N'utilise pas HTTPS

Tous les sites Web doivent être protégés par HTTPS, même ceux qui ne traitent pas de données sensibles. Le protocole HTTPS empêche des intrus de falsifier ou d'écouter passivement les communications entre votre site et vos utilisateurs.

Une page ne peut pas être considérée comme une progressive web app (PWA) si elle ne s'exécute pas sur HTTPS. De nombreuses technologies PWA de base, telles que les service workers, nécessitent le protocole HTTPS.

Pour en savoir plus sur les raisons pour lesquelles tous les sites doivent être protégés par HTTPS, consultez la page Pourquoi le protocole HTTPS est-il important.

Échec de l'audit HTTPS de Lighthouse

Lighthouse signale les pages qui ne sont pas basées sur HTTPS:

Audit Lighthouse indiquant que la page n'est pas HTTPS

Lighthouse attend un événement du protocole de débogage à distance de Chrome indiquant que la page s'exécute sur une connexion sécurisée. Si vous n'entendez pas l'événement dans les 10 secondes, l'audit échoue.

Migrer votre site vers le protocole HTTPS

Envisagez d'héberger votre site sur un CDN. La plupart des CDN sont sécurisés par défaut.

Pour savoir comment activer HTTPS sur vos serveurs, consultez la page Activer HTTPS sur vos serveurs de Google. Si vous exécutez votre propre serveur et que vous avez besoin d'un moyen simple et économique de générer des certificats, Let's Encrypt est une bonne option.

Si votre page s'exécute déjà sur HTTPS, mais que vous ne parvenez pas à cet audit, vous rencontrez peut-être des problèmes liés au contenu mixte. Une page présente un contenu mixte lorsqu'elle est chargée via HTTPS, mais demande une ressource non protégée (HTTP). Consultez la documentation suivante sur le panneau de sécurité des outils pour les développeurs Chrome afin de savoir comment déboguer ces situations : Comprendre les problèmes de sécurité avec les outils pour les développeurs Chrome.

Ressources