21 mai 2020 | 17 min de lecture

En 2014, le cryptage HTTPS est devenu l'un des facteurs de classement de Google et Chrome marque tous les sites Web HTTP comme non sécurisés depuis juillet 2018. Mozilla, Safari et même Microsoft Edge ont suivi l'exemple, donc aujourd'hui, chaque fois que vous accédez à un site Web non HTTPS via l'un des navigateurs populaires, vous obtenez l'avertissement correspondant.

Connexion non sécurisée dans Chrome

Peu importe que vous gériez des informations sensibles telles que les mots de passe ou les détails d'une carte bancaire. Si un site Web fonctionne sur HTTP, il est toujours marqué comme non sécurisé. Et cet avis n'aide certainement pas à renforcer la confiance des utilisateurs.

D'après ce que je vois lorsque je navigue sur le Web, l'approche bâton-et-carotte de Google s'est avérée efficace et la plupart des sites Web sont déjà passés au HTTPS. Mais si vous n'êtes pas encore dans le train HTTPS, voici une autre raison de monter à bord dès que possible.

Si vous stockez des données utilisateur sensibles et que votre site Web sert des clients de l'UE, la gestion d'un site Web sur HTTP peut vous causer des problèmes juridiques. Selon le RGPD entré en vigueur en mai 2018, les sites Web doivent veiller à ce que toutes les données personnelles des utilisateurs soient traitées en toute sécurité. Cela signifie qu'en cas de violation de données, vous serez considéré comme responsable et devrez payer une lourde amende.

Pour protéger à la fois les visiteurs de votre site Web et vous-même, vous devrez passer au HTTPS. Et nous vous guiderons tout au long du processus pour vous aider à éviter les pièges potentiels sur le chemin.

Quelle est la différence entre HTTP et HTTPS

HTTP signifie Hypertext Transport Protocol. Depuis les débuts d'Internet, il est utilisé pour transmettre des données entre un navigateur et un serveur stockant des fichiers de sites Web. L'un des principaux inconvénients de HTTP est que les informations sont transmises en texte brut et peuvent être interceptées par quiconque au sein du réseau, et finalement être modifiées ou volées.

Ce problème est résolu à l'aide du chiffrement. Lorsque les données sont encodées, elles deviennent illisibles. Ainsi, même si des malfaiteurs y mettent la main, ils ne pourront pas utiliser ces informations. C'est comme ça HTTPS est différent de HTTP: Tous les messages sont transmis via un canal de communication crypté. Pour cette raison, la lettre «S» – qui signifie «Secure» – a été ajoutée au nom du protocole.

Ci-dessous, vous trouverez un guide en cinq étapes sur le déplacement de votre site Web de HTTP vers HTTPS.

Étape 1. Choisissez un certificat SSL

Pour permettre à votre site Web d'établir une connexion cryptée, vous devez d'abord obtenir un certificat TLS, mieux connu sous le nom de certificat SSL. Le fait est qu'après une mise à niveau majeure, le certificat a été renommé TLS, mais l'ancien nom est resté. Le certificat est un petit fichier qui contient une clé de cryptage ainsi que des informations vérifiées sur le propriétaire du site Web. Selon la quantité de données que vous fournissez sur la personne / l'entreprise propriétaire d'un site Web, vous pouvez obtenir l'un des trois types de certificats.

DV (validation de domaine) est le certificat le plus élémentaire. Comme son nom l'indique, il vérifie uniquement qu'une personne demandant un certificat possède un domaine. Vous pouvez obtenir un certificat DV en un rien de temps et cela ne fera pas sauter votre banque.

OV (Organisation Validation) Le certificat vérifie non seulement la propriété du domaine, mais aussi l'organisation juridique derrière un site Web. La vérification des dossiers commerciaux d'une entreprise prend du temps. Vous devrez donc attendre plus longtemps pour obtenir ce type de certificat. De plus, cela coûte plus d'argent.

EV (Validation étendue) est une certification de haut niveau. Pour délivrer un tel certificat, l’autorité de certification vérifiera minutieusement les dossiers gouvernementaux et les listes d’entreprises indépendantes d’une entreprise, vérifiera l’identité de la personne qui demande le certificat et finira par organiser un appel téléphonique avec l’émetteur. Certes, les certificats EV sont les plus chers et prennent du temps à être délivrés.

