passer en https

Passer son site en https est devenu une obligation en 2018

Avez-vous remarqué que de plus en plus d’adresses internet commencent par HTTPS alors que les URLs de certains sites débutent toujours par HTTP ? C’est tout à fait normal puisque HTTPS est maintenant une “obligation” pour tous les sites internet. Une obligation que tous les éditeurs devront prendre en considération avant juillet 2018.

Mais quelle différence y a t-il entre ces deux termes ? Pourquoi entend-on de plus en plus parler de HTTPS ? Est-ce vraiment important ?

Répondons d’ores et déjà à cette dernière question : Oui, HTTPS est important puisqu’il s’agit maintenant d’une obligation pour tous et 2018 est son année.

La suite des réponses dans cet article, bonne lecture !

Quelle différence entre HTTP et HTTPS

Le protocole HTTP

HTTP (HyperText Transfer Protocol) est un protocole de transfert hypertexte, en d’autres termes, c’est l’élément qui s’occupe de la communication d’informations entre un client et un serveur à travers le monde du Web. Il permet donc de:

  • recevoir des informations des sites web
  • envoyer des informations vers les sites web
  • d’effectuer tous ces échanges sans aucun chiffrage.

Ce protocole fonctionne sur n’importe quelle connexion, aussi faible soit elle.

Son évolution: HTTPS

Le plus souvent, les sites internet sont utilisés pour la réception de données visibles par tous. Le problème étant que de plus en plus de sites internet récoltent des données personnelles et confidentielles comme des informations bancaires. Ces données sensibles ne doivent surtout pas finir entre les mains de personnes mal intentionnées !

Or, il est extrêmement facile de nos jours d’intercepter ces données qui ne sont pas chiffrées avec le protocole HTTP.

HTTPS a donc été inventé dans le but de combler les lacunes du protocole HTTP. Cette variante améliorée est en fait un protocole 2 en 1 : Il allie le protocole HTTP et le protocole TLS (Transport Layer Security) qui ajoute une couche de sécurité. D’où le “S” de HTTPS pour “secure”.

HTTPS est donc un protocole qui garantit la communication sécurisée d’informations entre les clients et les serveurs, grâce au chiffrage des données transmises. Ce que ne faisait pas HTTP.

Sachez que le certificat SSL n’est plus considéré comme étant suffisamment sécurisé. Préférez donc un TLS pour crypter les échanges d’informations avec votre site web.

Que dit Google ?

Google annonce qu’en juillet 2018, Chrome 68 va devenir, en quelques sortes, le bourreau des sites HTTP.

Pourquoi ? Comment ? Reprenons depuis le début pour plus d’explications :

Cela fait déjà un bon bout de temps que Google souhaite sécuriser le web. En 2017, il s’était lancé dans sa quête pour la sécurité world wide web de façon plus significative.

En effet, le géant s’était rendu compte que les internautes ne s’alarmaient pas en l’absence de la mention “secure” d’un site. Alors, sans perdre de temps, il lance la version 56 de Chrome et affiche tous les sites HTTP qui récoltent des informations bancaires ou mots de passe comme “not secure” (non sécurisé en français).

Mais cela ne suffit pas, les données bancaires et mots de passe ne sont pas les seules informations qui devraient être totalement confidentielles. Google a raison, les utilisateurs doivent être mis au courant lorsqu’ils naviguent sur un site non sécurisé.

Cependant, il n’est pas envisageable de pénaliser tous les sites HTTP d’un seul coup. Google priorise donc les étapes vers un world wide web plus safe.

Alors en octobre 2017, Chrome évolue et met en garde les internautes qui se trouvent dans deux situations bien définies :

  • Quand un internaute fournit à un site HTTP des données personnelles et donc confidentielles, peu importe qu’il s’agisse de mots de passe, d’informations bancaires ou autres; toute information personnelle doit être confidentielle.
  • Quand un utilisateur surfe en navigation privée (mode “Incognito”) sur un site HTTP. Après tout, un internaute qui utilise la navigation privée attend que celle-ci soit véritablement “privée”. Rien de plus logique. Il est donc normal de l’informer lorsque ses informations de navigation peuvent être détournées par autrui.

Voyez donc la transition de Chrome 58 à Chrome 62 en image:
Chrome 58 à Chrome 62 : not secure
Source: https://blog.chromium.org/2017/04/next-steps-toward-more-connection.html

Vous l’aurez compris, le géant du web a entamé sa mise en garde étape par étape afin de laisser le temps aux éditeurs de sites de prendre connaissance des enjeux d’une transition vers HTTPS et de l’entamer.

Ceci dit, cette transition ne doit pas s’éterniser et Google annonce qu’en juillet 2018, la version 68 de Chrome marquera tous les sites HTTP, sans exception, comme étants “not secure”. Cette mention sera visible par tous les internautes et apparaîtra à côté des adresses concernées sur les SERP (pages de résultats de recherches) lors d’une requête.

Au vu des changements comportementaux des utilisateurs qui commencent lentement à faire la part des choses entre un site sécurisé et un site qui ne l’est pas, l’impact d’une telle mention sera considérable. Il faut croire que l’idée de la sécurité améliore l’expérience utilisateur.

Quels enjeux pour les éditeurs de site web ?

Les enjeux qu’impliquent cette décision de Google sont donc incontestables.

Quels impacts ? On vous en parle.

Un impact sur le marketing des sites concernés

L’apparition de cette mention aura tout d’abord un impact indéniable d’un point de vue marketing.

Comme on le disait plus haut, les utilisateurs commencent à prendre conscience des risques d’une navigation sur un site non sécurisé.

Ils savent maintenant qu’un site sécurisé, tel qu’indiqué par ce petit cadenas vert, garantit l’authenticité du site, mais aussi la sécurité et la confidentialité des informations qu’ils y laisseront.

La mention “not secure” d’un site fera certainement fuir les internautes.

On pourrait croire, à tort, qu’une telle mention n’aura aucun impact sur le comportement des utilisateurs puisque ces derniers ne s’alarmaient déjà pas en l’absence de la mention “secure” d’un site. Pourtant, psychologiquement parlant, il y a un immense fossé entre le fait de voir une mention qui met en garde contre l’accès d’un site et ne rien voir du tout.

Soyons honnête, auriez-vous envie de vous rendre sur un site qui affiche cette mention dans la barre d’adresse ?

On est d’accord : voir un “Not secure” en rouge accompagné d’une icône de mise en garde à côté d’un nom de domaine est plutôt rebutant.Même une version plus sobre de cette mise en garde reste rédhibitoire:
Chrome : Not secure en rougeChrome 64 et Chrome 68 : not secure

Source: https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
Source: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Tout le monde préfère surfer sur un site et une connexion sécurisée. Triangle rouge ou simple mention grise, qui sait quelle surprise nous réserve Google ?

Un impact sur le SEO de ces sites

Concrètement, Google ne mentionne aucun impact sur le référencement naturel des sites en HTTP. Mais soyons réalistes, un impact sur le référencement SEO d’un site découle naturellement de l’impact sur le marketing de ce site.

Si les visiteurs fuient un site, le trafic de celui-ci se verra en baisse. Ou encore, son taux de rebond sera en hausse et comme vous le savez certainement, pour Google:

taux de rebond élevé ou faible trafic = site peu pertinent.

Or, tout site jugé non pertinent perd en positionnement sur les pages de recherches Google. C’est la loi d’internet.

Si vous souhaitez en savoir plus sur les techniques d’un bon référencement de vos pages web, sachez que l’on a produit un article rien que pour vous sur l’optimisation du SEO d’un site !

Vous essayez de relativiser ? Après tout on ne parle là que du navigateur Chrome… Étant donné que Google Chrome est le navigateur web le plus utilisé dans le monde, ainsi qu’en Europe et en France, vous ne pouvez pas vous permettre de raisonner de la sorte.

Dans le monde, en Janvier 2018, Chrome est utilisé par plus de 50% d’internautes.
Source : 100 statistiques stupéfiantes sur les sites internet en 2018

Imaginez-vous perdre ces 50% d’internautes qui utilisent Chrome ?

L’évolution de la sécurité internet en chiffres

Depuis l’apparition du protocole HTTPS et grâce aux différentes mises en garde et mesures prises par Google, la transition vers un monde numérique plus sûr est en excellente voie :

  • Plus de 68% du trafic de Chrome réalisé sur Android et Windows est aujourd’hui protégé.
  • Plus de 78% du trafic de Chrome OS et Mac est maintenant sécurisé
  • 81 des 100 meilleurs sites internet utilisent le protocole HTTPS par défaut

Source: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Des chiffres qui prouvent une prise de conscience de la part des éditeurs de sites internet dont la plupart n’ont pas attendu la date butoire (juillet 2018, rappelons-le) pour passer à HTTPS.

Mais aussi une prise de conscience du côté des internautes qui naviguent principalement sur des sites sécurisés.

Un véritable gain de sécurité

Google: soucieux de sécuriser ou de contrôler internet ?

Face à cette décision, de nombreux débats émergent. Un, en particulier, qui vise à remettre en question le véritable objectif de Google.

Google souhaite t-il réellement sécuriser l’univers du web ou simplement renforcer le contrôle qu’il y exerce ?

Cette question fait débat puisque, selon certains, cette sécurisation des sites internet offrirait aussi à Google un contrôle plus fort sur le contenu des sites et permettrait ainsi au géant l’obtention d’un pouvoir de censure à exercer sur les contenus qu’il jugerait “non sûrs”.

Le fin mot de l’histoire ? Le débat est intéressant, mais qu’importe l’objectif final de Google, HTTPS reste une obligation aujourd’hui et pour vous comme pour vos visiteurs, on vous recommande de migrer votre site au plus vite vers HTTPS.

