Retour au Journal
SécuritéNº 00202 juin 20264 min

HTTPS n'est plus une feature. C'est la baseline.

En 2026, tout site sans certificat SSL dit au visiteur de partir — et le navigateur tient à le souligner.

Il y a cinq ans, vendre un « site avec SSL » était encore un argument commercial. Le cadenas vert. La phrase « votre site reste sécurisé ». Aujourd'hui, c'est le minimum attendu d'un site professionnel, et ne pas l'avoir n'est plus une négligence technique — c'est un signal de négligence tout court.

Ce que fait le navigateur sans HTTPS

Chrome, Safari, Firefox, Edge : tous affichent « Non sécurisé » dans la barre d'adresse de toute page HTTP. Les formulaires avec champs sensibles sont bloqués ou génèrent des alertes rouges. Sur mobile, l'alerte prend tout l'écran avant que l'utilisateur ne puisse rien envoyer.

Du point de vue de l'acheteur : le visiteur arrive, voit l'alerte, repart. Le produit n'a pas d'importance. La confiance s'est brisée en trois secondes.

Où HTTPS est déjà techniquement obligatoire

Les Service Workers (PWA, offline-first) ne fonctionnent qu'en HTTPS. HTTP/2 et HTTP/3 aussi. Géolocalisation, caméra, micro, notifications push — tout dépend d'un contexte sécurisé. Les APIs web modernes, en général, refusent de tourner hors HTTPS.

En pratique : toute application un minimum moderne a besoin de HTTPS rien que pour démarrer.

Combien cela coûte

Zéro. Let's Encrypt émet des certificats gratuits avec renouvellement automatique depuis presque dix ans. Cloudflare propose du SSL flexible également gratuit. Tout hébergeur sérieux en 2026 installe SSL en un clic. Aucune excuse de coût — et franchement, aucune excuse tout court.

Ce qu'il faut vérifier maintenant

  • Le domaine principal redirige automatiquement HTTP vers HTTPS
  • Tous les sous-domaines (www, app, admin) forcent aussi HTTPS
  • Le certificat est valide dans tous les navigateurs et se renouvelle seul
  • HSTS est actif (en-tête Strict-Transport-Security)
  • Pas de mixed content — ressources chargées via HTTP dans une page HTTPS

Si l'un de ces points ne passe pas, le problème n'est pas cosmétique. Il est opérationnel.

Références
  1. 01Mozilla MDN — HTTPS overview
  2. 02Let's Encrypt — Free, automated SSL
Aussi :
SécuritéNº 009

L'attaque que personne ne voit arrive par le formulaire de contact de ton site

Le formulaire de contact semble inoffensif. C'est la porte la plus ouverte que tu as, et presque personne ne la ferme à clé.

SécuritéNº 004

Comment un certificat SSL expiré a sorti ta boutique de Google en 48 heures

Un certificat expire un mercredi à 03h14. Vendredi matin, le trafic organique s'effondre. Pas de malchance — de la négligence mesurable.

Retour au Journal