Avec le « boom » de l’informatique et le nombre grandissant de transactions effectuées sur internet, notamment depuis la crise sanitaire liée à la Covid-19, il est primordial de sécuriser au mieux son site. Pour cela, une des mesures fortement recommandées est le passage de votre site en HTTPS. D’une part, il sécurise vos données et d’autre part, plait à Google (donc permet d’accéder à un meilleur référencement naturel ! Définition, processus de transition, avantages, impact sur le SEO, certificats SSL… voici tout ce qu’il fait savoir pour tirer parti de ce protocole devenu indispensable.

Au sommaire de cet article :

 

Le HTTPS : qu’est-ce que c’est ?

HTTPS ou Hyper Text Transfer Protocol Secure, qui signifie « Protocole de Transfert Hypertexte Sécurisé », est la version sécurisée du protocole de communication HTTP (Hyper Text Transfer Protocol), utilisé par tous les sites et qui permet à un navigateur de se connecter à des sites internet.

 

Le saviez-vous ? Le protocole HTTPS a été créé en 1994 par Netscape pour l’ancien navigateur Internet « Netscape Navigator ».

 

Quelle est la différence entre le protocole HTTP et HTTPS ?

Il est important de comprendre que lorsqu’un visiteur se connecte à un site en HTTP, les données affichées seront transmises telles quelles, c’est-à-dire qu’elles vont transiter en clair entre le navigateur et le serveur. Ces données peuvent être un mot de passe, voire des coordonnées bancaires. Un utilisateur malveillant peut alors facilement les intercepter.

Le protocole HTTPS permet à un navigateur de se connecter à des sites Web, mais de manière sécurisée.

Aussi, lorsqu’un visiteur se connecte à un site Web dont l’URL commence par HTTPS, les données transmises seront cryptées grâce au protocole TLS pour Transport Layer Security (la version plus sécurisée du protocole SSL) et donc, protégées du piratage. La connexion sera sécurisée !

L’utilisateur malveillant pourra toujours intercepter les données, mais il ne pourra pas les comprendre ni les utiliser…

 

Une connexion en HTTPS sécurise les données en transit !

 

Comment reconnaître un site en HTTPS ?

Pour certaines actions qui demandent des données sensibles telles qu’un mot de passe, des données bancaires, ou des informations personnelles comme votre email, il est impératif de vérifier que le site internet visité est sécurisé.

Pour vous en assurer, vous devez vérifier dans la barre d’adresse de votre navigateur Firefox, Chrome, Edge ou Opera (l’URL) :

  • La présence du cadenas
  • Suivi du https://
Reconnaître HTTPS dans les navigateurs

Affichage du protocole HTTPS dans les principaux navigateurs Internet

 

Bon à savoir : Depuis le début de l’année 2017, le HTTP est explicitement indiqué comme non sécurisé par un cadenas barré.

 

Pourquoi faut-il passer du HTTP au HTTPS ?

Passer en HTTPS permet en premier lieu de :

  1. Sécuriser votre site Web : les données insérées dans votre formulaire ou lors d’un achat seront protégées et ne pourront pas être interceptées ;
  2. Rassurer vos visiteurs sur l’authenticité du site : le premier bénéfice direct est la protection des attaques de type “Man in the Middle” (MITM). Cette technique de piratage informatique consiste à intercepter des échanges cryptés pour pouvoir espionner les communications entre des ordinateurs et/ou terminaux mobiles. voir un site configuré en HTTPS augmentera la confiance de vos utilisateurs. En effet, un internaute qui se rend sur un site non sécurisé pour faire un achat et qui se retrouve face à un message de type « connexion non certifiée » ou « votre connexion n’est pas sécurisée », aura tendance à chercher un autre site, qui lui sera sécurisé, afin de faire son achat ;
  3. Améliorer le référencement : Google favorise les sites en HTTPS dans les résultats de son moteur de recherche en leur accordant un petit bonus (voir le chapitre sur l’impact SEO du https)

 

La sécurité avant tout…

Le HTTPS est une garantie contre le piratage des données personnelles. Il permet aussi de garantir l’intégrité des données.

