Surclassement des connexions dans Firefox de HTTP vers HTTPS

Firefox, Firefox for Android Firefox, Firefox for Android Date de création: 3 jours, 15 heures ago 100% des utilisateur·rice·s ont trouvé cela utile

Quand vous allez sur le Web en utilisant Firefox, ce navigateur peut surclasser automatiquement votre connexion utilisant le protocole moins sûr, HTTP, vers HTTPS, plus sûr. Cette opération vous assure que les sites que vous visitez sont authentiques et que toutes les informations que vous envoyez, comme les mots de passe ou des données personnelles, sont chiffrées et protégées d’une interception. Comme la plupart des sites web prennent en charge actuellement HTTPS, ce surclassement se produit généralement sans aucun problème. Même si un lien utilise l’ancienne forme http://, Firefox peut toujours tenter de se connecter en toute sécurité par HTTPS, comme de nombreux liens plus anciens se rencontrent encore, pointant vers des sites qui prennent maintenant en charge HTTPS. Ainsi, votre navigation est plus sûre sans que vous ayez à vous en soucier.

Différence entre HTTP et HTTPS

HTTP est le sigle de Hypertext Transfer Protocol (protocole de transfert hypertexte). Il est le protocole au fondement du Web et sert à encoder les interactions de base entre navigateurs et serveurs web. Le problème que pose le protocole standard HTTP réside dans le transfert de données entre serveur et navigateur qui n’est pas chiffrée, ce qui implique que les données sont susceptibles d’être observées, volées ou altérées. Les protocoles HTTPS corrigent cela en utilisant un certificat TLS (Transport Layer Security, sécurité de la couche de transport) ou, auparavant, SSL (Secure Sockets Layer, couche de connecteurs sécurisée). La connexion créée par le HTTPS entre le serveur et le navigateur est sécurisée et chiffrée, elle protège ainsi les informations sensibles.

Différents mécanismes de surclassement

Les différents mécanismes de surclassement peuvent être regroupés selon deux facteurs :

  1. l’initiateur du surclassement (le navigateur ou le serveur web)
  2. le type de la connexion surclassée

Les sections ci-dessous expliquent ces mécanismes en détail.

Surclassements initiés par le serveur

Lorsqu’un serveur web signale qu’il prend en charge HTTPS, le navigateur peut automatiquement passer à une connexion sécurisée. Le serveur peut utiliser plusieurs méthodes pour y parvenir :

  • HSTS (HTTP Strict Transport Security) est un standard qui permet à un site web de communiquer au navigateur qu’il prend en charge les connexions sécurisées et au navigateur de s’en souvenir pour de futures connexions. Il est complété par une liste de tels sites, la liste HSTS préchargée.
  • HTTPS RR (HTTPS Resource Records, enregistrements de ressources DNS) sont des entrées DNS spéciales qui informent le navigateur qu’un serveur web prend en charge HTTPS.
  • Bien qu’il ne s’agisse pas techniquement d’un surclassement, beaucoup de sites web redirigent les connexions HTTP vers HTTPS par des codes de statut de redirection comme 301 Moved Permanently.

Surclassements initiés par le navigateur

Quand le navigateur ne peut pas déterminer si un serveur web prend en charge HTTPS, il peut tout de même tenter de surclasser la connexion. Comme HTTPS est largement pris en charge, ce processus réussit souvent. Firefox prend en charge plusieurs fonctionnalités de surclassement initiées par le navigateur :

  • HTTPS d’abord est une fonctionnalité prise en charge depuis la version de Firefox 136. Il assure que toutes les connexions essayent d’utiliser d’abord HTTPS, avant de revenir à HTTP en cas d’échec. L’option la plus sûre est ainsi toujours choisie, sans interrompre la navigation.

Cette fonctionnalité expérimentale est progressivement proposée aux personnes utilsant Firefox. Il se peut qu’elle ne soit pas encore disponible pour toutes ces personnes.

  • Le mode HTTPS uniquement est un paramètre qu’utilisateurs et utilisatrices peuvent activer pour s’assurer que Firefox n’établit jamais de connexion non sécurisée sans demander confirmation auparavant. Comme la plupart des sites prennent désormais en charge HTTPS, les utilisateurs et utilisatrices peuvent trouver frustrants les messages fréquents du mode HTTPS uniquement lorsqu’ils rencontrent des sites HTTP. C’est la raison pour laquelle il n’est pas activé par défaut.
  • Il existe plusieurs extensions web qui procèdent à une sorte de surclassement de la connexion. Elles servent principalement pour des cas d’utilisation particuliers par des publics experts.

Autres requêtes

Les mécanismes décrits ci-dessus s’appliquent principalement aux requêtes « de haut niveau » ou de navigation, comme la saisie d’une URL dans la barre d’adresse ou le clic sur un lien. Firefox gère également d’autres types de requêtes, comme le téléchargement d’images ou d’autres sous-ressources d’une page web. Bien que le mode HTTPS uniquement de Firefox s’applique à toutes les requêtes, les sous-ressources sont généralement surclassées grâce aux mécanismes suivants :

  • La directive CSP (Content Security Policy, stratégie de sécurité du contenu) upgrade-insecure-requests surclasse les requêtes des sous-ressources d’une page web.
  • L’algorithme contenu mixte assure que, si la requête de haut niveau pour un site était chiffrée, les sous-ressources sont chargées aussi de façon sécurisée, sinon la connexion est bloquée.

Cet article vous a-t-il été utile ?

Veuillez patienter…

Ces personnes ont aidé à écrire cet article :

Mozinet, YD
Illustration of hands

Participer

Développez et partagez votre expertise avec les autres. Répondez aux questions et améliorez notre base de connaissances.

En savoir plus