Le certificat EV est indispensable pour les organisations gouvernementales, les banques et les grands sites de commerce électronique. Si ce n'est pas votre cas, le certificat DV normal vous conviendra, car les visiteurs de votre site Web ne remarqueront pas la différence de toute façon.

À l'époque, les sites Web qui avaient obtenu un certificat EV faisaient apparaître le nom de leur entreprise dans la barre d'adresse à côté du cadenas. Il a été surligné en vert pour indiquer clairement à première vue que le site Web était sécurisé.

Site protégé par EV SSL marqué dans Chrome

Maintenant, pour vérifier si une entreprise a subi une validation étendue, vous devez cliquer sur le signe du cadenas et rechercher le nom de la société dans la section Détails. Et la couleur verte rassurante a également disparu.

Détails du certificat SSL EV dans Chrome

En plus du niveau de validation, les certificats SSL diffèrent par le nombre de domaines et de sous-domaines qu'ils couvrent.

  • Le certificat DV de base ne couvre que un domaine sans sous-domaines;
  • Si vous avez des sous-domaines sur votre site Web (administrateur.example.com, Blog.example.com, etc.), vous devrez obtenir un caractère générique Certificat SSL;
  • Pour protéger plusieurs domaines, vous pouvez obtenir un certificat de plusieurs domaines.

Pour résumer, lorsque vous choisissez le type de certificat SSL qui convient le mieux à votre site Web, faites attention au niveau de validation que vous souhaitez obtenir et au nombre de domaines (y compris les sous-domaines) que vous devez couvrir.

Note importante: Avant de passer à l'étape suivante, vérifiez si vous pourrez installer un certificat SSL sur votre serveur d'hébergementcertains hébergeurs ne prennent toujours pas en charge HTTPS. Si vous hébergez votre site Web avec un CDN, assurez-vous qu'il est également compatible HTTPS.

Étape 2. Obtenez et installez un certificat SSL

Option 1: Achetez auprès de votre hébergeur

Une fois que vous avez décidé du type de certificat SSL dont vous avez besoin, vérifiez ce que votre hébergeur a à offrir. Si le prix est raisonnable, ce serait votre meilleur choix car vous ferez les choses plus rapidement et plus facilement.

La procédure standard d'obtention et d'installation d'un certificat SSL est la suivante:

  • Vous choisissez le type de certificat qui vous convient le mieux;
  • Vous générez une clé de chiffrement privée et une demande de signature de certificat (CSR) avec votre hébergeur;
  • Vous commandez un certificat SSL auprès de votre fournisseur sélectionné. À ce stade, vous devrez télécharger le fichier CSR que vous avez généré précédemment;
  • Une fois la demande de signature de certificat envoyée, vous devrez suivre la procédure de vérification qui variera selon le type de certificat (DV, OV, EV);
  • Une fois la validation terminée, vous pourrez télécharger votre certificat SSL depuis le site Web de votre fournisseur et le télécharger sur votre serveur d'hébergement.

Comme vous pouvez le voir, les choses se compliquent un peu car vous devez obtenir des fichiers auprès d'un fournisseur d'hébergement, puis les télécharger vers un fournisseur de certificats SSL, et vice versa. Si vous achetez un certificat SSL directement auprès de votre service d'hébergement, ces échanges de fichiers ne seront pas nécessaires et vous devriez pouvoir franchir quelques points de la liste. Avec certains fournisseurs, il vous suffit de cliquer sur quelques boutons et tout se configurera automatiquement. Dans tous les cas, contactez votre hébergeur pour savoir comment ils peuvent vous aider à passer au HTTPS. Vérifiez également si, par hasard, votre plan d'hébergement comprend un certificat SSL gratuit – certains fournisseurs offrent un tel avantage.

Option 2: acheter auprès de l'autorité de certification ou dans un magasin spécialisé

Si, pour une raison quelconque, vous ne pouvez pas obtenir de certificat SSL auprès de votre hébergeur, il est possible d'en acheter un directement auprès d'une entreprise émettant de tels certificats (Comodo, Symantec, Geotrust). En outre, il existe de nombreuses boutiques en ligne spécialisées vendant des certificats SSL.

