Code source pour l'audit N'utilise pas le protocole HTTPS
- Pourquoi devez-vous toujours utiliser le protocole HTTPS ?
- Activer le protocole HTTPS sur vos serveurs (en anglais uniquement)
- Comprendre les problèmes de sécurité à l'aide des outils pour les développeurs Chrome
- Qu'est-ce que le contenu mixte ?
- Let's Encrypt