Qu’est-ce que le https ?

. Chapitre 1. Point 9

Le HTTPS, une version plus sécurisée du HTTP

Le HTTPS englobe en réalité deux protocoles différents : le protocole habituel HTTP et le protocole SSL, qui lui prodigue le côté sécurisé. Pour vous aider à mieux comprendre ce qu’est un site en HTTPS, revoyons d’abord ce qu’est le protocole HTTP. Il s’agit d’un protocole qui permet à tous les internautes de recevoir des informations depuis des serveurs web et d’envoyer d’autres informations vers ces mêmes serveurs. Les échanges se font sans aucun cryptage, en ce sens où les données reçues ne sont pas confidentielles et restent visibles pour tout le monde. Cette transparence présente un certain danger, surtout si l’utilisateur doit saisir des données confidentielles. Pour éviter que ces données sensibles ne tombent dans de mauvaises mains, il est indispensable de crypter les échanges, d’où l’ajout du protocole SSL au protocole HTTP déjà existant. Le SSL ou Secure Socket Layer est une couche supplémentaire sécurisée. La présence de ce protocole supplémentaire permet de créer un canal sécurisé entre l’utilisateur et le serveur. Plus concrètement, les échanges sont cryptés et seuls l’utilisateur et le serveur qui détiennent tous les deux la clé de ce cryptage peuvent déchiffrer le contenu des données échangées. C’est l’ajout de cette couche supplémentaire qui crée le protocole HTTPS.  

À quoi sert le protocole HTTPS ?

Passer en HTTPS présente de multiples avantages. Ce faisant, vous rassurez votre public cible quant à la sécurité de votre site internet. La mise en place HTTPS vous permet en effet d’éviter l’espionnage des données échangées sur votre site. Grâce à ce protocole, vous évitez que les informations échangées soient modifiées. Vous pouvez également vous assurer de l’identité de la personne, du programme ou de l’entreprise qui échange les informations avec vous. Le passage en HTTPS contribue également à l’amélioration du référencement de votre site. La présence du HTTPS envoie en effet un signal positif à Google et favorise votre indexation. En effet, les robots de Google indexent souvent par défaut les sites en HTTPS. Le HTTPS vous permet aussi de bien vous positionner par rapport à vos concurrents. Si votre site et celui de votre concurrent ont la même envergure, mais lui utilise un protocole HTTP et vous un HTTP, ce sera votre site qui apparaitra en premier dans les résultats de recherche de Google.  

Comment passer de HTTP à HTTPS ?

Le passage en HTTPS nécessite de solides connaissances techniques. Si vous êtes familiarisé avec le back-end de votre site, vous pouvez effectuer cette démarche vous-même, sinon, il est préférable de confier cette tâche à un professionnel en la matière. Pour obtenir un HTTPS, vous devez acheter un certificat SSL. Votre hébergeur peut vous aider à obtenir ce certificat. Installez-le et configurez-le en fonction de vos besoins. N’oubliez pas de configurer tous vos liens pour qu’ils pointent désormais vers HTTPS et non vers HTTP. Mettez également à jour votre bibliothèque de codes et vos plug-ins. Redirigez les liens externes sous votre contrôle vers HTTPS et transmettez à nouveau votre sitemap à Google pour qu’il soit au courant du changement opéré.  

Les inconvénients du protocole HTTPS

Malgré ses nombreux avantages, le fait de passer en HTTPS présente quelques inconvénients qui méritent l’attention. Tout d’abord, la procédure n’est pas gratuite. Vous devez acheter le certificat de sécurité HTTPS (le certificat SSL). Ensuite, vous devez faire une quasi-refonte de votre site puisque vous serez amené à changer toutes vos URL HTTP en HTTPS. Cela peut prendre du temps surtout si votre hébergeur ne dispose pas des fonctionnalités permettant d’effectuer cette démarche de manière automatique. En effet, si la démarche n’est pas automatisée, vous devez mettre en place des redirections 301 et réaliser des modifications dans Google Analytics et Google Search Console. Le passage au HTTPS peut aussi freiner quelque peu la vitesse d’affichage de vos pages. Le serveur sera beaucoup plus sollicité, car, avant d’afficher une page, il doit décoder les données cryptées. Notez toutefois qu’à moins que votre serveur ne soit pas adapté au trafic de votre site, cette perte de vitesse d’affichage n’a pas de répercussion visible à l’œil nu. En d’autres termes, malgré que vos pages se chargent moins rapidement qu’en HTTP, cela n’aura pas d’incidence grave sur l’expérience de navigation des internautes.  

Quels risques liés au passage en HHTPS ?

 

La migration : toujours un petit défi

Quand vous changez votre protocole de communication en HTTPS, vous procédez en quelque sorte à une migration de votre site. Comme toute migration, ce passage en HTTPS peut provoquer des problèmes techniques dont notamment celui des chaines de redirection. Quand vous migrez en HTTPS, vous pourrez rediriger Google vers des URL intermédiaires, non pertinentes, qui peuvent nuire à votre référencement. Heureusement, ces inconvénients peuvent être évités en veillant à ce que l’ancienne redirection 301 pointe directement vers la bonne URL en HTTPS, et ne plus passer par l’ancienne URL en HTTP. Pour éviter ces erreurs de redirections, pensez à ne pas effectuer la migration de votre site en HTTPS pendant les moments critiques. Si votre site concerne l’e-commerce, par exemple, évitez de changer de protocole de communication durant la période des soldes, le moment où votre trafic sera au maximum et les failles techniques facilement repérables et donc plus préjudiciables.  

Vous pouvez faire face à une baisse temporaire de votre trafic

L’autre risque que vous encourez en passant en HTTPS est la baisse temporaire de trafic de votre site. Google peut en effet mettre un certain temps avant de prendre en compte les nouvelles redirections que vous avez effectué. Pendant une période de quelques jours, Google va alors faire face à des URL dupliquées : votre ancienne URL en HTTP et la deuxième URL en HTTPS. Vous serez alors pénalisé pendant quelques jours de duplicate content, ce qui aura pour conséquence de faire baisser votre trafic de 15 à 20 % pendant l’espace de quelques jours. Une fois que Google arrive à prendre en compte toutes les nouvelles redirections que vous avez mises en place, le problème se résout de lui-même et vous pouvez retrouver vos anciennes positions dans les résultats de recherche. Pour limiter au maximum cette duplication de contenu temporaire, il est conseillé de ne pas immédiatement intégrer votre nouveau sitemap XML dans le Search Console de Google et laisser les robots de Google suivre eux-mêmes les redirections 301 que vous avez mis en place.  

Les risques liés à une certification non authentique

Pour limiter les dépenses, tout en profitant des avantages liés à l’utilisation du protocole HTTPS, certains propriétaires de sites prennent le parti d’utiliser un certificat autosigné. Cette pratique n’est pas conseillée puisque Google est en mesure de détecter les certificats qui ne sont pas authentiques. Ainsi, quand un internaute va sur votre site, le moteur de recherche envoie un message d’erreur notifiant le visiteur que le site n’est pas sécurisé, ce qui a pour conséquence de faire baisser votre trafic. L’idéal est d’investir dans un certificat SSL authentique. Selon vos moyens et les niveaux de garantie que vous souhaitez avoir, vous avez le choix entre un certificat SSL simple ou un certificat « extended validation ».