Definition
HTTPS (HyperText Transfer Protocol Secure) est la version securisee du protocole HTTP. Il utilise le chiffrement TLS (Transport Layer Security) pour proteger les communications entre le navigateur de l'utilisateur et le serveur web.
En 2026, HTTPS est obligatoire pour tout site web. Les navigateurs affichent un avertissement "Non securise" pour les sites en HTTP, et Google penalise les sites non HTTPS dans ses resultats de recherche.
Pourquoi HTTPS est obligatoire
Securite
- Confidentialite : les donnees echangees sont chiffrees (mots de passe, cartes bancaires, donnees personnelles)
- Integrite : les donnees ne peuvent pas etre modifiees en transit (attaque man-in-the-middle)
- Authentification : le certificat prouve que vous communiquez avec le bon serveur
SEO et performance
- Google penalise les sites HTTP depuis 2018
- HTTP/2 (multiplexage, compression) requiert HTTPS
- HTTP/3 (QUIC, encore plus rapide) requiert HTTPS
Fonctionnalites web modernes
Ces API requierent HTTPS :
- Service Workers (PWA, notifications push)
- Geolocation
- Camera et microphone
- Clipboard API
- Web Bluetooth
Comment migrer vers HTTPS
1. Obtenir un certificat (gratuit avec Let's Encrypt)
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d monsite.fr -d www.monsite.fr
2. Forcer la redirection HTTP → HTTPS
server {
listen 80;
server_name monsite.fr www.monsite.fr;
return 301 https://$server_name$request_uri;
}
3. Activer HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
4. Verifier
- Tester sur SSL Labs (viser A+)
- Verifier qu'il n'y a pas de "mixed content" (ressources HTTP sur une page HTTPS)
HTTPS et RGPD
Le RGPD (Reglement General sur la Protection des Donnees) impose des "mesures techniques appropriees" pour proteger les donnees personnelles. HTTPS est considere comme le minimum requis. Un site collectant des donnees personnelles en HTTP s'expose a des sanctions.