Depuis quelques années, on entend parler de la généralisation du protocole HTTPS à l’ensemble des sites Internet. Jusqu’alors, le protocole https était réservé aux plateformes de paiement sécurisé. Et aux sites traitant des données ultra confidentielles : sites marchands, sites de banques, du Gouvernement, etc. Aujourd’hui, le https vise à s’étendre de manière universelle et à remplacer le http. Mais quelle est la définition du https ? Pourquoi passer en https ? Comment effectuer une migration et surtout comment réussir sa migration https, quelle est la check-list https ? Et enfin, quel impact aura la migration https sur le référencement SEO ?

Définition du protocole http en version simplissime

HTTP est l’acronyme de HyperText Transfer Protocol, en Français Protocole de Transfert HyperTexte. C’est un protocole de communication client/serveur développé pour le Web. C’est à dire un protocole de communication entre les ordinateurs des internautes et les serveurs qui hébergent les sites web.

Le protocole https c’est quoi exactement, hein ?

HTTPS est l’acronyme de HyperText Transfer Protocol Secure, en Français Protocole de Transfert HyperTexte Sécurisé. Le protocole https c’est l’http en version sécurisée (“s” pour sécurisé). On rajoute simplement un certificat TLS (Transport Layer Security, sécurité de la couche de transport en Français) ou SSL (Secure Sockets Layer) qui va chiffrer et donc protéger les données qui transitent entre les “clients” et les serveurs. Lorsqu’un visiteur arrive sur un site web, son ordinateur “client” vérifie l’identité de ce site. Votre site Internet sera donc sécurisé, si vous installez un certificat de chiffrement des données. Dans la pratique, cela signifie que l’information que votre site transmettra à l’internaute sera chiffrée. Ce chiffrement empêchera quiconque d’intercepter l’information qui transite de votre serveur web à l’ordinateur du visiteur.

Quelle est la différence entre http et https ?

La différence entre http et https est donc l’utilisation d’un chiffrement des données pour rendre un site Internet plus sûr à utiliser. Cette sécurisation visait plutôt les sites e-commerce car pour acheter en ligne, vous êtes obligés de communiquer vos données personnelles. Si vos nom et prénom ne relevaient pas d’un caractère strictement confidentiel, il n’en n’est pas de même pour votre adresse, ou votre numéro de carte bancaire.

Avec un certificat SSL, les données sensibles transmises sur des sites Internet sont à l’abri des malveillances.

Comment savoir si un site est sécurisé en mode Fort Knox ?

Ou comment mettre https en vert ? Lorsqu’un site Internet est sécurisé, son url comprend un “s” après http (comme ici : https://www.verynet.fr). De plus, un petit cadenas vert s’affiche à gauche de la barre d’url, indiquant que le site est totalement sécurisé. Parfois, un cadenas noir apparaît, ce qui indique que le site n’est que partiellement sécurisé.

Comment savoir si un paiement en ligne est sécurisé ?

Et éviter de vous faire subtiliser votre N° de CB au 1er achat ? De la même manière, il suffit donc de regarder si le protocole http est suivi du “s” et si le petit cadenas dans la barre d’url est bien au vert.

Pourquoi passer en https ?

1/ Pour la sécurité des données, et oui !

Passer de http en https est avant tout destiné à sécuriser les transferts de données personnelles entre l’internaute et le site. Si vous voulez sécuriser les informations sur vos abonnés et clients, il faut impérativement migrer vers le https.

2/ Pour rassurer vos clients les internautes

Votre site Internet sera ainsi rassurant pour l’utilisateur, il sera davantage en confiance. Lui garantissant que ses données sont en de bonnes mains.

3/ Pour améliorer la sécurité du web car c’est votre mission sur terre

Dans son navigateur Chrome, Google affiche, depuis 2017, une mention “Non sécurisé” devant la barre d’url d’un site qui n’utilise pas de certificat SSL. Marquant ainsi sa volonté de sécuriser toutes les transactions sur le web et rendre Internet plus sûr.

4/ Pour ne pas pénaliser votre SEO en lui tirant une balle dans le pied

Imaginer que Google commence par afficher un message dans l’url, puis met des pénalités aux sites Internet non-https (ou des bonus aux sites https), il n’y a qu’un pas. En effet, il sera très facile pour le géant américain, lors d’une prochaine mouture de l’algorithme de son moteur de recherche, de pénaliser les sites http au profit des sites https. C’est à dire de favoriser un résultat de recherche provenant d’un site en https, plutôt que celui d’un site en http.

A ce propos, Google a annoncé en février 2018, qu’il afficherait la mention “Non sécurisé” dès juillet 2018. A vos migrations !

Non sécurisé © Google

Comment migrer son site en https ? Comment réussir sa migration ?

En préambule, notez qu’il ne faut plus installer le protocole https sur certaines pages uniquement (page de paiement par exemple). Il vaut mieux l’installer sur l’ensemble du site Internet (sur toutes les pages). Voici donc comment mettre son site en https, et juste après, je récapitulerais l’ensemble dans une check-list migration https.

Dans le titre de ce paragraphe j’ai utilisé le terme “migrer” car il s’agit d’une véritable migration https. Il ne suffit pas d’installer un certificat de sécurité et basta. Après l’installation du TLS ou SSL, vous devez effectuer un ensemble d’actions de manière à ce que votre site soit exactement comme l’ancien. Mais avec https à la place de http. Cela équivaut presque à un changement de nom de domaine car vous passez de http://www.votredomaine.fr à https://www.votredomaine.fr.

Check-list https : la migration https en 8 étapes

1/ Choisir le certificat TLS SSL : celui dont vous avez besoin

Il existe 3 niveaux de sécurisation SSL.

1. Certificat SSL DV

   Le premier avec un certificat simple, de type DV à Validation de Domaine (“Domain Validation”). On en trouve des payants et des gratuits.

2. Certificat SSL OV

   Le second de type OV à Validation de l’Organisation n’existe qu’en version payante. Il sécurise au niveau intermédiaire en authentifiant l’éditeur et les internautes.

3. Certificat SSL EV

   Le troisième de type EV à Validation Étendue (“Extended Validation”) apporte une sécurisation plus forte en contrepartie d’un prix encore plus élevé (mais incluant des garanties étendues).

A noter aussi que les deuxième et troisième certificats sont beaucoup plus contraignants à obtenir que le premier. Ci-dessous, les certificats de Trainline et OVH : notez que l’identification de l’Organisation est clairement précisée.

2/ Installer le certificat SSL sur votre site Internet

Installer un certificat SSL de type DV “Domain validation” est assez simple. Il est peut-être fourni par votre hébergeur web. C’est le cas d’OVH avec SSL DV Let’s Encrypt gratuit et préinstallés qu’il vous suffit d’activer pour le nom de domaine de votre site. La majorité des sites Internet se contentera du premier certificat simple. Pour des applications spécifiques, contactez un expert pour souscrire le second ou troisième niveau de sécurité.

3/ Faire des redirections permanentes (301) de http vers https

Mettre en place https sur son site impose de faire des redirections de l'”ancien” site en http vers le “nouveau” en https : http > https. Ceci évitera de vous faire perdre votre référencement SEO et garantira qu’un backlink vers un quelconque contenu de votre site en http soit bien redirigé vers le même contenu dont l’url commence désormais par https. Et de manière transparente pour l’utilisateur. La redirection 301 permettra aussi d’éviter que les moteurs de recherche considèrent que votre site publie du contenu dupliqué.

Cela correspond sensiblement au même travail à faire lorsque vous décidez d’afficher votre site par défaut avec ou sans les “www”. Les redirections 301 globales se font en modifiant via FTP les paramètres contenus dans le fichier .htaccess situé à la racine de votre site Internet. Vu qu’elles sont permanentes et s’adressent à tout le site, vous ne pouvez pas les gérer avec un module externe. Sauf si votre site Internet ne comporte que quelques dizaines de pages. Dans ce cas, vous pouvez utiliser un plugin et enregistrer des redirections à la page en les ayant préalablement et exhaustivement listées dans un fichier Excel par exemple (cela vous aidera à réécrire à la volée les url sécurisées).

4/ Modifier l’url des liens internes et des images

La partie la plus touchy et la plus ardue à opérer.

a- Vous utilisez un CMS qui fonctionne avec des URLs relatives ?

Ce sont des URLs qui ne se réfèrent pas aux chemins entiers, mais aux chemins relatifs. Par exemple pour arriver sur la page de ce blog, ce système utiliserait cette url : /blog/ ou ../blog/. Il s’agit de l’url complète sans le http(s), ni le sous domaine, ni le domaine, ni l’extension. Le système part du principe que toutes les URLs commencent par https://www.verynet.fr et simplifie donc les choses en n’indiquant dans l’URL que ce qui vient après ce tronc commun. Dans le cas des URL relatives, c’est très simple, il n’y a rien à faire, juste vérifier 😉

b- Vous utilisez un système qui fonctionne avec des URLs absolues ?