Si le terme de « certificat SSL » est répandu, et fait référence au protocole d’origine, le protocole HTTPS utilise de nos jours le protocole TLS pour chiffrer et sécuriser les transmissions de données entre le navigateur et le serveur web. Le TLS est une version plus sécurisée du SSL fonctionnant suivant les mêmes principes à savoir :

  • Crypte les échanges de données pour éviter le vol d’informations
  • Garantit l’intégrité des données en empêchant les fichiers d’être corrompus ou modifiés lors de leur transfert
  • Assure d’être sur le vrai site grâce à une authentification des internautes et des serveurs.

Vous devez donc installer un certificat SSL (en réalité un certificat TLS) sur votre site pour pouvoir utiliser le HTTPS car un site internet fonctionnant en HTTPS, mais ne disposant pas d’une connexion SSL sécurisée peut être inaccessible.

 

…pour montrer patte blanche auprès de Google

Google a pour objectif d’offrir une navigation sécurisée aux internautes et de s’assurer que les sites Web, visités depuis son moteur de recherche, sont sécurisés.

Pour ce faire, Google marque tous les sites HTTP comme non sécurisés afin de prévenir l’internaute qu’il se trouve sur un site non sécurisé, mais également, pour inciter fortement les webmasters à utiliser HTTPS et à se procurer un certificat SSL.

De plus, en 2014, Google a annoncé officiellement prendre en compte le protocole sécurisé HTTPS comme critère dans son algorithme de classement.

« Pour l’instant, il ne s’agit que d’un signal très léger – affectant moins de 1 % des requêtes mondiales et ayant moins de poids que d’autres signaux tels que le contenu de haute qualité – laissant le temps aux webmasters de passer au HTTPS. Mais au fil du temps, nous pourrions décider de le renforcer, car nous souhaitons encourager tous les propriétaires de sites Web à passer du HTTP au HTTPS afin de garantir la sécurité de tous sur le Web« .

Cela signifie que lors d’une requête sur Google, un site qui utilise le protocole sécurisé HTTPS sera mieux positionné et bénéficiera d’un meilleur référencement naturel (SEO) qu’un site en simple HTTP, et cela, même si les deux sites traitent du même sujet et offre un contenu à qualité égale.

Aussi, lors de la création d’un site internet, il est conseillé de le configurer en HTTPS, qu’il traite ou non des informations sensibles, afin d’améliorer le référencement de ses pages indexées par Google et d’offrir une navigation sécurisée.

Pour en savoir plus, vous pouvez visiter la page de Security Blog de Google.

 

Un impact sur le SEO ?

Le HTTPS comme juge de paix

Nous venons de le voir, Google a concédé accorder un très léger boost aux sites sécurisés. Un bonus confirmé en 2016 par Gary Illyes, un autre Googler à l’origine de la création de ce nouveau critère de classement :

« De manière schématique, nous regardons essentiellement les cinq premiers caractères de l’URL, et si c’est HTTPS et qu’il a réussi à entrer dans les résultats de recherche, il obtiendra un coup de pouce minimal« .

Pour être encore plus pointu, Google accorderait plus une préférence qu’un bonus aux pages HTTPS. Entre deux pages de qualité équivalente, l’algorithme fera passer la page HTTPS devant la page non-sécurisée :

« Le boost apporté par le HTTPS agit plus comme un arbitre. Par exemple, si tous les signaux de qualité sont égaux pour deux résultats, alors celui qui est en HTTPS obtiendrait… ou pourrait obtenir… le coup de pouce supplémentaire nécessaire pour l’emporter sur l’autre résultat ».

Les risques d’une migration ratée

Toutefois, les webmasters auraient tort de ne se focaliser que sur les effets bénéfiques de la migration. Une migration qui peut faire peser sur le référencement plus de risques que de bénéfices.