Option 3: obtenez-le gratuitement

Grâce à l'initiative Let’s Encrypt, il existe également une option pour obtenir un certificat SSL absolument gratuitement. Les certificats qu'ils émettent fonctionnent de la même manière que les certificats payés avec une seule différence: ils ne sont valables que trois mois tandis que les certificats SSL ordinaires durent un an. Par conséquent, vous devrez constamment renouveler votre certificat Let’s Encrypt. En outre, ils ne fournissent que la certification DV.

Une fois que vous avez installé votre certificat SSL, vous devez vous assurer qu'il fonctionne correctement. Vous pouvez utiliser SSL Server Test à cet effet. Il vérifiera si le certificat est valide, quel protocole de cryptage est utilisé, la force du chiffrement et calculera la note globale de votre site Web. Le score le plus élevé possible est A +, et si vous obtenez une note inférieure, le service vous montrera pourquoi.

Test du serveur SSL

Étape 3. Forcer l'utilisation de HTTPS

Une fois votre certificat SSL installé avec succès, votre site Web deviendra accessible à la fois via HTTP et HTTPS. Le problème est que, aux yeux des moteurs de recherche, ce sont deux sites Web distincts qui peuvent concurrencer le SERP. Pour que les utilisateurs et les moteurs de recherche accèdent à votre site Web via HTTPS, vous devez configurer une redirection. Au fil du temps, au fur et à mesure que les pages HTTPS de votre site Web sont indexées, leur version HTTP disparaîtra des SERP et le jus de lien ira à la version HTTPS de votre site Web.

Maintenant, il y a une chose que vous devez faire avant de configurer des redirections: remplacez toutes les URL absolues de votre site Web par des URL relatives.

Implémentation d'URL relatives

Commençons par définir les URL relatives et absolues. Une URL absolue contient l'adresse complète d'une page, y compris le protocole de connexion et le nom de domaine. La plupart des URL que vous voyez sur Internet sont absolues (par ex. https://seranking.com/blog/). Les URL relatives, en revanche, sont utilisées pour les liens internes. Ils ne spécifient pas le protocole de connexion et peuvent ou non contenir le nom de domaine (par ex. seranking.com/blog/ ou simplement /Blog).

Si un site Web utilise des liens relatifs, le navigateur lui-même ajoute le protocole et le nom de domaine manquants à l'adresse de la page Web. Il suppose qu'un lien HTTPS relatif sur une page Web doit pointer vers une autre page du même site Web qui s'exécute également sur HTTPS.

Vous devrez remplacer TOUS les liens absolus suivants par des liens relatifs: liens internes, chemins d'accès à la feuille de style, scripts, images, vidéo. Sinon, vous serez confronté à un problème de contenu mixte. Cela se produit lorsque certains éléments de page se chargent via la connexion HTTPS sécurisée et d'autres, via le protocole HTTP non sécurisé.

Erreur de contenu mixte
La source: https://developers.google.com/

Ces pages Web sont vulnérables aux attaques de l'homme du milieu, car les éléments se chargeant sur HTTP permettent aux malfaiteurs de contrôler toute la page. Avoir un contenu mixte sur votre site Web, c'est comme protéger votre maison contre le vol avec une serrure de porte fiable tout en oubliant de fermer la fenêtre. Naturellement, les navigateurs marquent les pages à contenu mixte comme non sécurisées, vous devez donc vous assurer que toutes les ressources de votre site Web se chargent via HTTPS.

Ainsi, vous pouvez soit passer des heures à réparer les liens internes et à réécrire les chemins d'accès aux images, vidéos, scripts, etc. après avoir activé la redirection. Ou implémentez des liens relatifs et étouffez le problème dans l'œuf.

Si vous avez un grand site Web, vous ne pourrez pas implémenter des URL relatives du jour au lendemain. Alors, pensez à remplacer vos liens par des liens relatifs au préalable. De cette façon, vous pourrez configurer des redirections peu de temps après avoir installé un certificat SSL avant que les versions HTTP et HTTPS de votre site Web soient indexées et commencent à concourir dans les SERP.

