Dans la plupart desnavigateurs web, les adresses HTTPS sont indiquées par une icône représentant un cadenas.
L'Hypertext Transfer Protocol Secure (HTTPS, littéralement « protocole de transferthypertextuel sécurisé ») est la combinaison duHTTP avec une couche dechiffrementTLS[2].
HTTPS permet au visiteur de vérifier l'identité dusite web auquel il accède, grâce à uncertificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de laliste blanche desnavigateurs internet et dessystèmes d'exploitation). Il garantit théoriquement laconfidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans lesformulaires) et reçues duserveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentificationclient émis par une autorité fiable.
HTTPS est aussi utilisé pour la consultation de données privées, comme lescourriers électroniques, par exemple.
En 2016, une campagne de l'Electronic Frontier Foundation, soutenu par les développeurs denavigateurs Web, a aidé à rendre le protocole beaucoup plus populaire[3]. HTTPS est maintenant utilisé plus souvent par les utilisateurs Web que le HTTP non sécurisé d'origine, principalement pour protéger l'authenticité des pages sur tous les types de sites Web, comptes sécurisés, et pour garder les communications des utilisateurs, l'identité et la navigation Web privées[4].
Par défaut, les serveurs HTTPS sont connectés auportTCP 443. C'est un port rarement bloqué par les pare-feux.
En,Google Chrome etMozilla Firefox ont commencé à identifier et signaler les sites Web qui recueillent des informations sensibles sans utiliser le protocole HTTPS[5]. Ce changement a pour but d'augmenter de manière significative l'utilisation du HTTPS. En, le protocole de sécurité HTTPS était utilisé par environ 16,28 % de l'Internet français[6]. Depuis 2020, le protocole est utilisé dans 80% des pages Web chargées[7]. En 2025, plus de 90% du traffic internet s'effectue par le protocole HTTPS[8].
Netscape créa le HTTPS en 1994 pour son navigateurNetscape Navigator. HTTPS était initialement utilisé avec le protocole SSL, ce dernier ayant évolué versTLS, HTTPS utilise maintenant TLS. Ceci est spécifié dans laRFC 2818[9] en.
Google annonça en que son navigateur afficherait les sites HTTP comme « non sécurisés » à partir du mois de[10]. Cela précipita l'adoption d'HTTPS par les sites web afin d'éviter une perte de trafic.
Les certificats HTTPS sont émis par des autorités de certification. Depuis le milieu des années 2000 et les révélations d'Edward Snowden, de nombreuses entités se sont mis à proposer des certificats HTTPS gratuitement pour sécuriser le Web. L'obtention de certificats sont soumis notamment au protocoleACME. Pour obtenir un certificat, il faut créer unCSR contenant les informations sur le site Internet et la clé générée par le site Internet pour sécuriser la connexion. Après validation de la propriété du site Internet, l'autorité signe le CSR, délivrant un certificat valide, lorsqu'il est associé à la clé privée utilisée dans le CSR. Cette technique empêche l'autorité d'avoir accès à la clé privée (le CSR ne contient pas cette clé) et donc de lire le trafic des sites Internet dont elle a autorité mais permet de prouver que le site Internet demandeur du certificat possède bien la clé privée (preuve de possession).
Un certificat a une durée de vie (entre 90 jours et 1 an) mais qui est très souvent de 3 mois et qui permet le renouvellement automatique de la clé privée et du certificat. Un certificat peut aussi être révoqué par l'autorité de certification si sa clé privée a été compromise.
Cette section est vide, insuffisamment détaillée ou incomplète.Votre aide est la bienvenue !Comment faire ?
Description informelle : Le protocole est identique au protocole web habituelHTTP, mais avec un ingrédient supplémentaire ditTLS qui fonctionne assez simplement ainsi :
le client — par exemple le navigateur Web — contacte un serveur — par exemple Wikipédia — et demande une connexion sécurisée, en lui présentant un certain nombre de méthodes de chiffrement de la connexion (dessuites cryptographiques) ;
le serveur répond en confirmant pouvoir dialoguer de manière sécurisée et en choisissant dans cette liste une méthode de chiffrement et surtout, en produisant un certificat garantissant qu'il est bien le serveur en question et pas un serveur pirate déguisé (on parle de l'homme du milieu). Cescertificats électroniques sont délivrés par une autorité tierce (autorité de certification) à laquelle le client comme le serveur ont choisi de faire confiance, un peu comme un notaire dans la vie courante, et le client peut vérifier, grâce à la signature de cette autorité sur le certificat présenté par le serveur, que celui-ci est authentique. Le client s’assure par ailleurs que le certificat n’est pas périmé et aussi éventuellement que l’autorité de certification ne l’a pas révoqué. Le certificat contient aussi une clé dite publique qui permet de chiffrer un message pour le rendre secret et uniquement déchiffrable par le serveur grâce à une clé dite privée que seul le serveur détient, on parle dechiffrement asymétrique.
cela permet au client d'envoyer de manière secrète un code aléatoire qu’il invente (uneclé symétrique dite clef de session) qui sera mélangé à tous les échanges entre le serveur et le client de façon que tous les contenus de la communication soient chiffrés. Pour cela on mélange le contenu avec le code, ce qui donne un message indéchiffrable, et à l'arrivée refaire l’opération symétrique avec ce message redonne le contenu en clair.
