Aucune importance. HTTPS protège bien plus que les données de formulaire ! HTTPS protège la confidentialité des URLs, en-têtes et contenus de toutes les pages.
Vous êtes responsable de votre site ! Que votre site web soit hébergé en toute sécurité sur votre compte d'hébergement ne signifie pas qu'il ne passera pas à travers des câbles et box contrôlés par une longue liste d'opérateurs privés ou états. Voulez-vous vraiment que quelqu'un injecte des scripts, images, ou contenus publicitaires (note : les liens de cette page pointent vers des sites en anglais) dans vos pages, de telle sorte que cela apparaisse comme si c'était vous qui les y aviez mis ? Ou change des mots de votre page ? Ou utilise votre site pour attaquer d'autres sites ? Ce genre de chose arrive : dans les compagnies aériennes (beaucoup trop, très souvent, etc.), en Chine, même des FAIs le font (trop souvent).
HTTPS vous protège de tout cela. Il garantit l'intégrité des contenus et vous permet de détecter certaines intrusions. Si nous ne chiffrons que les contenus confidentiels, alors nous peignons automatiquement une cible sur ces transmissions. Protégez vos communications confidentielles en les noyant dans les autres : chiffrez tout.
C'est pareil que de ne pas avoir de HTTPS du tout ! N'importe quel attaquant peut changer le lien ou l'action du formulaire pour une URL de son serveur. Il n'y a aucun moyen de détecter cela puisque cela a lieu en clair avec HTTP. Chiffrez TOUT votre site, et redirigez HTTP vers HTTPS.
Cela fonctionne nativement si votre serveur web est Caddy. Oui, y compris le renouvellement du certificat. Rien d'autre à faire. Pour les autres, HTTPS peut être automatisé très facilement en utilisant un des nombreux clients Let's Encrypt disponibles.
Ils peuvent essayer, mais tant que votre clé privée restera privée, un navigateur montrera un avertissement si un attaquant présente un certificat TLS incompatible ou invalide. Et si l'attaquant tente de forcer à ne pas utiliser HTTPS, le navigateur marquera la page de l'imposteur comme non sûre. HTTPS vous garantit donc l'authenticité.
Si, ils le sont. Ne perdez pas le contrôle de votre DNS et choisissez une autorité de certification compétente (par opposition à des moins compétentes ou carrément à problèmes ou pire). Il n'y a absolument aucune différence cryptographiquement parlant entre un certificat DV ou un certificat à validation étendue (EV).
Bon... Ceci n'est pas une discussion au sujet des infrastructures à clé publique (PKI). C'est le meilleur système que nous ayons à ce jour. Faites avec et sécurisez ainsi votre site. Utilisez les enregistrements CAA pour restreindre encore plus quelle CA a le droit d'émettre un certificat pour votre site, et croisez les doigts et espérez que la transparence et la surveillance des autorités continuent (à ce jour cela fonctionne).
TLS 1.3 et HTTP/2 utilisent des trames de remplissage pour augmenter si besoin la taille des données chiffrées.
Bien sûr que non. DNS n'est pas HTTP. Mais est-ce vraiment une bonne raison pour ne pas chiffrer les communications entre votre site et ses visiteurs ? (Indice : non)
Non, il n'est pas lent. Les sites au serveur web moderne servent HTTPS plus rapidement que HTTP, grâce à HTTP/2.
… donc vous ne devriez pas ?
Déso, mais pas déso. Cela ne change rien au fait que votre site a besoin de HTTPS. En passant à HTTPS avec des publicités en HTTP, vous obtiendrez un avertissement de contenu mixte sur les navigateurs, donc vous devriez trouver une manière créative de fuir cet horrible contrat de vente de publicité, apparemment attractif le jour où vous l'avez signé, ou de convaincre votre réseau de publicité de passer à HTTPS avant vous.
C'est ce que des entreprises de gaz et d'électricité internationales pensaient, aussi. Jusqu'au jour où les navigateurs ont commencé à les signaler comme non sécurisés.
Uniquement si l'ordinateur de l'utilisateur est modifié pour avoir confiance dans ce mandataire TLS. Cela requiert des droits administrateurs (root) pour que le propriétaire de l'ordinateur l'autorise. De plus, l'interception HTTPS peut habituellement être détectée par les serveurs web.
La seule raison valable de conserver le port 80 de votre serveur ouvert est de rediriger toutes les requêtes vers le port 443 et fermer le port 80. (Un jour, nous pourrons fermer le port 80 entièrement.)
À quel point avez-vous confiance dans les entreprises ou états qui possèdent les infrastructures ? Et les sociétés fabriquant le matériel dont est constitué votre réseau ? Ou même votre fournisseur de VPN ?
Très bien. Maintenant, dites-moi que vous les collectez via HTTPS… N'est-ce pas ?
Vous avez raison ! HTTPS l'améliore ! En migrant vos URLs de manière incorrecte, cela pourrait avoir un effet négatif sur votre classement, mais sinon HTTPS améliore votre classement SEO. Assurez-vous donc juste de migrer vos URLs correctement selon les moteurs pour lesquels vous optimisez votre classement, et tout se passera bien, à part de rares effets de bords temporaires.
Vrai, mais pas que. Ce n'est pas QUE le rôle du navigateur. Les navigateurs ne peuvent assurer la sécurité des utilisateurs que si le serveur confirme son identité via un certificat HTTPS. En tant que propriétaire de site, c'est votre responsabilité que de fournir cette identité à vos clients.
La manière la plus simple est via Let's Encrypt et le serveur web Caddy, qui active HTTPS par défaut sur tous vos sites automatiquement. Vous pouvez aussi utiliser un client indépendant Let's Encrypt nommé lego, qui tourne sur toutes les plateformes.
Si vous avez des besoins plus spécifiques et besoin de fonctionner avec des serveurs web traditionnels, le client de l'EFF Certbot sera assurément le meilleur pour vous.
Il y a plein d'autres moyens de passer votre site en HTTPS sans soucis. Das Surma propose un guide pour divers serveurs web.