L’équipe Google Chrome va faire une expérience cette semaine dans le but de trouver des solutions à un problème HTTPS que Mozilla a également tenté de résoudre l’année dernière.
Le problème que Google tente de résoudre s’appelle le “contenu mixte”, que Google décrit comme suit : “Un contenu mixte se produit lorsque le HTML initial [d’une page Web] est chargé via une connexion HTTPS sécurisée, mais que d’autres ressources (telles que des images, des vidéos, des feuilles de style, des scripts) sont chargées via une connexion HTTP peu sûre. C’est ce qu’on appelle un contenu mixte parce que les contenus HTTP et HTTPS sont chargés pour afficher la même page et que la requête initiale était sécurisée sur HTTPS. Les navigateurs modernes affichent des avertissements sur ce type de contenu pour indiquer à l’utilisateur que cette page contient des ressources non sécurisées”.
Au cours des dernières années, le contenu mixte a été un gros problème pour les éditeurs de navigateurs et d’autres organisations qui ont encouragé l’adoption du HTTPS. Les erreurs de contenu mixte – parfois connues pour empêcher les utilisateurs d’accéder à un site Web – ont effrayé de nombreux opérateurs de sites à l’idée de migrer vers HTTPS. Beaucoup craignant de perdre du trafic pour aucun bénéfice tangible lié au support HTTPS.
Bref, l’élimination des erreurs de contenu mixte qui apparaissent dans les navigateurs Web est probablement le dernier obstacle majeur pour convaincre les exploitants de sites de passer à HTTPS. Cette semaine, les ingénieurs de Google ont déployé une expérience dans Chrome où ils ont configuré le navigateur pour qu’il mette automatiquement à niveau n’importe quel contenu mixte en HTTPS complet.
Chrome le fait en changeant secrètement l’URL des ressources (telles que les images, les vidéos, les feuilles de style, les scripts) de leur version HTTP vers une alternative HTTPS.
Si la même ressource existe sur une liaison HTTPS, alors tout se charge normalement. Si la ressource n’existe pas sur une autre liaison HTTPS, Chrome enregistre l’erreur et exécute un des nombreux scénarios configurés pour cette expérience (détaillé dans ce document).
L’idée générale est que lorsque les propriétaires de sites Web ont mis à jour leurs sites pour utiliser HTTPS, ils ont pu oublier de changer des éléments du code source de leurs sites, et certains contenus ont été laissés en chargement via le HTTP, même s’ils auraient pu être chargés via une liaison HTTPS.
Le but de cette expérience est de permettre aux ingénieurs de Google d’avoir un aperçu du nombre de sites Web qui se briseraient si Chrome mettait à jour automatiquement tous les sites à contenu mixte en HTTPS par défaut, et quelle est la meilleure stratégie de repli pour les URL HTTP à contenu mixte qui se cassent.
Si le pourcentage de liens et de sites brisés est faible, les ingénieurs de Google envisageraient alors très probablement d’envoyer cette fonction de mise à jour automatique vers HTTPS dans le navigateur principal de Chrome. Et de faire un pas de plus vers un Web plus sécurisé.
Pour l’instant, Google a l’intention d’étendre l’expérience à environ 1 % de sa base d’utilisateurs Chrome Canary (ceux qui ont activé le flag chrome://flags/#enable-origin-trials).
L’expérience de Google n’est pas la première du genre. Mozilla a testé une mise à jour automatique similaire dans Firefox l’année dernière. “Ils ont trouvé beaucoup de choses cassées, mais nous espérons que les choses se sont améliorées depuis leur expérience” a déclaré Emily Stark, une ingénieur en sécurité Google. Anoter que d’autres expériences de traitement de contenus mixtes sont également prévues.
