Migration vers HTTPS des serveurs Web du W3C - retour d'expérience

Les nouvelles tendances de sécurité poussent depuis quelques années à l’adoption du tout HTTPS pour sécuriser l’intégrité et la confidentialité des échanges entre serveurs et navigateurs. Orthogonalement, on a des nouvelles spécifications complémentaires développées au W3C et à l’IETF qui permettent de faciliter la migration d’un serveur et son contenu vers HTTPS (HSTS, Upgrade-Insecure-Requests). Enfin, un dernier niveau permet d’indiquer aux navigateurs des politiques de sécurité pour l’utilisation du contenu (CSP), afin de minimiser, voire éliminer les attaques XSS et clickjacking parmi d’autres et en même temps d’ouvrir de manière contrôlée le partage des données issues de différentes domaines (CORS). Je propose de donner une introduction à ces différentes technologies, leurs possibilités et des outils permettant d’évaluer le niveau de sécurité d’un serveur en se basant sur un retour d’expérience de la migration vers HTTPS des serveurs Web du W3C.