Passage HTTP à HTTPS

Passer son site web en HTTPS ?

Vous êtes nombreux à vous interroger sur les impacts du passage d’un site internet HTTP en HTTPS afin d’obtenir un site fiable.

Nous allons tout vous expliquer et vous livrer les bonnes pratiques et les erreurs à éviter lors de toute migration de votre site web vers le HTTPS afin de créer un site internet sécurisé

Pourquoi et comment en 10 étapes [Infographie]

Quel est le moyen le plus simple pour vous expliquer simplement le HTTPS et ses impacts?

Nos designers et marketeurs ont concocté exclusivement pour vous une infographie complète avec au sommaire :

  1. Qu’est ce que le protocole HTTPS ?
  2. Une timeline de l’évolution du HTTPS pour les moteurs de recherches
  3. 4 raisons pour migrer votre site web vers le HTTPS maintenant
  4. Une checklist étape par étape pour passer votre site internet en HTTPS.

Passer site internet en HTTPS

Pour ajouter cette infographie dans votre blog ou sur votre site internet , il vous suffit de copier/coller ce code dans votre article ou page :

<a href= »https://blog-fr.orson.io/creation-de-site-internet/comment-passer-http-vers-https » title= »passer site internet http en https » target= »_blank »><img src= »https://blog-fr.orson.io/hs-fs/hubfs/HTTPS-infographie%20(1).jpg » alt= »migrer site internet en https avec certificat ssl width= »100% »></a> 

Qu’est ce que le HTTPS ?

HTTPS  (l’acronyme pour Hypertext Transfer Protocol Secure) est la version sécurisée du HTTP, le protocole par lequel les données sont échangées entre votre navigateur et le site web auquel vous êtes connectés.

Le «S» à la fin de HTTPS signifie «sécurisé». Cela signifie que toutes les communications entre votre navigateur et le site web sont cryptées, c’est à dire que les données informatiques ne sont pas lisibles par un humain ou une machine.

Le protocole HTTPS est utilisé pour protéger les données de vos utilisateurs et des données sensibles (de paiement par exemple) et pour éviter les intrusions de hackers. Nous allons voir à la suite de cet article les objectifs de ces intrusions malveillantes.

Pourquoi le HTTPS devient une urgence ?

Google et les autres moteurs de recherche (Firefox et Safari) militent pour la sécurisation du web sur l’ensemble des sites internet pour protéger les internautes.

Impact du HTTPS dans votre référencement naturel

C’est un travail de fond que Google a entrepris dès 2014, avec l’annonce de la mise à jour de leur algorithme. Le HTTPS devient alors un critère de référencement naturel pour être mieux positionné dans les résultats de recherche.

Alerte “Non sécurisé” pour les sites web non HTTPS qui collectent des informations liées aux utilisateurs

En 2016 et 2017, Google confirme son envie de passer le web en HTTPS avec l’affichage d’une alerte, un label « Non sécurisé » pour l’ensemble des sites internet HTTP qui collectent des informations sur l’utilisateur (email, mot de passe, nom, prénom…) à travers un formulaire.

Alerte “Non sécurisé” pour l’ensemble des sites web HTTP

Sur sa lancée, Google a annoncé qu’il mettrait une alerte sur tous les sites internet non HTTPS d’ici 2018.

« Finalement, nous prévoyons de marquer toutes les pages HTTP comme non sécurisées, et de remplacer l’indicateur de sécurité HTTP par le triangle rouge que nous utilisons pour HTTPS. » Google.

Dans la même logique que l’envie de pousser les sites internet à s’adapter aux tablettes et aux mobiles avec le responsive design, Google a clairement pris position sur le HTTPS avec des intentions matérialisés par des sites internet dédiés. Pour avoir plus de chiffres sur le sujet, Google met à jour sa vision du HTTPS dans le web avec un site internet qui s’intitule: Chiffrement HTTPS sur le web avec le pourcentage de site web HTTPS présents dans chaque pays.
Pour en savoir plus : pourquoi passer en HTTPS selon Google.

4 raisons pour passer votre site internet HTTP en HTTPS

1. HTTPS protège l’intégrité d’un site web des intrusions

Le HTTPS à travers un certificat SSL protège votre site internet des intrusions malveillantes.
C’est en quelque sorte comme une porte blindée que vous installez chez vous.
Les intrus, des hackers, peuvent exploiter chaque ressource non protégée qui se déplace entre votre site Web et vos utilisateurs (Images, cookies, scripts, HTML ) et peuvent agir à n’importe quel endroit de votre réseau internet (Wifi, Fournisseur d’accès à Internet … )

Le HTTPS vous protège de ces intrusions qui tentent d’installer des outils, logiciels malveillants ou insérer des publicités sur votre site internet par exemple.

2. HTTPS protège la confidentialité et la sécurité de vos utilisateurs

Le HTTPS empêche des intrus d’écouter les communications entre vos sites Web et vos utilisateurs. Chaque requête HTTP non protégée peut potentiellement révéler des informations sur les comportements et les identités de vos utilisateurs.