Configuration de 301 redirections

Pour rediriger les utilisateurs et les robots de recherche vers votre site Web HTTPS, utilisez la redirection 301 côté serveur. Il indique aux moteurs de recherche que la page a été définitivement déplacée vers une nouvelle adresse. La procédure de configuration varie en fonction du type de votre serveur Web. Si votre site est hébergé sur un serveur exécutant Apache – ce qui serait le cas pour de nombreux hébergeurs – il vous suffit d'ajouter quelques lignes de code à votre .htaccess fichier.

Vous pouvez trouver le fichier dans le dossier racine de votre site Web, mais n'oubliez pas qu'il peut être masqué. Dans ce cas, vous devrez vous rendre dans les paramètres du panneau d'administration et cocher la case "Afficher le fichier caché". Assurez-vous de copier le fichier avant de le modifier pour avoir une sauvegarde en cas de problème. Si vous n'avez pas localisé le fichier, cela signifie que votre site Web n'en a pas et vous devrez le créer vous-même à l'aide d'un éditeur de texte standard.
Ajoutez la ligne de code suivante à votre fichier .htaccess, en remplaçant https://example.com avec l'adresse de votre site Web:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule .* https://example.com/%{REQUEST_URI} (R=301,L)

Pour vérifier si cela a fonctionné pour vous, saisissez l'adresse HTTP de votre site Web dans la barre d'adresse du navigateur. Vous devez être redirigé vers la version HTTPS.

Étape 4. Mettez à jour votre Google Search Console

Même après avoir configuré la redirection, vos pages HTTP seront toujours classées sur Google. Pour les remplacer par des versions HTTPS, ces dernières doivent être explorées et indexées. Vous pouvez accélérer le processus en téléchargeant une version mise à jour de votre sitemap XML sur Google Search Console. Avant cela, vous devrez peut-être ajouter votre site Web HTTPS à GSC. Ou il sera déjà là – cela dépend de la méthode que vous avez utilisée pour vérifier la propriété de votre site Web.

Le fait est qu'en février 2019, Google a lancé des propriétés de domaine pour permettre aux webmasters d'analyser les données à l'échelle du domaine. La propriété de domaine est une URL sans protocole (HTTP / HTTPS), un préfixe www ou d'autres sous-domaines (m, support, aide, etc.), et chemins (es, fr). Donc, si vous ajoutez yoursite.com à GSC, vous obtiendrez des données combinées sur différentes versions de votre adresse de site Web, y compris yoursite.com, www.yoursite.com, m.yoursite.com, www.m.yoursite.com, help.yoursite.com, yoursite.com.es et des dizaines d'autres variantes possibles à la fois avec les protocoles HTTP et HTTPS. La seule façon de créer une propriété de domaine est de passer par la vérification des enregistrements DNS.

Maintenant, si une propriété de domaine est configurée dans votre GSC, il commencera automatiquement à collecter des données sur les URL HTTPS. Mais si votre site Web a un statut de propriété de préfixe URL, vous devrez ajouter manuellement la variante HTTPS de votre site Web. Encore une fois, vous avez le choix de l'ajouter en tant que propriété de préfixe URL ou de vérifier votre propriété via DNS et de créer une propriété de domaine pour voir les données agrégées.

Ajout d'une propriété à GSC

Gardez à l'esprit que les propriétés de domaine ne sont disponibles que dans la nouvelle Google Search Console, qui ne dispose pas d'outils de longue date, notamment l'outil Désavouer. Si vous ne pouvez pas vous passer de l'outil Disavow, vous n'avez pas d'autre choix que de vous en tenir à l'ancienne Search Console, d'ajouter manuellement la propriété HTTPS et de soumettre à nouveau votre fichier Disavow.

Étape 5. Recherchez et corrigez les erreurs

Étant donné que nous avons implémenté des URL relatives sur le site Web avant de forcer HTTPS, aucune erreur technique critique ne devrait survenir après avoir configuré les redirections. Néanmoins, une bonne pratique serait d'exécuter un audit de site Web et de s'assurer que tout fonctionne correctement.

Faites attention aux problèmes suivants:

  • Les pages existantes doivent renvoyer le code d'état 200, inexistant: 404;
  • Les pages HTTPS ne doivent pas être bloquées par le fichier robots.txt ou la balise meta noindex. Dans le cas contraire, Google ne pourra pas les explorer ni les indexer;
  • rel = canonique et rel = balises alternatives, ainsi que l'attribut hreflang, doivent pointer vers les pages HTTPS;
  • Les pages ne doivent pas renvoyer d'erreurs de contenu mixtes, ce qui signifie que chaque élément de page doit se charger via le protocole HTTPS.

