Passer au HTTPS en 5 étapes

En 2014, le cryptage HTTPS est devenu l’un des facteurs de classement de Google et Chrome a marqué tous les sites Web HTTP comme non sécurisés depuis juillet 2018. Mozilla, Safari et même Microsoft Edge ont suivi l’exemple, donc aujourd’hui, chaque fois que vous accédez à un site Web non HTTPS via l’un des navigateurs populaires, vous obtenez l’avertissement correspondant. 

Peu importe si vous manipulez des informations sensibles telles que des mots de passe ou des détails de carte bancaire. Si un site Web fonctionne sur HTTP, il est toujours marqué comme non sécurisé. Et cet avis n’aide certainement pas à renforcer la confiance des utilisateurs.

D’après ce que je vois lorsque je navigue sur le Web, l’approche bâton et carotte de Google s’est avérée efficace et la plupart des sites Web sont déjà passés au HTTPS. Mais si vous n’êtes pas encore dans le train HTTPS, voici une autre raison de monter à bord dès que possible.

Si vous stockez des données utilisateur sensibles et que votre site Web sert des clients de l’UE, l’exploitation d’un site Web sur HTTP peut vous attirer des ennuis juridiques. Selon le RGPD entré en vigueur en mai 2018, les sites Web doivent garantir que toutes les données personnelles des utilisateurs sont traitées en toute sécurité. Cela signifie qu’en cas de violation de données, vous serez jugé responsable et devrez payer une lourde amende.

Pour protéger à la fois les visiteurs de votre site Web et vous-même, vous devrez passer au HTTPS. Et nous vous guiderons tout au long du processus pour vous aider à éviter les pièges possibles en cours de route. 

Quelle est la différence entre HTTP et HTTPS

HTTP signifie Hypertext Transport Protocol. Depuis les débuts d’Internet, il est utilisé pour transmettre des données entre un navigateur et un serveur stockant les fichiers d’un site Web. L’un des principaux inconvénients de HTTP est que les informations sont transmises en texte clair et peuvent être interceptées par n’importe qui au sein du réseau, et finalement modifiées ou volées.

Ce problème est résolu à l’aide du cryptage. Lorsque les données sont encodées, elles deviennent illisibles et donc même si des malfaiteurs mettent la main dessus, ils ne pourront pas utiliser les informations. C’est en cela que HTTPS est différent de HTTP : tous les messages sont transmis via un canal de communication crypté. Pour cette raison, la lettre « S », qui signifie « Secure », a été ajoutée au nom du protocole.

Ci-dessous, vous trouverez un guide en cinq étapes pour déplacer votre site Web de HTTP à HTTPS. 

Étape 1. Choisissez un certificat SSL

Pour permettre à votre site Web d’établir une connexion cryptée, vous devez d’abord obtenir un certificat TLS, mieux connu sous le nom de certificat SSL. Le fait est qu’après une mise à niveau majeure, le certificat a été renommé en TLS, mais l’ancien nom est resté. Le certificat est un petit fichier qui contient une clé de cryptage ainsi que des informations vérifiées sur le propriétaire du site Web. Selon la quantité de données que vous fournissez sur la personne/l’entreprise propriétaire d’un site Web, vous pouvez obtenir l’un des trois types de certificats.

DV (Domain Validation) est le certificat le plus basique. Comme son nom l’indique, il vérifie uniquement qu’une personne demandant un certificat possède un domaine. Vous pouvez obtenir un certificat DV en un rien de temps et cela ne vous ruinera pas.

Le certificat OV (validation d’organisation) vérifie non seulement la propriété du domaine, mais également l’organisation juridique derrière un site Web. La vérification des dossiers commerciaux d’une entreprise prend du temps, vous devrez donc attendre plus longtemps pour obtenir ce type de certificat. De plus, cela coûte plus cher.

EV (Extended Validation) est une certification de haut niveau. Pour délivrer un tel certificat, l’autorité de certification vérifiera minutieusement les dossiers gouvernementaux et les listes d’entreprises indépendantes d’une entreprise, vérifiera l’identité de la personne demandant le certificat et organisera enfin un appel téléphonique avec l’émetteur. Certes, les certificats EV sont les plus chers et prennent du temps à être délivrés.

Le certificat EV est un must pour les organisations gouvernementales, les banques, les grands sites de commerce électronique. Si ce n’est pas votre cas, vous serez d’accord avec le certificat DV standard car les visiteurs de votre site Web ne remarqueront de toute façon pas la différence.

À l’époque, les sites Web qui obtenaient un certificat EV affichaient le nom de leur entreprise dans la barre d’adresse à côté du cadenas. Il a été surligné en vert pour indiquer clairement à première vue que le site Web était sécurisé.

Maintenant, pour vérifier si une entreprise a subi une validation étendue, vous devrez cliquer sur le signe du cadenas et rechercher le nom de l’entreprise dans la section Détails. Et la couleur verte rassurante a maintenant également disparu.

En plus du niveau de validation, les certificats SSL diffèrent par le nombre de domaines et de sous-domaines qu’ils couvrent. 

• Le certificat DV de base ne couvre qu’un domaine sans sous-domaines ;
• Si vous avez des sous-domaines sur votre site Web (admin.example.com, blog.example.com, etc.), vous devrez obtenir un certificat SSL générique ;
• Pour protéger plusieurs domaines, vous pouvez obtenir un certificat multi-domaines.

En résumé, lorsque vous choisissez le type de certificat SSL qui convient le mieux à votre site Web, faites attention au niveau de validation que vous souhaitez obtenir et au nombre de domaines (y compris les sous-domaines) que vous devez couvrir. 

Remarque importante : avant de passer à l’étape suivante, vérifiez si vous pourrez installer un certificat SSL sur votre serveur d’hébergement. Certains fournisseurs d’hébergement ne prennent toujours pas en charge HTTPS. Si vous hébergez votre site Web avec un CDN, assurez-vous qu’il est également compatible HTTPS.

Étape 2. Obtenez et installez un certificat SSL

Option 1 : Acheter auprès de votre hébergeur

Une fois que vous avez décidé du type de certificat SSL dont vous avez besoin, vérifiez ce que votre fournisseur d’hébergement a à offrir. Si le prix est raisonnable, ce serait votre meilleur choix car vous ferez les choses plus rapidement et plus facilement. 

La procédure standard d’obtention et d’installation d’un certificat SSL est la suivante : 

• Vous choisissez le type de certificat qui vous convient le mieux ;
• Vous générez une clé de chiffrement privée et une demande de signature de certificat (CSR) auprès de votre hébergeur ;
• Vous commandez un certificat SSL auprès de votre fournisseur sélectionné. À ce stade, vous devrez télécharger le fichier CSR que vous avez généré précédemment ;
• Une fois la demande de signature de certificat envoyée, vous devrez passer par la procédure de vérification qui variera selon le type de certificat (DV, OV, EV) ;
• Une fois la validation terminée, vous pourrez télécharger votre certificat SSL depuis le site Web de votre fournisseur et le télécharger sur votre serveur d’hébergement.  

Comme vous pouvez le voir, les choses se compliquent un peu car vous devez obtenir des fichiers auprès d’un fournisseur d’hébergement, puis les télécharger vers un fournisseur de certificats SSL, et vice versa. Si vous achetez un certificat SSL directement auprès de votre service d’hébergement, de tels échanges de fichiers ne seraient pas nécessaires et vous devriez pouvoir rayer quelques points de la liste. Avec certains fournisseurs, il vous suffit de cliquer sur quelques boutons et tout se configurera automatiquement. Dans tous les cas, contactez votre hébergeur pour savoir comment il peut vous aider à passer au HTTPS. Vérifiez également si, par hasard, votre plan d’hébergement comprend un certificat SSL gratuit – certains fournisseurs offrent un tel avantage. 

Option 2 : Acheter auprès de l’autorité de certification ou dans un magasin spécialisé

Si, pour une raison quelconque, vous ne pouvez pas obtenir de certificat SSL auprès de votre hébergeur, il est possible d’en acheter un directement auprès d’une société émettant de tels certificats (Comodo, Symantec, Geotrust). En outre, il existe de nombreux magasins en ligne spécialisés vendant des certificats SSL.