3. HTTPS: un impact en référencement naturel (SEO)

Comme évoqué précédemment, le HTTPS est devenu depuis 2014 un critère pris en compte dans l’algorithme de référencement de Google. Depuis,50% des sites internet présents sur la première page de Google sont en HTTPS ( +60 % en 9 mois ).
Google référence mieux les sites internet qui sont en https et va automatiquement scanner les pages en HTTPS avant celles en HTTP.

4. Let’s Encrypt: Des certificats enfin gratuits

Let’s Encrypt est une autorité de certification gratuite, automatisée et ouverte, soutenue par Mozilla, Google ou Facebook, qui permet d’avoir des certificats SSL gratuits et donc de passer en HTTPS gratuitement.

La seule contrainte imposée par la certification Let’s Encrypt est de devoir la renouveler tous les 3 mois au lieu de tous les ans.

Que faire si j’ai message indiquant que mon site internet n’est pas sécurisé ?

Ce message apparaît lorsqu’un site internet ne respecte pas le protocole HTTPS. Seule solution, contacter le partenaire qui a créé votre site internet vitrine pour lui demander une migration de celui-ci en HTTPS. Selon les cas de figure, cette migration pourra représenter un coût significatif.

A partir de quelle date mon site doit-il passer en HTTPS ?

Si votre site internet est un site e-commerce il est déjà en HTTPS, ce protocole étant indispensable pour assurer la sécurité des paiements en ligne.

Si votre site internet est un site vitrine ou un blog, le mieux est qu’il soit en HTTPS depuis le 23 Octobre 2017. En effet, à partir de cette date, les clients qui utilisent le navigateur Chrome en navigation privée, verront apparaître un message type « Le site que vous voulez visiter n’est pas sécurisé ».

Google a aussi annoncé vouloir privilégier les sites internet fiables en HTTPS pour le référencement (SEO en anglais).

Puis-je passer mon site internet en HTTPS tout seul ?

Le passage en HTTPS de votre site internet est une opération complexe tant sur le plan technique qu’en ce qui concerne les impacts sur votre référencement.

Si vous n’êtes pas un peu geek, le mieux est de demander à un prestataire de faire cette opération. Voici en résumé, les principales étapes :

  • Faire une demande de certificat (CSR). Vous devez générer un CSR sur votre serveur avant d’installer un certificat SSL. Ce fichier contient les informations de la clé publique de votre serveur, et il est aussi indispensable pour générer la clé privée.
  • Choisir et acheter un certificat SSL. Il existe plusieurs types de certificats : simples, multi-domaines ou génériques à choisir en fonction du niveau de sécurité, donc de confiance que vous voulez proposer. Chaque prestataire est libre de sa politique commerciale ce qui rend parfois la comparaison délicate entre les différentes formules proposées. Les prix sont aussi très variables avec des écarts du simple au triple pour un même type de certificat. En fonction du protocole choisi, la procédure d’obtention est plus ou moins contraignante, ceci va de pair avec le niveau de sécurité attendu.
  • Configurer votre serveur web pour utiliser votre certificat. En fonction de la configuration logiciel du serveur ( Apache, Nginx, IIS, autres ) il existe des tutoriels à suivre pas à pas.
  • Faire une redirection de votre trafic visiteurs vers vos pages en HTTPS. Passer votre site vitrine ou votre blog d’un protocole HTTP à HTTPS correspond à faire une migration. Pour limiter les impacts de cette migration, en particulier pour votre référencement, il convient de mettre en place une redirection 301 (redirection permanente).
  • Vérifier la validité de votre configuration SSL: Dès que votre site internet est passé en HTTPS, vérifier que votre certificat SSL est bien installé sur des outils en ligne tels que https://www.ssllabs.com
  • Mettre à jour votre compte Google webmaster. Il faut déclarer à Google ce nouveau site internet et éventuellement les différents sous domaines associés.
  • Modifier les adresses URL sur vos campagnes Marketing et réseaux sociaux:  Modifier les adresses URL en HTTPS sur l’ensemble de vos campagnes publicitaires (Facebook, Adwords), emailing ou affiliation.

Pensez aussi à la gestion du renouvellement de votre certificat SSL sous peine d’avoir quelques soucis de connexion lors du renouvellement.

  • Mettre à jour vos liens. C’est un travail fastidieux dont la charge dépend directement du CMS que vous utilisez. Le sujet est de modifier tous les liens qui pointent vers votre nouveau site internet en HTTPS pour éviter les erreurs 404. Ce point est très sensible pour la qualité de votre référencement. Aussi n’hésitez pas à utiliser des logiciels d’analyse de liens tel Broken Link check un logiciel gratuit.
  • Valider que les plugins utilisés dans votre site vitrine ou votre blog sont en HTTPS. Si vous utilisez un CMS type WordPress, il est très probable que vous utilisez de nombreux plugins. Il va vous falloir vous assurer que ces différents modules externes sont eux aussi en HTTPS ou les remplacer par d’autres modules. A défaut, tout le travail que vous aurez fait ne servira à rien.

La charge de travail est conséquente et demande de la méthodologie mais rien n’est impossible.

Qu’est-ce-qu’un certificat SSL/TLS

Un certificat SSL/TLS (en anglais : Secure Socket Layers ) est une technique de chiffrement et d’authentification des flux de données en réseau. Un protocole SSL/TLS garantit la transmission des données entre un navigateur et un serveur web, il donne une sorte de preuve d’identité d’un site internet.

Il existe différents types de certificats SSL :

Certificat DV

C’est un certificat SSL de contrôle de domaine. Le niveau le plus faible de certification. L’autorité de certification se contente de vérifier que le demandeur est bien propriétaire du domaine concerné. Ce type de certificat est suffisant si vous n’avez pas d’enjeu pour ce qui concerne la sécurité des données du visiteur ou de risque d’escroquerie type Phishing.

Certificat OV

C’est un certificat SSL de contrôle d’organisation. L’autorité de contrôle vérifie que le propriétaire du domaine est une entreprise réelle par exemple en validant l’enregistrement au registre du commerce. Ce type de certificat est adapté pour des transferts de données non sensibles.

Certificat EV

C’est un certificat SSL étendu de contrôle de l’entreprise. C’est le niveau le plus fort de certification adapté pour les transferts de données sensibles ( données bancaires, ….)

Combien coûte la migration de mon site en HTTPS ?

Il est très difficile de répondre à cette question qui dépend de plusieurs critères.

Quel CMS avez vous utilisé pour la création de votre site vitrine ?

Les site créés sur des CMS tels WordPress ou Drupal, utilisés par de très nombreuses agences de communication ne seront pas migrés automatiquement. Dans la plupart des cas, il vous faudra contacter votre agence pour lui demander le coût de son intervention qui pourra aller de 500 à quelques milliers d’euros.

Les sites internet créés sur des CMS Cloud tels Jimdo – Orson ou Squarespace seront pour la plupart migrés en HTTPS par l’éditeur du logiciel sans impact de coût.

Quel type d’hébergement utilisez-vous ?

Si vous hébergez votre site vitrine ou votre blog sur un serveur dédié, il vous faudra modifier votre abonnement pour utiliser un serveur compatible. Le coût des serveurs en HTTPS est de l’ordre de 100€ par mois. Ce coût devrait baisser en fonction de la concurrence

Si vous utiliser un CMS cloud vous ne devriez pas subir d’augmentation de votre abonnement.

Faut-il créer un nouveau compte Google Analytics ?

Non ce n’est pas la peine.

Il vous faudra mettre à jour vos paramétrages, voire modifier la ligne de code présente dans les différentes pages de votre site. Si vous utilisez le code de suivi (qui débute par UA) proposé par Google Analytics, la migration n’aura même aucun impact.

Quel est l’Impact du HTTPS sur mon référencement?

Le passage du HTTP au HTTPS correspond à une migration de site internet. Même si Google va privilégier les sites vitrines et les blog en HTTPS cette migration peut, à court terme, avoir un impact négatif sur votre référencement. Voici les principaux points à surveiller pour limiter cette perte de référencement :

  • organiser une redirection permanente (redirection 301) pour expliquer à Google que les pages qui jusqu’à lors étaient en HTTP sont maintenant en HTTPS,
  • supprimer les anciennes pages en http pour éviter le problème du contenu dupliqué,
  • mettre à jour tous vos liens internes. Avec la redirection 301 vos backlinks deviendront indirects sauf si vous obtenez du webmaster du site internet partenaire qu’il procède à la modification,
  • modifier toutes vos adresses sur les cartes de visite, ….

Enfin sachez que les compteurs de partage des réseaux sociaux vont être remis à 0. Ceci a essentiellement un impact psychologique sur vos visiteurs.

J’ai un site personnel est-il concerné par le HTTPS?

Oui absolument. Tous les sites internet sont concernés par le HTTPS. Votre site personnel devra donc être migré pour rester référencé sur les moteurs de recherche.

Comment passer un site WordPress en HTTPS?

La migration d’un site internet en HTTPS est une opération indispensable, complexe, qui peut avoir des impacts importants sur votre référencement.

La migration en HTTPS d’un site vitrine ou d’un blog créé sous WordPress impose la même démarche que pour n’importe quel site internet : obtenir un certificat SSL, l’installer sur le serveur, procéder à une redirection 301, mettre à jour votre robot.txt, re-paramétrer votre Google webmaster.

Votre site ayant probablement été créé par une agence de communication, le mieux est que vous la contactiez pour quelle vous fasse un devis pour cette migration. Un point particulier concerne les éventuels Plugins externes (modules) qui doivent aussi être migrés en HTTPS pour que votre site fonctionne.

Frédérique Biau

Traductrice et Rédactrice autour des Nouvelles Technologies et du Web. Frédérique est en charge de partager nos astuces avec l'art et la manière !