HTTPS : qu’est-ce que c’est et comment migrer son site web ?

publié le 30 juillet, 2018 par

4 commentaires

Le HTTPS, impossible de passer à côté. Quel que soit votre niveau d’utilisation du web (amateur éclairé, internaute exalté, blogueur d’occasion ou professionnel du digital), vous avez forcément été confronté à ce protocole de sécurisation des sites Internet. Ne serait-ce qu’en voyant ces cinq lettres s’afficher tout à gauche de la barre d’adresse URL sur votre navigateur.

https

Il est d’autant plus important de s’intéresser de près au HTTPS que Google en a fait un critère clé de son algorithme de classement via son navigateur Chrome. En 2014, le géant du web avait annoncé une mise en avant des sites protégés via le protocole HTTPS. De quoi inciter les webmasters à sécuriser leurs connexions. Trois ans plus tard, les chiffres parlent d’eux-mêmes : 66 % de sites sont en HTTPS sur Windows, 64 % du trafic est sécurisé sur Android et plus de 75 % sur ChromeOS. En outre, 71 des sites les mieux placés dans le SERPs de Google étaient en HTTPS fin 2017, contre 37 en 2016 (source).

Bien sûr, Google n’est pas seul en cause. D’autres facteurs ont joué dans cette transformation d’un web sauvage en un web plus civilisé : initiatives rendant plus facile l’accès au HTTPS, mesures idoines prises par les autres navigateurs, etc. Reste qu’il est essentiel de se poser trois questions : qu’est-ce que le HTTPS exactement ? Faut-il l’adopter pour renforcer les effets de votre référencement naturel ? Et comment organiser cette migration vers le HTTPS ?

Qu’est-ce que le HTTPS ?

Le protocole HTTP

Pour bien comprendre ce qu’est le HTTPS, il faut en revenir au HTTP dont il est la continuation. Le HTTP (abréviation de HyperText Transfer Protocol, ou  » protocole de transfert hypertexte « ) est un protocole de communication spécialement conçu pour le web. Il rend possible les échanges de données entre un serveur et un client, par exemple entre un site web et un navigateur.

protocole-https

Le problème du HTTP, c’est que ces échanges sont ouverts à tous, c’est-à-dire qu’ils ne sont pas cryptés. Et donc pas confidentiels pour un sou. N’importe qui, techniquement, peut s’interposer dans la communication et récupérer les informations qui circulent, comme quelqu’un qui écouterait une conversation au téléphone.

Dans la plupart des cas, ce n’est pas si grave : si vous lisez un article sur le site web d’un journal, vous n’échangez pas de données personnelles susceptibles d’être mal utilisées. Mais les choses deviennent plus compliquées lorsque vous vous connectez au site de votre banque : si quelqu’un met la main sur vos informations (par exemple : votre numéro de compte ou vos accès), les conséquences peuvent être sérieuses.

Le principal défaut du protocole HTTP, c’est donc son manque de sécurité. Et c’est là que le HTTPS entre en jeu.

Le protocole HTTPS

Le protocole HTTPS (HyperText Transfer Protocol Secure) a été conçu pour pallier le problème de sécurité posé par son grand frère.

Le HTTPS, en réalité, n’est qu’un protocole HTTP auquel on a ajouté une couche sécurisée appelée TLS (Transport Layer Security). Celle-ci agit comme une clé de chiffrement qui crypte les données échangées entre le serveur et le client.

Passer par un protocole HTTPS permet de :

  • Sécuriser les données qui circulent entre un site web et un navigateur, de telle sorte que personne ne puisse s’en saisir et les utiliser à mauvais escient. Les informations échangées sont cryptées et la clé de chiffrement n’est connue que du serveur et du client.

Tout se passe comme si la conversation téléphonique se déroulait dans une langue unique, connue des interlocuteurs seuls, ce qui empêche l’espion à l’écoute d’y comprendre quoi que ce soit.

  • Garantir l’identité du site web consulté, de façon à être sûr qu’il est bien celui dont l’URL s’affiche. Ce point est essentiel, puisqu’il permet à l’internaute de s’assurer qu’il navigue bien sur le site de sa banque, par exemple, et non sur une plateforme créée de toutes pièces pour le tromper.

Comment distinguer un site en HTTPS d’un site en HTTP ?

