Firefox et Chrome voient rouge pour les pages non-HTTPS

Dans la barre d'adresse, les sites non-HTTPS seront prochainement marqués d'un trait ou d'une croix rouge par Firefox et Google Chrome. Avec cependant une nuance.
Pour son navigateur Firefox, Mozilla teste actuellement un avertissement qui viendra se greffer dans la barre d'adresse sous la forme d'un trait rouge barrant un cadenas. Cette marque apparaîtra lorsqu'une page Web avec un champ pour saisir un mot de passe ne le fait pas de manière sécurisée via HTTPS.
Pour Google Chrome, ce ne sera pas un trait mais une croix rouge beaucoup plus présente. Il est en effet envisagé d'apposer cette croix pour tout bonnement l'ensemble des pages non-HTTPS. Elle s'affichera également dessus un cadenas dans la barre d'adresse.
Tant pour Firefox que Google Chrome, aucun calendrier n'est véritablement fixé pour une mise en application dans une version stable du navigateur. Cela met en tout cas la pression aux développeurs Web pour cette année.
-
Le navigateur Firefox est mis à jour en version 75 avec un focus sur la refonte de la barre d'adresse.
-
C'est apparemment une idée qui a le vent en poupe. Une extension expérimentale permet avec Firefox de jouer à cache-cache avec la barre de navigation.
Vos commentaires
Allons y donc à fond !
Le chiffrement d'une communication ,même non sensible, ne fait pas de mal.
Non car:
- t'es dépendant d'un tiers
- ça consomme plus de ressources au niveau global
- les certif letsencryt sont de la merde suivant les cas. Exemple concret de leur FAQ:
Will Let’s Encrypt issue wildcard certificates?
We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.
Ou encore la limite à 5 certifs sur 7 jours (et 10 sur 2 mois y'a pas si longtemps.....). Si tu veux créer plusieurs sous-domaines avec eux, t'as intérêt de t'y prendre des semaines à l'avance.....
En gros aller vous faire foutre, si vous avez des sous-domaines....
Autant le HTTP devrait etre la norme pour tout ce qui est espace client, autant ça n'a rien à faire dans le cas de diffusion de contenu "vitrine".
Que la partie en libre accès au public des news de GNT soit en HTTPS par exemple, ça serait d'une grande inutilité.
"t'es dépendant d'un tiers" ? a part de l'autosigné, pour un certificat ssl tu sera toujours dépendant d'un tiers qui fait partie d'une chaine de certification.
"ça consomme plus de ressources au niveau global"... on est en 2016. l'impact est négligeable et tout les cpu gèrent nativement de facon hardware ce genre de travail. https://en.wikipedia.org/wiki/SSL_acceleration
une article qui résume bein la situation ; https://www.maxcdn.com/blog/ssl-performance-myth/
"Will Let’s Encrypt issue wildcard certificates?" effectivement c'est le seul point vraiment génant pour le moment. J'ai pour ma part beaucoup de sous domaine et je dois les renouveler unitairement. Mais une fois automatisé avec une tache cron, ca ne pose pas plus de problème que cela. Ils y finiront par y venir mais le souhait est pour le moment de contrôler les certifs qui sont produit.
Il faut garder à l'esprit qu'ils sont en train de chambouler un gros business bien huilé. Il faut y aller petit à petit sinon ils risquent de se faire attaquer de partout.
Le simple fait d’être dépendant d'un tiers est rédhibitoire pour bon nombre d'usage.
Pour les ressources, justement, on est en 2016: les ressources, c'est pas seulement un gros CPU surdimensionné, y'a tout type d'appareil qui peuvent en avoir l'usage, y compris de l'embarqué très très léger par exemple. De plus le HTTPS empêche aussi certains mécanisme de cache, et la, c'est bien plus que 1 ou 2% d'écart, tu peux rajouter un zéro suivant les cas...
Qu'est ce que apporte que polo le plombier ai son site vitrine en HTTPS à part des démarches et emmerdes éventuelles en plus pour lui ? Ca apporte rien en terme de sécurité.
Par contre, les nombreux espaces membres / clients en HTTP, c'est une grosse erreur (tout comme les mails ou le FTP de base, en clair)
Ce n'est pas polo le plombier, c'est MARIO le plombier !!! T'y connais vraiment rien, toi !