L’ajout d’un “s” à quel prix ?

Comme toute chose, la sécurité a un prix. Comptez entre 50 et 100 euros par an pour votre certificat TLS.

Un coût supplémentaire qu’il est possible d’éviter, bien heureusement.

Par exemple, si vous êtes client Orson, inutile de vous préoccuper de l’acquisition de ce certificat : on vous l’offre !

Et oui ! En créant votre site avec la solution Orson, vous bénéficiez de plusieurs avantages comme votre nom de domaine offert, un accompagnement complet et surtout l’obtention et la mise à jour du protocole HTTPS dès votre arrivée et en toute gratuité !

Comment passer son site en HTTPS

Ceci dit pour ceux qui ont déjà créé un site internet sans Orson, la question du passage à HTTPS se pose.

Passer en HTTPS revient à faire migrer son site internet. En d’autres termes, migrer vers HTTPS revient à transférer tout le contenu de votre site vers un nouveau site.

Pour ce faire, trois solutions s’offrent à vous selon votre situation.

Solution 1

La première : Pour la création de votre site internet, vous avez fait appel à une agence web ou à un freelance. Vous allez devoir refaire appel à eux pour qu’ils fassent migrer votre site internet à HTTPS. Dans ce cas, il va de soi que des coûts supplémentaires sont à prévoir puisque ce travail vous sera facturé.

Solution 2

La deuxième: Vous avez les compétences techniques nécessaires, vous maîtrisez le code et le langage de programmation. Dans ce cas vous pouvez vous lancer seul dans la migration de votre site internet vers HTTPS.

7 étapes pour passer en https

  1. Choisissez et achetez un certificat TLS. Il en existe plusieurs : simple, multi-domaine ou générique – votre hébergeur pourra vous aider dans ce choix. Installez et configurez le.
  2. Activez le HTTPS sur vos serveurs pour que les données chiffrées puissent passer.
  3. Assurez-vous que tous les liens internes fonctionnent toujours. Faites-les pointer vers HTTPS au lieu de HTTP. Sans ça, après votre transition, ils ne fonctionneront plus.
  4. Vérifiez que vous n’avez pas de “contenu mixte” grâce à https://www.jitbit.com/sslcheck/ . Les images, vidéos, plugins etc, peuvent provenir de sources HTTP non sécurisées.
  5. Implémentez des redirections 301 page par page, afin de ne pas perdre tous vos backlinks et donc certaines de vos sources de trafic. Vous pouvez utiliser l’un de ces 12 outils SEO pour vérifier vos backlinks et procéder aux corrections.
  6. Re-configurez votre site en HTTPS dans les outils d’analyse de site web que vous utilisez et transmettez à nouveau votre sitemap.
  7. Vérifiez que votre conversion a réussie.

Attention à ne pas commettre d’erreurs. Ce serait dommage d’y passer tant de temps pour finalement rater sa migration.

Solution 3

La troisième: Vous avez créé votre site avec un logiciel de création de site internet qui, comme Orson.io, s’occupe de tout, ou vous décidez de faire migrer votre site internet sur un nouveau site créé avec Orson. Dans les deux cas, vous n’avez aucun soucis à vous faire quant au protocole HTTPS.

Internet est un univers en constante évolution. Comme disait Montaigne; “le monde est une branloire perenne” et c’est encore plus vrai en ce qui concerne le Word Wide Web. Mais le web est aussi un univers où il est important – voire nécessaire – d’être présent. Donc, pour vous simplifier la vie, ces changements et nouvelles règles techniques d’internet, on s’en charge à votre place. Après tout, vous n’avez pas le temps de vous adapter à toute cette inconstance. Tandis que c’est notre métier de le faire pour vous et on l’adore !

Alors venez créer un site internet en https avec Orson sans plus attendre. C’est gratuit et sans engagement ni carte bleue pendant 15 jours ! Quoi demander de mieux ?

Pour conclure sur le https …

  • Le protocole HTTPS est un protocole 2 en 1 qui permet la sécurisation des échanges de données sur le web.
  • En Juillet 2018, Chrome 68 marquera tous les sites HTTP avec une mention “not secure”, ce qui rend indirectement l’obtention de ce protocole obligatoire.
  • Les sites toujours en HTTP après cette date verront leur marketing et SEO fortement impacté.
  • Le passage à ce protocole inclut des coûts supplémentaires
  • Certains outils de création de site comme Orson.io vous offrent ce certificat et s’assurent de la sécurité de votre site.
  • HTTPS n’est plus une option: passez-y vite !

Besoin d’éclaircissement ? Si vous jetiez un coup d’oeil à cette superbe infographie sur comment passer son site en HTTPS pour une explication en image ? De quoi s’offrir une meilleure compréhension du sujet.

Envie d’approfondir sur le https ?

Maintenant que le sujet n’a plus aucun secret pour vous et que vous êtes devenu expert en la matière, on vous quitte …

Mais pas de panique; on revient vite !

Rebecca Bonef