Option 3 : Obtenez-le gratuitement

Grâce à l’initiative Let’s Encrypt, il existe également une option pour obtenir un certificat SSL tout à fait gratuitement. Les certificats qu’ils délivrent fonctionnent de la même manière que les certificats payants avec une seule différence : ils ne sont valables que trois mois alors que les certificats SSL classiques durent un an. Par conséquent, vous devrez constamment renouveler votre certificat Let’s Encrypt. En outre, ils ne fournissent que la certification DV.

Une fois que vous aurez installé votre certificat SSL, vous devrez vous assurer qu’il fonctionne correctement. Vous pouvez utiliser SSL Server Test à cette fin. Il vérifiera si le certificat est valide, quel protocole de cryptage est utilisé, la force du chiffrement et calculera la note globale de votre site Web. Le score le plus élevé possible est A+, et si vous obtenez une note inférieure, le service vous montrera pourquoi. 

Étape 3. Forcer l’utilisation de HTTPS

Une fois votre certificat SSL installé avec succès, votre site Web deviendra accessible à la fois via HTTP et HTTPS. Le problème est qu’aux yeux des moteurs de recherche, ce sont deux sites Web distincts qui peuvent rivaliser dans le SERP. Pour que les utilisateurs et les moteurs de recherche accèdent à votre site Web via HTTPS, vous devrez configurer une redirection. Au fil du temps, à mesure que les pages HTTPS de votre site Web sont indexées, leur version HTTP disparaîtra des SERP et le jus de lien ira vers la version HTTPS de votre site Web.

Maintenant, il y a une chose que vous devez faire avant de configurer des redirections : remplacer toutes les URL absolues de votre site Web par des URL relatives. 

Implémentation d’URL relatives

Tout d’abord, définissons ce que sont les URL relatives et absolues. Une URL absolue contient l’adresse complète d’une page, y compris le protocole de connexion et le nom de domaine. La plupart des URL que vous voyez sur Internet sont absolues (par exemple https://seranking.com/blog/). Les URL relatives, quant à elles, sont utilisées pour les liens internes. Ils ne précisent pas le protocole de connexion et peuvent contenir ou non le nom de domaine (par exemple seranking.com/blog/ ou simplement /blog).

Si un site Web utilise des liens relatifs, le navigateur lui-même ajoute le protocole et le nom de domaine manquants à l’adresse de la page Web. Il suppose qu’un lien HTTPS relatif sur une page Web doit pointer vers une autre page du même site Web qui s’exécute également sur HTTPS. 

Vous devrez remplacer TOUS les liens absolus suivants par des liens relatifs: liens internes, chemins vers la feuille de style, scripts, images, vidéo. Sinon, vous serez confronté à un problème de contenu mixte. Cela se produit lorsque certains éléments de page se chargent via la connexion HTTPS sécurisée et d’autres via le protocole HTTP non sécurisé.

Source: https://developers.google.com/

Ces pages Web sont vulnérables aux attaques de l‘homme du milieu, car les éléments se chargeant via HTTP permettent aux malfaiteurs de prendre le contrôle de l’ensemble de la page. Avoir un contenu mixte sur votre site Web, c’est comme protéger votre maison contre le vol avec une serrure de porte fiable tout en oubliant de fermer la fenêtre. Naturellement, les navigateurs marquent les pages avec un contenu mixte comme non sécurisées, vous voulez donc vous assurer que toutes les ressources de votre site Web se chargent via HTTPS.

Ainsi, vous pouvez soit passer des heures à réparer les liens internes et à réécrire les chemins de fichiers vers des images, des vidéos, des scripts, etc. après avoir activé la redirection. Ou implémentez des liens relatifs et étouffez le problème dans l’œuf. 

Si vous avez un grand site Web, vous ne pourrez pas implémenter des URL relatives du jour au lendemain. Pensez donc à remplacer vos liens par des liens relatifs au préalable. De cette façon, vous pourrez configurer des redirections peu de temps après avoir installé un certificat SSL avant que les versions HTTP et HTTPS de votre site Web ne soient indexées et commencent à rivaliser dans les SERP. 