Vous pouvez facilement détecter tous ces problèmes avec l'outil d'audit de site Web de SE Ranking. Sous le Analyse de page section, vous trouverez des pages avec la réponse 404, les pages bloquées par robots.txt fichier ou meta noindex , ainsi que les pages avec rel = canonique et rel = alternatif balises et hreflang attribut. Pour voir la liste complète de chaque groupe de pages, cliquez sur l'icône Lien. Vous pouvez ensuite exporter la liste pour une analyse plus approfondie.

Erreurs de classement de site Web SE après le passage au HTTPS

Pour vérifier si vous avez tendance à avoir des problèmes de contenu mixte, accédez au Pages explorées onglet et recherchez la colonne respective. Vous trouverez ici des informations sur toutes les pages de votre site Web, ce qui est très pratique car la plupart des services dédiés vous proposent de vérifier les URL manuellement une par une.

Erreurs de contenu mixtes dans l'audit du site Web de SE Ranking

L'outil d'audit de site Web est disponible dans le cadre de l'essai gratuit, il vous suffit donc de vous inscrire au classement SE. Une fois que vous avez créé votre premier projet, l'audit démarre automatiquement. Vous aurez 14 jours pour tester tous les autres outils proposés par SE Ranking, y compris notre outil de suivi des mots clés.

Gardez un œil sur votre classement

En dehors des difficultés techniques, beaucoup ont des doutes quant au passage au HTTPS car ils craignent de perdre du trafic et des classements.

Il est vrai que vous pouvez constater des fluctuations de classement au cours des deux premières semaines. Mais si vous avez bien pris soin de tous les détails techniques lors du passage au HTTPS, vous ne devriez pas subir de baisses de classement drastiques. La redirection 301 transmet jusqu'à 99% du jus de liens, donc après que toutes vos pages Web HTTP aient quitté l'index, vous devriez retrouver le classement et le trafic que vous aviez auparavant. De plus, comme vous vous en souvenez, HTTPS est un facteur de classement. C'est mineur, mais quand même, vous pouvez être parmi les sites Web chanceux qui ont réellement connu une augmentation du classement après avoir migré vers HTTPS.

Dans tous les cas, vous voudrez garder un œil sur les fluctuations de votre classement après avoir migré vers HTTPS. Ensuite, en cas de baisse du classement, vous serez en mesure de déterminer ce qui a pu en être la cause et de résoudre le problème dès que possible.

Comme cela a été mentionné, SE Ranking dispose également d'un outil pratique et fiable pour classer le suivi. Keyword Rank Tracker vous permet de garder une trace de tous vos mots clés cibles à travers vos emplacements sélectionnés.

Suivi du classement du classement SE

Passer au HTTPS est inévitable

Passer au HTTPS peut sembler une tâche ardue. Vous devez garder à l'esprit des dizaines de détails et gâcher n'est pas une option car votre classement et votre trafic sont en jeu. Et pourtant, vous ne pouvez pas vous permettre de vous en tenir à HTTP car vous compromettriez la sécurité de vos utilisateurs et perdriez leur confiance. En outre, dans un avenir proche, les moteurs de recherche peuvent également cesser de tolérer les sites Web fonctionnant sur HTTP.

En 2018, Google a affirmé qu'à long terme, ils souhaitaient supprimer les indicateurs sécurisés de Chrome et ne marquer que les sites Web non sécurisés. L'objectif final est de transformer Internet en un endroit où l'accès de chaque utilisateur du site Web est sécurisé par défaut. On ne sait toujours pas comment Google prévoit d'utiliser pour encourager davantage les sites Web à passer au HTTPS. Mais il est tout à fait probable qu'ils choisissent la méthode stick et le protocole HTTP deviendra un facteur de classement négatif. Dans tous les cas, je vous conseille de ne pas vous asseoir sur la clôture et de passer au HTTPS sans plus attendre. Et notre guide vous aidera à bien faire les choses.

Vues du message: 11

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *