en quoi ArcGIS World Geocoding Service est-il affecté par l’utilisation exclusive du protocole HTTPS ?

Réponse

Esri prévoit de mettre en œuvre l’utilisation exclusive du protocole HTTPS pour le Service de géocodage mondial à compter du 29 septembre 2020. Il est probable que cette mise à jour de sécurité importante affecte certains logiciels et certaines solutions personnalisées ArcGIS. Les clients Esri doivent prendre des mesures dès aujourd’hui pour être prêts lorsque ce changement prendra effet.

Une URL HTTPS a été disponible pour le Service de géocodage mondial dès l’apparition de ce service en 2012. Avec la mise à jour prévue le 29 septembre 2020, l’URL HTTPS deviendra le seul point de terminaison disponible et les clients n’auront plus la possibilité de soumettre des demandes via l’URL HTTP.

Remarque :  Il s’agit d’une opération complémentaire à la mise en œuvre de l’utilisation exclusive du protocole HTTPS prévue dans ArcGIS Online le 8 décembre 2020.

Qu’est-ce que cette modification implique concrètement pour nos clients ?
Le protocole HTTPS, acronyme pour Hypertext Transfer Protocol for secure communication, permet la transmission sécurisée des données entrantes et sortantes entre un client, comme un navigateur Web, et le serveur. Toutes les données étant chiffrées, toute personne surveillant le trafic réseau ne serait pas en mesure de s’emparer d’informations sensibles. 
Actuellement, le Service de géocodage mondial prend en charge la communication sur HTTPS (chiffrée) et HTTP (non chiffrée). Après la mise à jour du 29 septembre 2020, le Service de géocodage mondial ne communiquera plus sur HTTP. Cette modification vise à améliorer la sécurité des communications Web et à satisfaire aux exigences formulées par les clients en matière de sécurité. Ce billet de blog donne des informations spécifiques relatives aux exigences du gouvernement américain pour le passage à une utilisation exclusive du protocole HTTPS.

Quels seront les clients affectés par cette modification ?
Les clients affectés par cette modification sont ceux qui utilisent actuellement ArcGIS World Geocoding Service et hébergent des contenus de ce service, tels que des services, images et documents, qui ne prennent pas en charge HTTPS.
Après cette modification, les liens (URL) qui pointent vers ces contenus du Service de géocodage mondial ne seront plus actifs s’ils sont appelés via HTTP. Voici certains scénarios utilisateurs à envisager :

• Les utilisateurs qui ont activé les communications HTTP et HTTPS pour les demandes de service de géocodage effectuées via des services proxy sur Server et Enterprise
• Les utilisateurs qui disposent d’applications intégrées utilisant la communication HTTP pour les demandes de service de géocodage
• Les utilisateurs qui disposent de scripts utilisant la communication HTTP pour les demandes de service de géocodage
• Les utilisateurs qui disposent de widgets intégrés à l’aide d’URL de services codées en dur avec HTTP uniquement

Est-il possible que certains clients ne soient pas affectés par cette modification ?
Oui. Les clients qui utilisent déjà la communication HTTPS uniquement dans leurs demandes de service de géocodage ne seront pas affectés.

Quel est l’impact sur les clients qui utilisent l’un des logiciels affectés ?
Dès la mise en œuvre de l’utilisation exclusive du protocole HTTPS, les clients qui utilisent la communication HTTP dans leurs demandes adressées au Service de géocodage mondial recevront un message d’erreur. Le message d’erreur indiquera que le protocole n’est pas pris en charge.

Que recommande Esri aux clients ?
Esri recommande aux clients de commencer à utiliser l’authentification et d’ajouter des jetons à leurs demandes de service. 
Les clients doivent modifier leur code d’application et leurs scripts afin de faire en sorte d’utiliser la communication HTTPS, puis tester leurs demandes de service avant le 29 septembre 2020 pour éviter tout problème éventuel.

Comment passer à la communication HTTPS ?

Vous devez déterminer l’origine des demandes de service adressées au Service de géocodage mondial. Il peut s’agir d’une application, d’un widget, d’un script ou de votre installation Enterprise.

1. Accédez  au code source de l’application ou du widget, ou au fichier principal du script, puis recherchez le terme HTTP.
2. Identifiez l’URL utilisée dans la demande adressée à ArcGIS World Geocoding Service, puis remplacez la version HTTP par la version HTTPS :
   • Vers : http://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer
   • A : https://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer

• Les utilisateurs Enterprise doivent ouvrir les services réseaux et configurer le ou les services de géocodage de sorte à utiliser la version HTTPS de l’URL. 
• Envisagez l’authentification des demandes via les identifiants de connexion ArcGIS Online ou l’utilisation d’un jeton. Voir l'article : Authentifier une demande adressée à ArcGIS World Geocoding Service