HTTPS, ces cinq lettres majuscules vous sont forcément familières. Que vous soyez un simple amateur du web ou un informaticien expérimenté, ce protocole de sécurisation des sites internet ne saurait vous être inconnu. Il suffit de regarder votre navigateur à gauche de votre barre d’adresse URL pour voir apparaitre ces cinq fameuses lettres.
Ce protocole nous intéresse aujourd’hui car il représente un élément phare de l’algorithme de classement du navigateur Chrome de Google. Ce dernier avait souligné en 2014 une meilleure visibilité des sites protégés par le protocole HTTPS invitant par la même les webmasters à plus de sécurité à l’heure de se connecter. Les résultats sont probants en 2017, sur Android 64% des sites étaient sécurisés, sur Windows c’est 66% du trafic et sur ChromeOS c’était un peu plus de 75%. Par ailleurs, alors qu’en 2016 seulement 37 des sites les mieux référencés sur Google étaient protégés par le protocole HTTPS, ils étaient 71 fin 2017.
Cette transformation du web en un espace plus sécurisé n’est pas uniquement due à l’action de Google. D’autres facteurs en sont également à l’origine à l’instar des actions entreprises par les autres navigateurs et autres mesures facilitant l’accès au HTTPS.
Ci-après nous allons répondre à trois questions qui nous permettrons de mieux comprendre ce protocole. Il s’agira tout d’abord de définir l’HTTPS, d’en exposer les atouts en matière d’optimisation du référencement naturel et enfin d’expliquer les étapes à suivre afin d’adopter ce protocole.
Définition du HTTPS
Il convient tout d’abord de revenir à la définition du HTTP (« protocole de transfert hypertexte»). Ce dernier désigne un protocole de communication autorisant les échanges de données entre deux intervenants sur le web.
Il s’avère cependant que les échanges circulant à travers ce protocole ne sont pas cryptés laissant peu de place à la confidentialité et autorisant toute tentative de récupération d’informations. Celles-ci peuvent alors être détournées de façon malveillante comme dans le cas d’une manipulation bancaire. Face à ce sérieux défaut de sécurité, le HTTPS a été mis en place.
Le HTTPS vient pallier le problème rencontré par son prédécesseur. Au HTTP a été simplement inséré une couche de chiffrement sécurisée nommée TLS (Transport Layer Security).
Ainsi, ce nouveau protocole permet de crypter et donc de sécuriser les données échangées sur le web. L’utilisation d’une clé de chiffrement empêchant toute tentative d’action malveillante.
D’autre part, le HTTPS permet de certifier l’identité du site web visité nous garantissant que celui-ci correspond bien à l’URL affiché.
Au delà de la distinction liée à l’affichage des lettres HTTP ou HTTPS, un autre élément permet de vérifier la sécurisation d’un site internet. Il s’agit de l’affichage d’un cadenas parfois de couleur verte à gauche près de l’URL.
Les certificats HTTPS
Afin d’obtenir le protocole approprié, il faut tout d’abord se procurer le certificat SSL. Ce dernier permet au protocole HTTPS d’insérer la couche TLS de sécurité. Cette sécurisation consiste à chiffrer la circulation des données via une clé de cryptage asymétrique. L’apparition du cadenas atteste que le site consulté est protégé par un certificat SSL.
À savoir qu’il existe également le protocole TLS qui est une version plus récente et plus sécurisée du SSL. Si ce dernier est devenu obsolète, on continue à employer son expression afin de qualifier les certificats de d’authentification établissant le HTTPS.
On distingue un certain nombre de certificats qui se différencient par leur niveau de sécurisation. On retrouve notamment Let’s Encrypt qui se distingue par sa gratuité, le certificat à validation étendue (Extended SSL), ou encore le Domain SSL. Ce sont des organismes particuliers, les Autorités de Certification (AC) qui sont chargés de délivrer ces certificats. Nous pouvons citer Symantec, GlobalSign, RapidSSL, GeoTrust, TrustProvider ou encore AlphaSSL.
À savoir qu’un certificat de chiffrement peut à la fois être gratuit et valoir plusieurs milliers d’euros selon son niveau de fiabilité.
Deux raisons de passer au HTTPS
Vous hésitez à passer au protocole HTTPS? Nous vous citons deux raisons d’y adhérer.
L’aspect sécuritaire représente tout d’abord un atout de taille. L’HTTPS permet de protéger l’ensemble des utilisateurs du web des attaques malveillantes. L’attaque de « l’homme du milieu » notamment permet à un pirate informatique de capturer les communications d’un échange donné et d’en collecter des informations confidentielles de façon invisible. Vos identifiants et autres données bancaires peuvent ainsi être employés de façon illicite.
Ce protocole est donc essentiel pour lutter contre ce défaut de sécurité. Sont particulièrement concernés les sites web dans lesquels circulent des données personnelles.
Le second aspect concerne le SEO à savoir l’optimisation pour les moteur de recherche.
Google souhaite notamment étendre l’utilisation du HTTPS à toutes les plateformes web et non plus seulement à celles à risque. À terme, HTTPS devra être l’apanage de tous les sites web.
Afin de sensibiliser les internautes et avoir un impact sur leur confiance, Google souhaite même signaler les sites non sécurisés sur chrome.
Les conséquences du HTTPS sur le référencement naturel
Si en 2014, Google déclarait récompenser les sites en HTTPS via son algorithme de classement par rapport aux sites HTTP, on constatait une faible amélioration du positionnement.
En 2015, l’algorithme de Google privilégiait le site plus sécurisé lorsque deux sites presque identiques répondaient à une requête.
De nos jours, ce sont près de 40% des résultats apparaissant en premières lignes de Google qui adhèrent au HTTPS.
Le passage au HTTPS n’explique pas à lui seul cette évolution du positionnement. Y sont combinés d’autres techniques SEO efficaces. L’impact sur le référencement naturel s’avère en quelque sorte indirect car il faut emprunter le certificat SSL adéquat. Il influe sur la décision de l’internaute qui penchera sur un site sécurisé plutôt qu’un site HTTP.
Le signalement des sites non-sécurisés opéré par Google incitera ces derniers à mettre en avant leur passage au HTTPS.
De la même façon, lorsqu’un internaute s’aperçoit que le site qu’il consulte n’est pas sécurisé et qu’il fait marche arrière pour en consulter un autre, cela influe sur le Ranking Google du site web concerné.
Il reste que les sites sécurisés favorisés par Google en terme de positionnement risquent d’avoir plus de visibilité dans le futur.
Le SEO comme argument de passage au HTTPS?
Comme évoqué précédemment, le HTTPS est loin d’assurer à lui seul une ascension fulgurante en début de classement. Les critères déterminants pour un SEO efficace restant les contenus, les backlinks ou encore le réferencement technique. Aussi, ne faut-il pas migrer en HTTPS uniquement pour cette raison.
Migrer vers le protocole HTTPS offre néanmoins d’autres atouts non négligeables permettant à la fois la sécurisation des échanges et la valorisation de l’image de son site web.
À l’avenir, les internautes concernés par une divulgation de leurs données alors qu’ils consultaient un site en HTTP recevront des alertes de sécurité. L’image de marque du site web concerné en pâtissant grandement. De quoi inciter sérieusement les sites web à migrer au HTTPS!
Migrer du HTTP au HTTPS
Voici la marche à suivre si vous souhaitez accéder au HTTPS:
1. Il faut tout d’abord vous procurer un certificat SSL et l’installer sur votre site web.
2. Par la suite, il s’agira de modifier vos URL internes afin que le protocole soit appliqué.
3. Afin de sauvegarder votre popularité en termes de SEO, il est opportun d’installer des redirections 301.
4. Il faut savoir que vos URL seront dupliquées le temps que l’ensemble des redirections prennent place. Aussi, faut-il s’assurer que vos URL canoniques visent bien vos pages HTTPS.
5. Il faut s’assurer également de l’indexabillité des nouvelles pages HTTPS.
6. Enfin, le mécanisme de sécurité HSTS doit être activé afin d’informer les utilisateurs que les interactions bénéficieront dorénavant d’une connexion sécurisée.
À noter que des vérifications seront à opérer une fois la migration finalisée.
Il s’agira notamment de tester le protocole nouvellement installé via le lancement d’un crawl permettant de déceler toute erreur. Puis, il faudra créer un nouveau compte Search Console auquel il faudra adresser les URL en HTTPS. Les URL des liens pointant vers votre site devront également être corrigés afin qu’ils soient en HTTPS. Quant aux plugins externes de vos logiciels de gestion de contenu ( CMS), il faudra veiller à ce qu’ils soient bien compatibles avec le protocole HTTPS. De la même façon. afin que les pages en HTTPS soient validées par la plateforme, il faudra modifier vos paramètres dans Google Analytics. Cela vous permettra notamment de récupérer vos indications du nombre de partages et likes.
Toute migration pouvant donner lieu à des ralentissements du fait de la complexité de la communication entre deux entités, les
pages peuvent tarder à charger.
À savoir que ces problèmes de performance peuvent êtres résolus via le protocole HTTP/2.
Comment choisir son certificat?
Le certificat que vous choisirez à l’heure de passer en HTTPS dépendra de vos besoins en terme de sécurité. Un site web commercial où circulent des données personnelles nécessitera un DV (certificat à validation de domaine ou un OV ( à validation d’organisation) aux coûts assez onéreux.
À contrario, un site plus classique où la circulation de données confidentielles est inexistante se contentera d’un certificat SSL gratuit.
Petite précision concernant les certificats OV et DV. Le premier permet d’authentifier celui qui requière le certificat tandis que le second n’opère pas cette identification. La nécessité de cette protection additionnelle relève du simple choix de l’internaute.
Dans le cas d’un site commercial, la sécurité des données des clients est primordiale aussi l’utilisation du certificat à validation étendue (EV) est essentielle assurant une protection optimale. On reconnait sa présence à la barre verte s’affichant dans le navigateur. Celle-ci rassure en un rien de temps les internautes.
On distingue enfin les certificats multi-domaines qui concernent des plateformes nécessitant de protéger plusieurs noms de domaine.
Conclusion
S’il ne relève pas d’un besoin essentiel et n’apporte aucun bénéfice extraordinaire question SEO, l’adhésion au HTTPS est sans aucun doute synonyme de sécurité et de confiance.
Le sentiment de sécurité inspiré aux internautes quant à la protection de leurs données reste une raison plus que suffisante pour se procurer un certificat SSL.