C’est tout simple : un site sécurisé affiche, dans son URL, les lettres « HTTPS » au lieu du simple « HTTP ». Sur Chrome, ces lettres apparaissent en vert.

https-4

Autre preuve de sécurisation : la présence d’un cadenas (vert ou non) à proximité de l’URL. Il se trouve à gauche sur Chrome, Firefox ou Internet Explorer.

https-3

À noter qu’en cliquant sur le cadenas (ou sur une icône contenant  » i  » dans certains cas), vous pouvez accéder aux informations concernant le type de certificat utilisé pour la sécurisation du site.

Les certificats HTTPS

Le protocole HTTPS passe par un certificat SSL (Secure Socket Layer) qui permet de  » poser  » la couche TLS de sécurité. Ce certificat électronique s’applique au site pour sécuriser les échanges de données en assurant leur chiffrement à l’aide d’une clé de cryptage asymétrique. Un site protégé par un certificat SSL (ou TLS) affiche le fameux cadenas prouvant qu’il est sécurisé.

certificats-https

Pour cela, il faut d’abord obtenir ce certificat : c’est ce qui permet d’activer le protocole adéquat. On parle indifféremment de certificat SSL ou TLS, mais il faut savoir que le protocole SSL n’est plus d’actualité depuis qu’il a été remplacé par le TLS, une version plus sûre basée sur le même principe. L’expression  » certificat SSL  » est restée pour désigner l’ensemble des certificats de chiffrement activant le HTTPS.

Il existe plusieurs types de certificats SSL, plus ou moins sécurisés :

  • Le certificat SSL gratuit (type Let’s Encrypt)
  • Le certificat à validation étendue (Extended SSL)
  • Le certificat à validation de l’organisation (Organization SSL)
  • Le certificat à validation de domaine (Domain SSL)
  • Le certificat multi-domaine (WildCard)

Ces certificats sont délivrés par des organismes spécifiques, les Autorités de Certification (AC). Là encore, il en existe un certain nombre :

  • Symantec
  • GeoTrust
  • GlobalSign
  • Thawte
  • Comodo (lié à OVH)
  • RapidSSL
  • Digicert
  • AlphaSSL
  • TrustProvider

Le coût d’un certificat de chiffrement peut aller de zéro (gratuit) à plusieurs milliers d’euros. Le prix varie en fonction de la fiabilité du certificat, c’est-à-dire du niveau de vérification atteint avant qu’il soit délivré : cette vérification va du simple email envoyé au demandeur à une multitude de documents à fournir. Mais il varie également en fonction de l’AC choisi.

Pourquoi passer au HTTPS ?

Si vous vous posez la question de l’intérêt de passer votre site web au protocole HTTPS, voici non pas une, mais deux bonnes raisons de le faire.

http-https

D’une part, il y a la raison sécuritaire. Le HTTPS contribue à faire de la Toile un lieu plus sûr pour tout le monde, professionnels et internautes confondus, en offrant une protection contre les attaques dite de  » l’homme du milieu « . Malheureusement très en vogue, celle-ci a pour but d’intercepter les communications entre deux interlocuteurs numériques afin de collecter des données personnelles. Le tout sans se faire repérer. Ainsi, vos données bancaires ou vos identifiants sont captés par un pirate informatique qui pourra s’en servir de façon frauduleuse.

Le HTTPS est la meilleure méthode pour pallier ce défaut de sécurité. Il est donc crucial pour les professionnels proposant des sites web sur lesquels circulent des données, qu’il s’agisse de remplir un simple formulaire, de s’inscrire pour ouvrir un compte personnel, ou de réaliser un paiement pour un achat en inscrivant ses coordonnées de carte bancaire. Inutile de dire que les sites non protégés ne sont pas très populaires aux yeux des internautes, eux-mêmes de plus en plus soucieux de la protection de leurs données.

D’autre part, il y a la raison SEO. Chez Google, on milite pour faire du web un territoire plus sûr : il n’est donc plus question de limiter l’incitation au passage vers le HTTPS aux seules plateformes à risque (le protocole ayant été inventé, à la base, pour sécuriser les sites des banques). Dans un avenir proche, TOUS les sites web devront afficher fièrement le sigle HTTPS.

La preuve : non content de favoriser les plateformes en HTTPS depuis 2014 (voir l’annonce faite en ce sens), Google a l’intention de mettre progressivement en avant, sur Chrome, les sites qui ne sont pas sécurisés ! Autrement dit, un site est signalé aux internautes comme étant non-sécurisé. Ce qui impacte négativement la confiance des visiteurs.

Voilà donc deux bonnes raisons de passer au HTTPS. Mais attardons-nous un instant sur la seconde : l’impact sur le référencement naturel.

Quel est l’impact du HTTPS sur le SEO ?

Commençons par revoir la chronologie des événements :

  • En 2014, Google annonce qu’il favorise les sites ayant activé le protocole HTTPS à travers son algorithme de classement. L’amélioration du positionnement est très mineure.
  • En 2015, Google indique que le HTTPS joue le rôle d’arbitre en cas de confrontation entre deux sites similaires en réponse à une requête. Si deux sites sont quasiment identiques en tout (mots-clés travaillés, fraîcheur du contenu, vitesse d’affichage…), l’algorithme privilégie par défaut celui qui est le plus sécurisé.
  • Aujourd’hui, 40 % des résultats qui s’affichent en première page de Google sont en HTTPS (source). Le coup de boost est plus notable, mais cela n’explique pas tout : ces sites en Page 1 des SERPs sont aussi ceux qui appliquent d’autres bonnes pratiques SEO, en dehors de la seule sécurisation.

En somme, à ce jour, le passage au HTTPS n’agit pas comme un tremplin majeur en matière de SEO. Ce qui ne veut pas dire que les bénéfices ne soient pas intéressants, puisque l’obtention d’un bon certificat SSL peut avoir des impacts indirects sur le référencement naturel. Notamment :

  • En pesant sur le choix des internautes. Ceux-ci sont susceptibles de choisir un site en HTTPS plutôt qu’un autre en HTTP, surtout dans l’optique de réaliser un achat. Plus les sites seront signalés comme non-sécurisés, plus il deviendra important pour les sites marchands d’afficher haut et fort leur sécurisation HTTPS.
  • En jouant sur le Ranking Google. Imaginez : un internaute clique sur un lien dans les SERPs, se rend compte que le site n’est pas sécurisé, et revient en arrière pour en sélectionner un autre. Google perçoit ce revirement comme une marque d’insatisfaction, ce qui impactera le ranking du site en question.

Cela dit, il n’est pas impossible que le coup de pouce de Google en faveur des sites sécurisés soit plus notable à l’avenir.

Faut-il passer en HTTPS pour des raisons SEO ?

Concrètement, la réponse est non. Une migration de votre site vers le HTTPS en espérant un gain SEO pur n’est pas raisonnable. Le coup de boost est si faible qu’il faut une grosse loupe pour voir une quelconque différence. À tout le moins, une chose doit être claire : même si l’effet HTTPS existe, il reste loin, très loin derrière les critères les plus déterminants que sont les contenus, le référencement technique et les backlinks. Le SSL n’est donc clairement pas une manière de pistonner vos pages pour qu’elles grimpent dans les SERPs.

Mais il y a beaucoup d’autres raisons de le faire, comme nous l’avons vu plus haut. À la fois pour sécuriser les échanges avec les internautes et pour valoriser son image de marque. Cela concerne en priorité les sites marchands, mais pas seulement.

Demain, des alertes de sécurité seront envoyées par les navigateurs aux internautes dont les données ont fuité à cause d’une faille de sécurité sur un site en HTTP. Imaginez un instant ce que vos visiteurs penseraient de votre site web, si vous étiez concerné ?

Comment migrer votre site du HTTP vers le HTTPS ?

Sachez qu’un passage du HTTP au protocole HTTPS s’apparente à une migration de site. Concrètement, voici comment faire :

  • 1. Achetez (ou demandez) un certificat SSL et installez-le sur votre site web.
  • 2. Modifiez vos URL internes pour que l’ensemble de vos ressources soient servies en HTTPS.
  • 3. Mettez en place des redirections 301 des URL HTTP vers les URL HTTPS. Cela vous permet de conserver le SEO (popularité et trafic) de vos pages tout au long de la migration. Surtout, testez ensuite ces URL !
  • 4. Veillez à ce que vos URL canonical pointent vers vos pages HTTPS. Ainsi, vous aurez moins de soucis à cause des URL dupliqués.
  • 5. Vérifiez que vos pages HTTPS sont indexables.
  • 6. Activez le mécanisme HSTS (HTTP Strict Transport Security) pour informer le client que les interactions seront désormais réalisées à travers une connexion sécurisée.

Une fois la migration vers le HTTPS effective, vous devez penser aux ultimes vérifications :

  • Lancez un crawl pour vous assurer qu’il n’y a pas d’erreur.
  • Créez une nouvelle Search Console et suivez l’indexation des pages en HTTPS, en comparant avec l’ancienne version.
  • Vérifiez et corrigez les URL des liens qui pointent vers votre site, pour qu’ils soient tous en HTTPS.
  • Mettez à jour les plugins externes de votre CMS pour vous assurer de leur compatibilité avec le nouveau protocole.
  • Modifiez vos paramètres dans Google Analytics pour que la plateforme prenne en compte les pages en HTTPS, notamment dans le but de suivre l’évolution du trafic.
  • Récupérez vos indications d’interactions sociales (partages et likes) en suivant ces instructions.
  • Mesurez les temps de chargement de vos pages en HTTPS. La migration peut s’accompagner d’un ralentissement général, en raison des négociations supplémentaires entre le serveur et le client.

En cas de problème, les performances de votre site peuvent être améliorées grâce au protocole HTTP/2, une fois la migration en HTTPS terminée.

Quel type de certificat SSL choisir ?

La question se pose de savoir quel certificat choisir pour passer en HTTPS et sécuriser vos connexions. Mais la réponse dépend de la nature de votre site autant que de vos besoins en matière de sécurité… Pour un site lambda où aucune donnée personnelle n’est échangée, un certificat SSL gratuit suffit largement (type Let’s Encrypt). Pas besoin de plus.

Pour un site web d’entreprise, il est préférable d’opter pour un certificat à validation de domaine (DV) ou à validation d’organisation (OV). Ces certificats coûtent de quelques dizaines d’euros à quelques centaines d’euros par an. La différence entre les deux réside dans l’authentification : le DV ne permet pas d’identifier le demandeur du certificat, à l’inverse du OV qui est donc un peu plus sécurisé. Toutefois, sur ce point, vous devez vous mettre à la place de l’internaute : va-t-il cliquer sur votre certificat pour vérifier le champ d’authentification ? Avez-vous vraiment besoin de cette protection supplémentaire ?

Pour un site e-commerce, les choses sont différentes : vous devez assurer la sécurité de vos clients tout au long du tunnel d’achat. Ici, c’est le certificat à validation étendue (EV) qui s’avère indispensable. Il affiche une barre verte dans le navigateur, ce qui permet aux internautes de savoir immédiatement qu’ils surfent sur un site bénéficiant de la protection optimale. C’est du tout bon pour votre image de marque.

Quant aux certificats multi-domaine, ils s’appliquent à des sites qui ont besoin de certifier plusieurs noms de domaine.

En conclusion

La migration de votre site web vers le HTTPS n’est pas une nécessité absolue, mais plutôt une mesure de confort et de confiance. Installer un certificat SSL sur votre serveur ne va pas booster votre SEO ni transformer votre site web en une forteresse inviolable (le SSL chiffre la connexion sans sécuriser le serveur ou le navigateur en tant que tels). Mais cela permettra à vos visiteurs de se sentir en sécurité lorsqu’ils vous confieront des données personnelles, qu’il s’agisse d’identifiants de connexion ou de coordonnées bancaires. À noter que 40% des sites en première page Google sont en HTTPS.

https-2

Un conseil : quelle que soit la solution choisie, le certificat désiré et l’Autorité de Certification sélectionnée, ne vous lancez pas dans une migration sans une réflexion préalable. Surtout, prenez votre temps !

Si vous avez aimé cet article, vous pouvez laisser un commentaire ou nous suivre sur Facebook ou nous suivre sur Twitter.

Cet article a été posté dans Référencement naturel et taggué Étiquettes : . Ajoutez le lien permanent à vos favoris.

Vous souhaitez en savoir plus sur la mise en place d’une stratégie SEO ?

N'hésitez pas à nous contacter dès à présent !

4 réponses pour "HTTPS : qu’est-ce que c’est et comment migrer son site web ?"

  • Loic dit :

    Super article bien complet. Pour passer en SSL, le plugin wordpress really simple ssl fait bien le taf, je trouve 🙂

  • Florent dit :

    Je trouve qu’on n’a plus aucune excuse à ne pas passer au HTTPS aujourd’hui.
    On n’a ni l’excuse du prix puisque l’on peut trouver des certificats gratuits, ni l’excuse de la complexité car souvent ça s’obtient en quelques clics.
    Et côté référencement on sait que ça ne fait pas de mal non plus, donc si vous n’êtes pas passé à l’action, foncez !

  • Stéphane dit :

    Merci pour cet article très complet… Pour passer très simplement un site WordPress en https je vous recommande l’extension SSL Insecure Content Fixer !!

  • Laurent dit :

    Comme d’autres ici, je recommande le plugin WordPress Simple SSL. Cependant, je ne l’ai pas testé sur des domaines anciens comportant beaucoup de pages, quelqu’un a t il déjà tenté l’expérience ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *