HTTPS : qu'est-ce que c'est et pourquoi faut-il s'en préoccuper ?

Selon les récentes estimations, 1 % de tous les sites Web sont sécurisés par un certificat SSL et 40 % des résultats de recherche organiques de la première page de Google comportent un site HTTPS. Ces statistiques démontrent clairement l’importance de ce protocole sécurisé pour un site web.

Sommaire

Quelle est la différence entre le HTTP et le HTTPS ?
Pourquoi faut-il passer son site en HTTPS ?
Comment migrer vers un site sécurisé HTTPS ?
J’ai des pages non sécurisées, comment régler le problème ?

Quelle est la différence entre le HTTP et le HTTPS ?

Qu’est-ce que le protocole HTTP ?

Le HTTP, pour HyperText Transfer Protocol, est un protocole utilisé par le World Wide Web et destiné à partager les messages et informations formatés. Il indique aux serveurs web et aux navigateurs quelles actions ils doivent mettre en place en fonction des différentes commandes.

En d’autres termes, lorsque vous entrez une URL dans votre navigateur, cela renvoie en fait une commande HTTP au serveur Web en lui demandant de chercher et afficher la page demandée telle qu’elle a été définie. Le formatage des pages est contrôlé par le HTML qui assure une cohérence entre tous les sites.

Le protocole HTTP a toutefois rapidement montré ses limites. En effet, lorsque certaines âmes mal intentionnées ont su comment fonctionnait l’échange des informations, leur piratage est devenu un jeu d’enfant. Des administrateurs réseau ont donc mis au point une procédure pour protéger les informations qui transitent sur les sites. Celle-ci repose sur le certificat SSL qui crypte les données en ligne entre l’expéditeur et le destinataire. C’est ainsi qu’est né le HTTPS.

Qu’est-ce que le HTTPS ?

Cette procédure de cryptage signifie que les ordinateurs (expéditeurs et destinataires) se transmettent un code, constitué de chaînes de caractères aléatoires. De ce fait, si quelqu’un tente d’intercepter le message, il ne trouvera que des données impossibles à interpréter sans le code de déchiffrage. Ce code est un document appelé “certificat SSL” et qui contient les clés pour déchiffrer le message. La sécurité pendant le transfert est appelée Secure Sockets Layer (SSL) et Transport Layer Security (TLS). La procédure d’échange de clés publiques à l’aide d’un certificat SSL pour activer HTTPS, SSL et TLS est appelée infrastructure à clé publique (PKI).

Le HTTPS est donc la version ultra sécurisée du HTTP. Les sites Web sécurisés souhaitant protéger la connexion d’un internaute en cryptant leurs informations peuvent le faire en 3 couches :

Le cryptage, qui garantit que l’activité de l’utilisateur n’a pas été tracée et qu’aucune de ses données ne peut être volée.
L’intégrité des données, qui empêche les fichiers d’être corrompus lors de leur transfert.
L’authentification renforce encore la protection contre les attaques.

Pourquoi faut-il passer son site en HTTPS ?

On pourrait se demander si la mise en place d’un protocole aussi strict peut influencer négativement nos positions dans les SERP. En réalité, c’est l’inverse ! Le HTTPS affecte aujourd’hui les classements dans les moteurs de recherche et s’avère indispensable pour se positionner dans les premières places.

Pourquoi ?

Tout simplement parce que le leitmotiv de Google est de proposer à ses utilisateurs des résultats pertinents, sur des sites dont la navigation est fluide, rapide et sécurisée. Si le spectre du HTTPS obligatoire planait depuis plusieurs années, c’est en 2015 que le moteur de recherche a annoncé que le protocole HTTPS favorisait officiellement le classement des pages d’un site. Deux sites à qualité et performances égales peuvent être départagés par la présence ou non d’un protocole HTTPS.

De plus, avec les multiples scandales de fraudes et piratages, nous faisons face à des internautes avertis qui savent reconnaître les bases d’un site sécurisé avec notamment “le petit cadenas en haut dans l’url !“ Le HTTPS envoie donc un signal de confiance aux internautes, qui seront plus susceptibles de revenir sur le site. À noter enfin que les internautes utilisant Chrome voient carrément le site en HTTP bloqué par leur navigateur, qui indique qu’il s’agit d’un site non sécurisé ! On n’ose donc imaginer le taux de rebond de ces sites là … Le taux de rebond qui est aussi un critère de classement.

Comment migrer vers un site sécurisé HTTPS ?

Vous êtes désormais convaincu de l’importance du HTTPS pour votre référencement naturel ? Alors c’est parti pour la mise en place de votre certificat SSL ! En voici les principales étapes.

Sauvegarder votre site web

Mettre en place un backup n’est pas spécifique à la migration HTTP vers HTTPS, mais elle reste indispensable. L’idéal est même de travailler sur un serveur de test.

Obtenir votre certificat SSL

Certains hébergeurs offrent une option permettant de facilement passer son site en HTTPS depuis son interface client. Si votre hébergeur ne propose pas ce service, vous pouvez choisir parmi un certain nombre de fournisseurs de certificats SSL. Parmi les plus réputés :

GoGetSSL
SSLs.com

Ces derniers proposent 3 types de certificats SSL :

Validation de domaine : Domaine ou sous-domaine unique, une simple validation par mail.
Validation de l’entreprise ou de l’organisation : Un seul domaine ou sous-domaine, mais nécessite plus de paperasse car une vérification de l’entreprise est effectuée. Ce type de certificat est délivré dans un délai de 1 à 3 jours. Il offre un niveau de sécurité avancé.
Validation étendue : Un seul domaine ou sous-domaine et vérification d’entreprise nécessaire. Il est délivré dans un délai de 2 à 7 jours et permet d’avoir sa barre d’adresse verte, qui est un bel indicateur de confiance pour les internautes.

Il est également possible d’obtenir un certificat SSL gratuitement avec Let’s Encrypt et Certbot.
Certbot est plutôt facile à utiliser. Ili récupère et déploie automatiquement les certificats SSL/TLS pour votre serveur web.

Installer votre certificat SSL

L’installation du certificat SSL dépend de l’outil que vous utilisez.

Voici un guide complet sur la façon d’installer votre certificat SSL selon votre serveur (Apache, Nginx…).

Si vous déployez Let’s Encrypt avec Certbot, vous trouverez une documentation complète qui permet une installation semi-automatisée. Il est possible de sélectionner un mode “avancé” pour un meilleur contrôle des opérations.

Implémenter les 301 dans le .htaccess

La migration du site se poursuit avec la mise en place de redirections 301 (des pages HTTP vers les pages HTTPS) directement via le .htaccess, qui se trouve généralement à la racine de votre site.

Une fois que vous l’avez repéré, il faut ajouter les lignes suivantes :

Pour rediriger tout le trafic :

>
RewriteEngine On
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Pour rediriger en spécifiant le domaine :

RewriteEngine On
RewriteCond %{HTTP_HOST} ^VotreDomaine\.com [NC] RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI}

Une fois que cela est fait, il faut vous assurer que plus aucune page n’est disponible dans les deux versions, sinon cela sera considéré comme du contenu dupliqué…Et gare aux dégâts !

Tester et mettre en ligne

Une fois que tout est calibré, il faut passer au test SSL. Celui-ci vous affichera une note globale sur la qualité de l’implémentation du SSL sur votre site et vous indiquera en détail les éventuels problèmes et les solutions pour y remédier.

Mettre à jour l’environnement du site

Passer du HTTP au HTTPS nécessite aussi de modifier tout l’environnement du site, c’est à dire tous les outils et logiciels qui y sont reliés : Search Console, Google Analytics …Dans les outils Google, le site en HTTPS est à rajouter comme une nouvelle propriété. Il faut également penser à mettre à jour le sitemap (sur un site administré avec des CMS comme WordPress ou Prestashop, il existe généralement des extensions qui le font automatiquement). Il faut également vérifier les urls qui se trouvent dans le fichier robots.txt et mettre à jour tous les liens en dur qui pourraient se trouver à l’intérieur de votre site. Pour cela, rien de tel qu’un bon crawler comme Botify ou Oncrawl qui permettent de déceler les urls et liens avec HTTP.

google-https

Bien sûr, n’oubliez pas de mettre à jour les liens vers votre site dans vos profils sociaux et vos éventuels PBN, vos signatures de mail etc…. Au final, mettre à jour l’environnement du site peut prendre plus de temps que la migration en elle même !

J’ai des pages non sécurisées, comment régler le problème ?

Vérification du protocole https

Vérifiez que la page d’accueil du site est hébergée en « https » et que votre navigateur vous indique que la connexion est sécurisée avec des paramètres corrects (cadenas vert avec « Secure » de chrome) et que le certificat est valide en cliquant sur le cadenas :

Si ce n’est pas le cas, il faut mettre en place/à jour le certificat SSL du site.

Vérifiez que les URLs commençant par « http » au lieu de « https » redirigent bien vers l’url « https » correspondante. Il doit s’agir d’une redirection 301 et non pas 302.

Si les URLs en « http » ouvrent la page, sans 404 ni redirection, cela signifie que les pages de votre site sont en double –> Dans ce cas, il faut absolument implémenter les redirections 301 au plus vite.
Ensuite, il faut modifier les liens internes pour supprimer les liens pointant vers les URLs en HTTP et les modifier par celles en HTTPS. Pourquoi ? Pour fluidifier votre maillage interne et vous assurer que le robot crawle efficacement avec le moins de redirections possibles.

Présence d’URLs HTTP dans le maillage du site

Nous vous recommandons d’utiliser un crawler pour identifier s’il y a présence d’URLs en HTTP maillées (=liées) dans votre site. C’est ce que nous faisons dans le cadre d’un audit.
Si le crawler trouve des URLs en HTTP, modifiez les liens pointant vers ces pages, afin de pointer plutôt vers les bonnes pages en HTTPS.

Récapitulatif des étapes de mise en place du protocole HTTPS

Choisir un certificat de sécurité SSL/TLS de qualité.
Rediriger l’ensemble des URL de votre site, de la version http vers la version https.
Mettre à jour l’ensemble de vos liens internes, n’hésitez pas à demander à votre coach Smartkeyword de vous transmettre une liste. Elle est normalement déjà incluse dans le cadre d’un audit technique.
Actualisez votre Google Search Console, s’il s’agit d’une propriété avec préfixe d’URL et non pas une propriété de domaine.

Conclusion

La migration HTTP vers HTTPS est donc une étape indispensable dans la vie d’un site et relativement simple techniquement. Néanmoins, il convient de bien suivre les instructions des différents outils afin de ne pas commettre d’impairs qui pourraient sévèrement pénaliser votre site. Une fois cette opération faite, vous devriez constater une amélioration progressive de votre trafic naturel.

Rappelons également que le HTTPS seul ne suffit pas à protéger votre site des hackers, en particulier si vous utilisez WordPress qui est réputé pour ses failles de sécurité. Il existe des outils pour vérifier et renforcer le niveau de sécurité d’un site, comme Netsparker, OpenVAS et Securityheaders.