HTTPS peut réaliser trois choses:
- Authenticité . Assurez-vous que vous communiquez avec le véritable propriétaire du domaine.
- Confidentialité . Assurez-vous que seul ce propriétaire de domaine et vous pouvez lire la communication.
- L'intégrité . S'assurer que le contenu n'est pas modifié par quelqu'un d'autre.
Tout le monde convient probablement que le HTTPS devrait être obligatoire lors de la transmission de secrets (comme les mots de passe, les données bancaires, etc.).
Mais il existe plusieurs autres cas où et pourquoi l'utilisation de HTTPS peut être bénéfique:
Les attaquants ne peuvent pas altérer le contenu demandé.
Lors de l'utilisation de HTTP, les écoutes peuvent manipuler le contenu que vos visiteurs voient sur votre site Web. Par exemple:
- Inclusion de logiciels malveillants dans le logiciel que vous proposez de télécharger.
- Censurer une partie de votre contenu. Changer vos expressions d'opinion.
- Injection de publicités.
- Remplacer les données de votre compte de dons par les leurs.
Bien sûr, cela s'applique également au contenu envoyé par vos utilisateurs, par exemple les modifications du wiki. Cependant, si vos utilisateurs sont anonymes, l'attaquant pourrait "simuler" être un utilisateur de toute façon (sauf si l'attaquant est un bot et qu'il existe une barrière CAPTCHA efficace).
Les attaquants ne peuvent pas lire le contenu demandé.
Lors de l'utilisation de HTTP, les écoutes peuvent savoir à quelles pages / contenu de votre hôte vos visiteurs accèdent. Bien que le contenu lui-même puisse être public, la connaissance qu'une personne spécifique le consomme est problématique:
- Il ouvre un vecteur d'attaque pour l'ingénierie sociale .
- Cela porte atteinte à la vie privée.
- Elle peut conduire à une surveillance et à des sanctions (jusqu'à l'emprisonnement, la torture, la mort).
Bien sûr, cela s'applique également au contenu envoyé par vos utilisateurs, par exemple les e-mails via un formulaire de contact.
Cela dit, le simple fait d'offrir HTTPS en plus de HTTP ne protégerait que les utilisateurs qui vérifient (ou appliquent localement, par exemple avec HSTS ) qu'ils l'utilisent. Les attaquants pourraient forcer tous les autres visiteurs à utiliser la variante HTTP (vulnérable).
Donc, si vous arrivez à la conclusion que vous souhaitez proposer HTTPS, vous pouvez envisager de l' appliquer (redirection côté serveur de HTTP vers HTTPS, envoyer l'en-tête HSTS).