Ce sont des URLs qui se réfèrent aux chemins entiers. Par exemple pour arriver sur la page de ce blog, ce système utiliserait cette url complète : https://www.verynet.fr/blog/. Dans le cas des URL absolues, c’est plus compliqué. Pour un site qui n’a pas beaucoup de pages, il est possible de modifier les URLs “à la main”. En revanche, si votre site contient autant de page que “Les misérables”, il faut utiliser un script capable de modifier les champs de la base de données. Et appliquer ainsi automatiquement les modifications à l’ensemble du site. Si vous avez besoin d’un coup de main, vous pouvez me contacter, je vous aiderais volontiers 😉

5/ Modifier le fichier robots.txt

Par exemple, si vous avez un site WordPress avec un plugin qui gère le SEO, votre site possède à priori un plan de site dynamique, qui se trouve en général à la racine www.votredomaine.fr/sitemap.xml. Dans le fichier robots.txt, qui se trouve lui aussi à la racine www.votredomaine.fr/robots.txt, une des bonnes pratiques est d’y placer l’adresse de ce sitemap. Vous devez donc vérifier que votre fichier robots.txt est présent, et qu’il contient l’url du sitemap. Et dans l’affirmative, remplacer cette url en http par celle en https.

6/ Déclarer votre flamme site à Google

La migration https correspond à un changement d’url. Vous devez donc re-déclarer votre (nouveau) site web (en https) à Google. Cela se gère dans la search console de votre compte Google : il faut créer un nouveau site en sélectionnant “https://” au lieu de “http://” dans le menu. Si vous avez un compte analytics, il vous suffit de remplacer “http://” par “https://” et le tour est joué, vous conserverez vos statistiques de fréquentation.

7/ Déclarer le sitemap à Google (et à Bing)

Tout comme lorsque vous créez un nouveau site web, vous devez déclarer le (nouveau) sitemap avec les nouvelles url commençant par https, dans votre search console Google et dans les outils pour webmaster si vous utilisez ceux de Bing. A noter que si votre ancien sitemap sur http contient les nouvelles redirections 301 vers https, il peut être malin de soumettre sa mise à jour dans l’ancienne propriété afin d’en informer Google de manière pro active.

8/ Tester votre site en https

Le dernier élément de cette check-list https est le test. En effet, il faut tester, tester et re-tester pour vérifier que tout fonctionne et que le cadenas vert s’affiche et permanence et pas partiellement. L’hébergeur 1&1 propose un testeur de certificat SSL que vous pouvez utiliser facilement.

Pour aller plus loin dans les tests, Qualys SSL Labs propose un outil de test plus poussé, côté serveur et côté navigateur.

Quel sera l’impact d’une migration https sur le SEO Google ?

Le point le plus important est d’arriver à se mobiliser pour faire l’ensemble de la migration dans la foulée. En quelques heures pour ne pas perdre de trafic. Il doit s’écouler un minimum de temps entre le début et la fin de la migration https, de manière à ne pas pénaliser la position de vos pages web dans les moteurs de recherche. Une page qui change d’url et qui n’est pas redirigée génèrera une erreur 404 qui pénalisera votre SEO. Tout comme l’appel d’une image, d’un style ou d’une fonction : l’absence ou l’erreur de redirection impliquera un problème de fonctionnement ou d’affichage. Et sur le fond, voir ci-dessus “Pourquoi passer en https ?” partie 4/.

Alors, en conclusion, migration https oui ou non ?

Oui définitivement. Google dans sa page d’aide recommande d’adopter le protocole https : “Nous vous encourageons à adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web en toute sécurité, quel que soit son contenu.” Et annonce l’apparition de la mention “Non sécurisé” à compter de juillet 2018 si votre site ne l’est pas.

Mais ce n’est pas une opération anodine pour les particuliers ou les petites structures. Car elles n’ont pas forcément les moyens de s’adresser à un expert si elles n’ont pas les ressources humaines ou financières pour le faire elles-mêmes. Pour la création d’un nouveau site, la question ne se pose pas. Il faut le monter en https dès sa mise en ligne en utilisant des certificats SSL gratuits pour démarrer. En cas de site existant, il faut peser le poids financier de la migration https par rapport aux enjeux SEO notamment.

J’espère que cet article vous aura apporté les réponses que vous recherchiez. Si vous avez une question, une suggestion ou avis, ou simplement pour partager, vous aussi, votre expérience sur la migration https, vous pouvez laisser un commentaire ci-dessous. Je vous répondrais volontiers.