Mettre en place des redirections 301

Pour rediriger les utilisateurs et les robots de recherche vers votre site Web HTTPS, utilisez la redirection 301 côté serveur. Il indique aux moteurs de recherche que la page a été définitivement déplacée vers une nouvelle adresse. La procédure d’installation varie en fonction du type de votre serveur Web. Si votre site est hébergé sur un serveur sous Apache, ce qui serait le cas de nombreux hébergeurs, il vous suffit d’ajouter quelques lignes de code à votre fichier .htaccess.

Vous pouvez trouver le fichier dans le dossier racine de votre site Web, mais gardez à l’esprit qu’il peut être masqué. Dans ce cas, vous devrez aller dans les paramètres du panneau d’administration et cocher la case “Afficher le fichier caché”. Assurez-vous de copier le fichier avant de le modifier pour avoir une sauvegarde en cas de problème. Si vous n’avez pas localisé le fichier, cela signifie que votre site Web n’en a pas et que vous devrez le créer vous-même à l’aide d’un éditeur de texte standard.

Ajoutez la ligne de code suivante à votre fichier .htaccess, en remplaçant https://example.com par l’adresse de votre site Web:

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule .* https://example.com/%{REQUEST_URI} [R=301,L]

Pour vérifier si cela a fonctionné pour vous, tapez l’adresse HTTP de votre site Web dans la barre d’adresse du navigateur – vous devriez être redirigé vers la version HTTPS. 

Étape 4. Mettez à jour votre console de recherche Google

Même après avoir configuré la redirection, vos pages HTTP seront toujours classées sur Google. Pour les remplacer par des versions HTTPS, ces dernières doivent être explorées et indexées. Vous pouvez accélérer le processus en téléchargeant une version mise à jour de votre plan de site XML sur Google Search Console. Avant cela, vous devrez peut-être ajouter votre site Web HTTPS à GSC. Ou il sera déjà là, cela dépend de la méthode que vous avez utilisée pour vérifier la propriété de votre site Web.

Le fait est qu’en février 2019, Google a lancé les propriétés de domaine pour permettre aux webmasters d’analyser les données à l’échelle du domaine. La propriété de domaine est une URL sans protocole (HTTP/HTTPS), préfixe www ou autres sous-domaines (m, support, aide, etc.) et chemins (es, fr). Ainsi, si vous ajoutez votresite.com à GSC, vous obtiendrez des données combinées sur différentes versions de l’adresse de votre site Web, notamment votresite.com, www.votresite.com, m.votresite.com, www.m.votresite.com, help. votresite.com, votresite.com.es et des dizaines d’autres variantes possibles avec les protocoles HTTP et HTTPS. La seule façon de créer une propriété de domaine est de passer par la vérification des enregistrements DNS.

Désormais, si vous avez configuré une propriété de domaine dans votre GSC, il commencera automatiquement à collecter des données sur les URL HTTPS. Mais si votre site Web a un statut de propriété de préfixe d’URL, vous devrez ajouter manuellement la variante HTTPS de votre site Web. Encore une fois, vous avez le choix de l’ajouter en tant que propriété de préfixe d’URL ou de vérifier votre propriété via DNS et de créer une propriété de domaine pour voir les données agrégées.

N’oubliez pas que les propriétés de domaine ne sont disponibles que dans la nouvelle console de recherche Google, qui manque de certains outils établis de longue date, notamment l’outil Disavow. Si vous ne pouvez pas vous passer de l’outil Disavow, vous n’avez pas d’autre choix que de vous en tenir à l’ancienne Search Console, d’ajouter manuellement la propriété HTTPS et de lui soumettre à nouveau votre fichier Disavow.

Étape 5. Rechercher et corriger les erreurs

Étant donné que nous avons implémenté des URL relatives sur le site Web avant de forcer HTTPS, aucune erreur technique critique ne devrait survenir après la configuration des redirections. Néanmoins, une bonne pratique serait d’effectuer un audit du site Web et de s’assurer que tout fonctionne correctement.

