Google Search : l’indexation des pages HTTPS par défaut

Nouvelle illustration de la volonté de Google de renforcer la sécurité sur le Net : l’indexation par défaut des pages HTTPS  sur son moteur.

Dans un billet de blog, la firme de Mountain View explique sa démarche pour rendre le Web plus sûr et pour fournir une meilleure expérience de navigation pour les utilisateurs.

Des services comme Gmail, Google Search et YouTube bénéficient de connections sécurisées.

La firme Internet, désormais dirigée par Sundar Pichai dans la configuration Alphabet, veut aller plus loin en boostant l’indexation des URL en HTTPS (HyperText Transfer Protocol Secure) dans les résultats de recherche de son moteur.

Ce vaste chantier a débuté en août 2014 quand l’algorithme de recherche de Google a commencé à afficher en priorité les pages chiffrées via le HTTPS.

En substance, il s’agit d’éviter pour les internautes les interceptions de type man-in-the-middle, les écoutes ou encore les altérations de données.

C’est donc la raison pour laquelle Google a fait du HTTPS son cheval de bataille et tente inlassablement de le promouvoir.

Rappelons que le HTTPS est privilégié par de grand noms du numérique comme Mozilla. Il est proposé aux internautes sous la forme d’une extension de navigateurs – HTTPS Everywhere – née d’une collaboration entre le projet Tor et l’Electronic Frontier Foundation.

HTTPS exploite le protocole HTTP associé à une couche dédiée au chiffrement des échanges, telle que TLS (Transport Layer Security) ou encore SSL (Secure Sockets Layer). Cela nécessite l’obtention d’un certificat d’authentification par une autorité tierce.

Google veut placer le curseur encore plus haut et, à cet effet, a ajusté son système d’indexation pour permettre à son moteur de rechercher plus de pages HTTPS.

En conséquence de quoi, lorsque deux URL du même domaine disposent du même contenu, mais sont servies par deux protocoles (HTTP et HTTPS), c’est la page sécurisée qui est indexée par défaut.

Toutefois, Google s’empresse de préciser qu’une page sécurisée ne doit pas servir de relais à d’autres pages non sécurisées. C’est pourquoi, des conditions très précises sont détaillées par Google pour que l’indexation par défaut porte effectivement sur la page HTTPS.

Parallèlement, Google encourage également la redirection du site HTTP vers sa version HTTPS et, de ce fait, à implémenter une mécanisme dit HSTS (HTTP Strict Transport Security) côté serveur.

Les exemples d’adoption du HTTPS se multiplient. Le gouvernement des Etats-Unis a ainsi décidé de se mettre au diapason en adoptant le protocole de transfert hypertexte sécurisé avant le 31 décembre 2016 sur tous ses sites Web.

Ce protocole sécurisé est aussi utilisé depuis de nombreuses années par les établissements bancaires et financiers.

D’aucuns feront remarquer que le HTTPS ne fait que garantir l’intégrité d’une connexion et ne prévient pas du piratage des serveurs Web eux-mêmes, où les données des utilisateurs peuvent se trouver.

Il a aussi comme défaut de se traduire par une augmentation du temps de latence, ce qui peut s’avèrer critique pour l’exploitation de l’Internet mobile par les réseaux mobiles.

(Crédit photo : JMiks, Shuttershock)