En bref : serveur et client se sont reconnus, ont choisi une manière de chiffrer la communication et se sont passés de manière chiffrée un code (clé de chiffrement symétrique) pour dialoguer de manière secrète.
Les algorithmes courants de sécurisation TLS permettent également laConfidentialité persistante de telle sorte que si le certificat et sa clé sont compromis, seuls les échanges futures peuvent être lues[11].
La sécurité des informations transmises par le protocole HTTPS est basée sur l'utilisation d'unalgorithme dechiffrement, et sur la reconnaissance de validité ducertificat d'authentification du site visité.
Partant du principe que lesinternautes précisent rarement le type de protocole dans lesURL (le protocole HTTP étant historiquement sélectionné par défaut) et se contentent de suivre des liens, un chercheur ensécurité informatique, connu sous le pseudonyme deMoxie Marlinspike, a développé une attaque du typeAttaque de l'homme du milieu (« Man in the middle » en anglais), afin de contourner le chiffrement de HTTPS[12]. Lepirate se positionne entre leclient et le serveur et change leslienshttps: enhttp:, ainsi le client envoie ses informations en clair via le protocoleHTTP et non HTTPS[13].Ce type d'attaque a été présenté par Marlinspike à laBlackhat Conference 2009. Durant cette conférence, Marlinspike a non seulement présenté le fonctionnement de l'attaque, mais également quelques statistiques d'utilisation. Il a réussi à récupérer plusieurs centaines d'identifiants, informations personnelles etnuméros de cartes bancaires en 24 heures, aucune personne ne se doutant de l'attaque en cours[12].
Une autre attaque de typeMan in the middle a pu être mise en œuvre enjuillet 2011[14], par l'obtention frauduleuse de certificats valides auprès de l'ancienneautorité de certificationDigiNotar, piratée. Cette attaque fut utilisée pour mettre en place de faux sitesGoogle (certificat frauduleux pour les domaines*.google.com) et ainsi espionner la consultation de plusieurs comptesGmail d'utilisateursiraniens.
Enseptembre 2011, Duong et Rizzo, deux chercheurs en sécurité informatique, ont présenté à laEkoparty Security Conference un nouveau type d'attaque, basé cette fois sur ledécryptage despaquets transmis sur le réseau. Cette attaque utilise unevulnérabilité duchiffrementCipher Block Chaining du protocoleTLS 1.0, connue de longue date. Pour exploiter cette vulnérabilité, il s'agit d'insérer dans lapage consultée uncode Javascript communiquant la valeur ducookie de session à unanalyseur de paquets réseau, afin de l'utiliser pour décrypter le reste de la communication[15].
Seuls les sites supportant la version de chiffrement TLS 1.0 sont affectés par cette vulnérabilité ; cependant à la date de, cela concerne l'immense majorité des sites du fait de la réticence des sites et navigateurs à mettre en application les versions TLS 1.1 et 1.2[16].
En 2025, le protocole TLS1.1 a été largement abandonné par les logiciels globaux de traffic internet au profit de TLS 1.2 et TLS 1.3[17].
En, plusieurs journaux révèlent, grâce aux documents fournis parEdward Snowden, que laNSA, via son programmeBullrun, cherche à casser ou affaiblir le protocole HTTPS ou ses mises en œuvre par les constructeurs de matériel et de logiciel, rendant accessible en clair aux services américains de nombreuses communications pourtant chiffrées[18].
Début 2014, une vulnérabilité visant tous les appareilsApple sous iOS 6 / 7 et Mac OS X 10.9, permettant à ceux qui ont eu le moyen de l'exploiter, de corrompre le chiffrement HTTPS (ou plus particulièrement les technologiesTLS /SSL), a été corrigée par la firme[19]. Certaines rumeurs laissent entendre que cette vulnérabilité aurait été utilisée par la NSA[20], voire que c'est l'organisation gouvernementale qui a sollicité l'aide d'Apple pour créer cette faille (ce que l'entreprise dément)[21].
HTTPStrict Transport Security (HSTS) est un mécanisme depolitique de sécurité proposé, permettant à unserveur web de déclarer à un agent utilisateur (comme unnavigateur web) compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l'agent utilisateur par le serveur, via la réponse HTTP, dans le champ d'entête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l'agent utilisateur doit accéder au serveur uniquement de façon sécurisée.
Le HTTPS du fait qu'il est chiffré ne permet pas à un serveur intermédiaire d'avoir une mémoire cache qui mémorise l'information. De ce fait, le navigateur ne peut pas afficher l'information sans la demander directement au serveur.
Pour cette raison, certains serveurs intermédiaires commeCloudflare émettent des certificats pour les sites qu'ils gèrent avec leur clé privée ce qui leur permet d'obtenir le trafic en clair et de le contrôler[22].
↑EricRescorla, « The Transport Layer Security (TLS) Protocol Version 1.3 »,IETF, Internet Engineering Task Force,noRFC 8446,(lire en ligne, consulté le)