Faites attention aux problèmes suivants : 

• Les pages existantes doivent renvoyer le code d’état 200, inexistant—404 ;
• Les pages HTTPS ne doivent pas être bloquées par le fichier robots.txt ou la balise meta noindex, sinon Google ne pourra pas les explorer et les indexer ;
• les balises rel=canonical et rel=alternate, ainsi que l’attribut hreflang, doivent pointer vers les pages HTTPS ;
• Les pages ne doivent pas renvoyer d’erreurs de contenu mixte, ce qui signifie que chaque élément de page doit se charger via le protocole HTTPS.

Vous pouvez facilement détecter tous ces problèmes avec l’outil d’audit de site Web de SE Ranking. Dans la section Analyse de page, vous trouverez les pages avec la réponse 404, les pages bloquées par le fichier robots.txt ou la balise meta noindex, ainsi que les pages avec les balises rel=canonical et rel=alternate et l’attribut hreflang. Pour voir la liste complète de chaque groupe de pages, cliquez sur l’icône Lien. Vous pouvez ensuite exporter la liste pour une analyse plus approfondie. 

Pour vérifier si vous avez des problèmes de contenu mixte à traiter, accédez à l’onglet Pages explorées et recherchez la colonne correspondante. Vous trouverez ici des informations sur toutes les pages de votre site Web, ce qui est vraiment pratique car la plupart des services dédiés vous proposent de vérifier manuellement les URL une par une. 

L’outil d’audit de site Web est disponible dans le cadre de l’essai gratuit, il vous suffit donc de vous inscrire au SE Ranking. Une fois votre premier projet créé, l’audit démarre automatiquement. Vous aurez 14 jours pour tester tous les autres outils proposés par SE Ranking, y compris notre Keyword Rank Tracker.

Gardez un œil sur votre classement

Outre les difficultés techniques, beaucoup doutent de passer au HTTPS car ils craignent de perdre du trafic et des classements.

Il est vrai que vous pouvez voir des fluctuations de classement au cours des deux premières semaines. Mais si vous avez bien pris soin de tous les détails techniques lors du passage au HTTPS, vous ne devriez pas subir de chutes de classement drastiques. La redirection 301 transmet jusqu’à 99% du jus de lien, donc après que toutes vos pages Web HTTP soient sorties de l’index, vous devriez retrouver le classement et le trafic que vous aviez auparavant. En outre, comme vous vous en souvenez, HTTPS est un facteur de classement. C’est mineur, mais vous faites peut-être partie des sites Web chanceux qui connaissent une augmentation de leur classement après être passés au HTTPS.

Dans tous les cas, vous voudrez garder un œil sur les fluctuations de votre classement après être passé au HTTPS. Ensuite, en cas de baisse de classement, vous serez en mesure de déterminer ce qui l’a peut-être causé et de résoudre le problème dès que possible.

Comme cela a été mentionné, SE Ranking dispose également d’un outil pratique et fiable pour la surveillance du classement. Suivi du classement vous permet de garder une trace de tous vos mots-clés cibles dans les emplacements sélectionnés. 

Le passage au HTTPS est inévitable

Passer au HTTPS peut sembler une tâche ardue. Vous devez garder à l’esprit des dizaines de détails et tout gâcher n’est pas une option car votre classement et votre trafic sont en jeu. Et pourtant, vous ne pouvez pas vous permettre de vous en tenir à HTTP car vous compromettriez la sécurité de vos utilisateurs et perdriez leur confiance. En outre, dans un avenir proche, les moteurs de recherche pourraient également cesser de tolérer les sites Web fonctionnant sur HTTP.

En 2018, Google a affirmé qu’à long terme, il souhaitait supprimer les indicateurs sécurisés de Chrome et ne marquer que les sites Web non sécurisés. L’objectif final est de transformer Internet en un lieu où l’accès de chaque utilisateur du site Web est sécurisé par défaut. On ne sait toujours pas comment Google prévoit d’utiliser pour encourager davantage les sites Web à passer au HTTPS. Mais il est fort probable qu’ils choisiront la méthode stick et le protocole HTTP deviendra un facteur de classement négatif. Dans tous les cas, mon conseil est de ne pas rester sur la clôture et de passer au HTTPS sans plus tarder. Et notre guide vous aidera à le faire correctement.