  • Duplication de contenu : sans prendre les précautions nécessaires, le changement de protocole revient à faire un déplacement de site avec changement d’URL. Ainsi pour Google, les deux pages au contenu identique mais avec des adresses différentes seront bien considérées comme des pages dupliquées. L’utilisation d’une règle de réécriture d’URL permettra d’orienter côté serveur les internautes navigant depuis des pages HTTP vers leur équivalent HTTPS.
  • Perte de jus de lien : le “jus” transmis par les liens HTTP redirigés sera moindre que le jus transmis par un lien direct. Idéalement, il faudrait faire modifier tous les backlinks pour retrouver une transmission de jus optimale. Ceci étant, cette démarche prend du temps et n’est pas tout le temps couronnée de succès.
  • Remise à zéro des compteurs de réseaux sociaux : le changement d’URL a également un impact sur le nombres de likes et de partages effectués vers les réseaux sociaux. Peu de solutions pour régler ce problème si ce n’est quelques plugins WordPress qui permettent de combiner le comptage des anciens partages pour éviter l’effet “zéro partage” peu rassurant pour l’utilisateur.

Autre conseil important : l’ajout de la nouvelle propriété HTTPS à la Search Console de Google. A moins que vous n’utilisiez déjà le type de propriété “Domaine” qui permet de suivre indistinctement tous les URL, il faudra créer une nouvelle propriété en spécifiant bien le protocole HTTPS.

 

Comment faire pour migrer vers le HTTPS ?

Le passage du HTTP vers le HTTPS n’est pas sans difficultés pour les webmasters non-avertis. La question du certificat SSL est centrale et les interrogations nombreuses (fournisseur, prix, installation).

 

Le certificat SSL : présentation

Maintenant que vous avez compris les nombreux avantages du HTTPS à la fois pour l’utilisateur, le SEO et la sécurité, il ne vous reste plus qu’à trouver et choisir un certificat SSL.

L’acronyme SSL signifie “Secure Sockets Layer” soit “Couche de Sockets Sécurisée” en français. Pour rentrer un peu dans la technique, le certificat SSL est un fichier de données qui lie une clé cryptographique à l’identité d’une organisation.

Installé sur un serveur, c’est ce certificat qui va activer le cadenas et le protocole HTTPS pour assurer une connexion sécurisée entre le serveur du site Internet et le navigateur de l’utilisateur.

 

Choisir un certificat SSL

Il existe pas un mais plusieurs types de certificats, chacun un niveau de sécurité différent en fonction du choix.

  • Le certificat à validation de domaine (DV) : il s’agit du niveau de sécurité basique pour lequel il suffit simplement d’être propriétaire du domaine.
  • Le certificat à validation d’organisation (OV) : ce certificat oblige le propriétaire du nom de domaine à être également celui de l’entreprise qui fait la demande. Ainsi, un internaute pourra consulter votre raison sociale à l’intérieur du certificat.
  • Le certificat à validation étendue (EV) : il offre le niveau de certification le plus élevé. Pour ce dernier, l’autorité de certification va effectuer des vérifications poussées sur l’existence de l’organisation à l’initiative de la demande ainsi que la véracité des informations fournies.

Le choix du type de certificat SSL dépendra de la dimension du site à sécuriser et beaucoup du budget disponible. Un site e-commerce aura naturellement plus d’intérêt à être le plus transparent possible avec ses clients qu’un blog sur la cuisine.

 

Où s’en procurer un ?

La plupart des hébergeurs comme OVH, Ionos ou O2switch proposent des options permettant l’achat et l’installation des différents types de certificats. Mais vous restez libres de vous en procurer un par vos propres moyens et de l’importer sur votre hébergement.

Dans tous les cas, les certificats sont délivrés par des autorités de certification (AC). Ces autorités sont nombreuses. Voici les plus connues ;

  • Let’s Encrypt (autorité de certification gratuite)
  • Certeurope (autorité française)
  • RapidSSL
  • Comodo
  • Sectigo
  • Thawte
  • Digicert
  • GlobalSign

 

Combien coûte un certificat SSL ?

A l’année, plusieurs milliers d’euros séparent le certificat SSL gratuit de Let’s Encrypt du certificat Wildcard. En effet, le certificat le plus cher (EV + Wildcard) coûte facilement dans les 500€ par mois.

 

Le trublion Let’s Encrypt

Créé en 2015, Let’s Encrypt est une autorité de certification mondiale et un organisme à but non lucratif. Cette autorité s’est donnée pour mission de “créer un Web plus sûr et respectueux de la vie privée”.

Le succès de Let’s Encrypt a été fulgurant avec en février 2020, le chiffre fou d’un milliard de certificats de domaine distribués gratuitement. Le certificat gratuit délivré par Let’s Encrypt est largement reconnu et suffisant pour la plupart des projets web.

 

Comment l’installer ?

Par chance pour les webmasters les moins avertis, les fournisseurs d’hébergement mutualisés fournissent dans la grande majorité des cas un moyen très simple et rapide de commander et installer un certificat SSL. En contrepartie, il faudra faire son choix parmi la sélection proposée par l’hébergeur.

Pour ceux qui souhaitent installer manuellement un autre certificat, il convient de se rapprocher de l’hébergeur en question. La plupart du temps il suffira de :

  • Générer une demande de certificat
  • Demander le certificat
  • Installer le certificat

 

La checklist SEO spéciale migration HTTPS

Tout comme pour une migration de site, il est très important de procéder à un certains nombres de vérifications afin de s’assurer que le passage du http vers le https se passe en douceur.

Une migration ratée peut handicaper votre trafic organique. C’est pourquoi nous vous recommandons d’être particulièrement attentif aux vérifications suivantes.

  • Étape 1 – Effectuer une sauvegarde complète de votre site : en cas de pépin, cette sauvegarde est l’ultime solution de repli. Votre hébergeur propose probablement une solution de backup complète manuelle, voire automatique avec des sauvegardes programmées à intervalles régulières. Si ce n’est pas le cas, adressez-vous à votre développeur pour la planifier avant toute mise en place du certificat.
  • Étape 2 – Rediriger le trafic HTTP vers HTTPS : sans aucune intervention de votre part, votre site sera accessible à la fois depuis le protocole HTTP et via le HTTPS. Pour Google, la nouvelle version sera considérée comme une version dupliquée de l’ancienne version. Pour éviter cela, certains hébergeurs comme Kinsta proposent une fonctionnalité pour forcer le HTTPS depuis la console d’administration du site. Sinon, la création d’une règle de ré-écriture d’URL via le fichier .htaccess permettra à la fois de rediriger tous les anciens URLS vers les nouveaux.
  • Étape 3 – Remplacer les URL en base de données : à moins de vouloir passer des heures et des heures à modifier un à un les URL sur les différentes pages du site, l’intervention directe sur la base de données (sauvegardée préalablement) permettra de gagner un temps précieux et modifier tous les anciens liens internes présents sur le site et ainsi éviter une redirection 301 (et donc une légère perte de jus).
  • Étape 4 – Tester les redirections : cette étape va permettre de s’assurer que les deux premières ont correctement fonctionné. Tester par l’exemple l’insertion d’un URL http, avec ou sans www dans le navigateur pour vérifier si la redirection fonctionne.
  • Étape 5 – Lancer un crawl du site : en crawlant le site avec le logiciel ScreamingFrog ou l’utilitaire de crawl d’un logiciel SEO (aHref, SERanking…), vous pourrez identifier les éventuels problèmes de chargement de ressources externes (CSS, JS, autre) et les URL internes non corrigés
  • Étape 6 – Mettre à jour la Google Search Console (GSC) ; si vous utilisez la GSC et à moins que n’utilisiez déja la propriété de domaine, il faudra ajouter une nouvelle propriété avec préfixe d’URL car “La Search Console traite séparément les protocoles HTTP et HTTPS”.
  • Étape 7- Mettre à jour Google Analytics / Google MyBusiness & CO : beaucoup ont tendance à les oublier, mais ces derniers ont besoin de connaître la version par défaut de votre site.
  • Étape 8 – Mettre à jour les backlinks : depuis 2016, Google a annoncé qu’il n’y avait plus de perte de PageRank sur les redirections 30X. Google a également annoncé savoir identifier et traiter les migrations HTTP->HTTPS. Toutefois, en bon consultant SEO toujours un peu sceptique et sachant que le PageRank n’est qu’un critère de classement, nous recommandons néanmoins de tenter de faire modifier un maximum d’anciens backlinks.