OUI
Votre site a besoin de HTTPS.

« Mais mon site n'a pas de formulaire ou ne collecte pas d'informations sur ses utilisateurs. »

Aucune importance. HTTPS protège bien plus que les données de formulaire ! HTTPS protège la confidentialité des URLs, en-têtes et contenus de toutes les pages.

« Il n'y a rien de sensible sur mon site de toute manière. »

Vous êtes responsable de votre site ! Que votre site web soit hébergé en toute sécurité sur votre compte d'hébergement ne signifie pas qu'il ne passera pas à travers des câbles et box contrôlés par une longue liste d'opérateurs privés ou états. Voulez-vous vraiment que quelqu'un injecte des scripts, images, ou contenus publicitaires (note : les liens de cette page pointent vers des sites en anglais) dans vos pages, de telle sorte que cela apparaisse comme si c'était vous qui les y aviez mis ? Ou change des mots de votre page ? Ou utilise votre site pour attaquer d'autres sites ? Ce genre de chose arrive : dans les compagnies aériennes (beaucoup trop, très souvent, etc.), en Chine, même des FAIs le font (trop souvent).
HTTPS vous protège de tout cela. Il garantit l'intégrité des contenus et vous permet de détecter certaines intrusions. Si nous ne chiffrons que les contenus confidentiels, alors nous peignons automatiquement une cible sur ces transmissions. Protégez vos communications confidentielles en les noyant dans les autres : chiffrez tout.

« Notre site est en HTTP, mais les formulaires sont envoyés en HTTPS. »

C'est pareil que de ne pas avoir de HTTPS du tout ! N'importe quel attaquant peut changer le lien ou l'action du formulaire pour une URL de son serveur. Il n'y a aucun moyen de détecter cela puisque cela a lieu en clair avec HTTP. Chiffrez TOUT votre site, et redirigez HTTP vers HTTPS.

« Je ne peux pas me payer un certificat. »

Ils sont gratuits.

« HTTPS est difficile à installer et à maintenir. »

Cela fonctionne nativement si votre serveur web est Caddy. Oui, y compris le renouvellement du certificat. Rien d'autre à faire. Pour les autres, HTTPS peut être automatisé très facilement en utilisant un des nombreux clients Let's Encrypt disponibles.

« Des attaquants peuvent quand même se faire passer pour mon site, même si j'utilise HTTPS. »

Ils peuvent essayer, mais tant que votre clé privée restera privée, un navigateur montrera un avertissement si un attaquant présente un certificat TLS incompatible ou invalide. Et si l'attaquant tente de forcer à ne pas utiliser HTTPS, le navigateur marquera la page de l'imposteur comme non sûre. HTTPS vous garantit donc l'authenticité.

« Les certificats à Validation par Domaine (DV) ne sont pas sûrs. »

Si, ils le sont. Ne perdez pas le contrôle de votre DNS et choisissez une autorité de certification compétente (par opposition à des moins compétentes ou carrément à problèmes ou pire). Il n'y a absolument aucune différence cryptographiquement parlant entre un certificat DV ou un certificat à validation étendue (EV).

« Mais les autorités de certification (CA) peuvent émettre un certificat pour mon site n'importe quand <... ou tout autre râlerie contre le système des CA>. »

Bon... Ceci n'est pas une discussion au sujet des infrastructures à clé publique (PKI). C'est le meilleur système que nous ayons à ce jour. Faites avec et sécurisez ainsi votre site. Utilisez les enregistrements CAA pour restreindre encore plus quelle CA a le droit d'émettre un certificat pour votre site, et croisez les doigts et espérez que la transparence et la surveillance des autorités continuent (à ce jour cela fonctionne).

« HTTPS ne cache pas la taille du contenu, donnant des indices aux attaquants. »

TLS 1.3 et HTTP/2 utilisent des trames de remplissage pour augmenter si besoin la taille des données chiffrées.

« HTTPS ne cache pas les requêtes DNS. »

Bien sûr que non. DNS n'est pas HTTP. Mais est-ce vraiment une bonne raison pour ne pas chiffrer les communications entre votre site et ses visiteurs ? (Indice : non)

« HTTPS est lent. »

Non, il n'est pas lent. Les sites au serveur web moderne servent HTTPS plus rapidement que HTTP, grâce à HTTP/2.

« Des sites de hameçonnage utilisent HTTPS. »

… donc vous ne devriez pas ?

« Notre site affiche des publicités en HTTP. »

Déso, mais pas déso. Cela ne change rien au fait que votre site a besoin de HTTPS. En passant à HTTPS avec des publicités en HTTP, vous obtiendrez un avertissement de contenu mixte sur les navigateurs, donc vous devriez trouver une manière créative de fuir cet horrible contrat de vente de publicité, apparemment attractif le jour où vous l'avez signé, ou de convaincre votre réseau de publicité de passer à HTTPS avant vous.

« Notre site fonctionne très bien en HTTP. »

C'est ce que des entreprises de gaz et d'électricité internationales pensaient, aussi. Jusqu'au jour où les navigateurs ont commencé à les signaler comme non sécurisés.

« Mais des mandataires (proxy) TLS peuvent casser la garantie qu'apporte HTTPS. »

Uniquement si l'ordinateur de l'utilisateur est modifié pour avoir confiance dans ce mandataire TLS. Cela requiert des droits administrateurs (root) pour que le propriétaire de l'ordinateur l'autorise. De plus, l'interception HTTPS peut habituellement être détectée par les serveurs web.

« Je peux au moins servir mon site à la fois en HTTP et HTTPS. »

La seule raison valable de conserver le port 80 de votre serveur ouvert est de rediriger toutes les requêtes vers le port 443 et fermer le port 80. (Un jour, nous pourrons fermer le port 80 entièrement.)

« Mon site n'est accessible que de manière interne ou via un VPN. »

À quel point avez-vous confiance dans les entreprises ou états qui possèdent les infrastructures ? Et les sociétés fabriquant le matériel dont est constitué votre réseau ? Ou même votre fournisseur de VPN ?

« Nous protégeons les mots de passe par empreinte cryptographique. »

Très bien. Maintenant, dites-moi que vous les collectez via HTTPS… N'est-ce pas ?

« HTTPS a un impact sur le SEO. »

Vous avez raison ! HTTPS l'améliore ! En migrant vos URLs de manière incorrecte, cela pourrait avoir un effet négatif sur votre classement, mais sinon HTTPS améliore votre classement SEO. Assurez-vous donc juste de migrer vos URLs correctement selon les moteurs pour lesquels vous optimisez votre classement, et tout se passera bien, à part de rares effets de bords temporaires.

« C'est le rôle du navigateur que d'assurer la sécurité des utilisateurs. »

Vrai, mais pas que. Ce n'est pas QUE le rôle du navigateur. Les navigateurs ne peuvent assurer la sécurité des utilisateurs que si le serveur confirme son identité via un certificat HTTPS. En tant que propriétaire de site, c'est votre responsabilité que de fournir cette identité à vos clients.

— COMMENT PASSER À HTTPS —

La manière la plus simple est via Let's Encrypt et le serveur web Caddy, qui active HTTPS par défaut sur tous vos sites automatiquement. Vous pouvez aussi utiliser un client indépendant Let's Encrypt nommé lego, qui tourne sur toutes les plateformes.

Si vous avez des besoins plus spécifiques et besoin de fonctionner avec des serveurs web traditionnels, le client de l'EFF Certbot sera assurément le meilleur pour vous.

Il y a plein d'autres moyens de passer votre site en HTTPS sans soucis. Das Surma propose un guide pour divers serveurs web.