Faut-il passer votre site web de HTTP à HTTPS ?

Il est désormais capital que l’adresse de votre site web débute par HTTPS. Mais, qu’est-ce que le HTTPS au juste ? Le HTTPS permet de sécuriser les échanges de données entre les internautes et les sites web qui utilisent ce protocole. Vous vous demandez alors, comment faire pour passer mon site web de HTTP à HTTPS ? Quels avantages vais-je en retirer ? Combien coûte le basculement, en termes d’argent et de temps ? On répond à toutes vos interrogations dans cet article et, en prime, on vous explique comment installer le HTTPS sur votre site web, étape par étape.

Comprendre le HTTPS

HTTPS (l’acronyme pour Hypertext Transfer Protocol Secure) est la version sécurisée du protocole HTTP. L’idée est assez simple : en utilisant le HTTPS, les données échangées deviennent cryptées, ce qui pose un gros problème pour le hacker qui souhaiterait intercepter les données. Le HTTPS permet de rendre votre site plus sûr pour les internautes qui le visitent. C’est son intérêt principal. En utilisant le HTTPS, vous limitez les risques qu’une personne malveillante intercepte les données transmises par l’internaute sur votre site internet et plus largement toutes les informations transmises entre le navigateur et le serveur de votre site. Le HTTPS est une garantie contre le piratage des données personnelles. Il permet aussi de garantir l’intégrité des données.

C’est la raison pour laquelle le protocole HTTPS est rentré dans la norme, en particulier pour les sites Internet qui demandent des informations confidentielles voire ultra-confidentielles à leurs visiteurs. Tous les sites qui supportent des transactions financières ont adopté ce protocole de sécurité, comme par exemple les sites e-commerce et bancaires.

On reconnaît les sites qui utilisent le HTTPS grâce au petit cadena situé sur la gauche de l’adresse du site :

Pourquoi le HTTPS est devenu le nouveau standard ?

Le HTTPS est déjà intégré sur la très grande majorité des sites internet et, nous l’espérons, sur TOUS les sites e-commerce et bancaires. L’une des raisons pour lesquelles il est devenu indispensable, est que Google le prend en compte comme un facteur de référencement (un « ranking factor »). Google prend donc en compte le HTTPS dans sa manière de référencer les sites web. En un mot, le célèbre moteur de recherche accorde un bonus (de plus en plus grand) aux sites en HTTPS. C’est la raison pour laquelle tous les consultants SEO ou presque recommandent à leurs clients de basculer leur site web en HTTPS.

Est-ce que votre site a vraiment besoin du HTTPS ?

[intrigger indget= »5360″]

Dans une optique de référencement naturel (SEO), mais aussi de sécurité des internautes, passer de HTTP à HTTPS n’est certainement pas une priorité, c’est une nécessité :

• Le HTTPS est devenu un standard incontournable de l’ensemble du web. Google se montre donc très exigeant concernant la sécurité des sites (Google veut le bien des internautes, c’est bien connu).
• L’impact SEO est assez important sur certains sites (mais pas sur tous).

Générer des liens externes (backlinks) ou créer du contenu de qualité restent les deux priorités en matière de SEO. Découvrez, si cela vous intéresse, 9 techniques efficaces pour générer des backlinks de qualité.

En 2020, l’HTTPS doit être l’une de vos priorités pour votre site web. Même si cela présente quelques inconvénients (certificat payant, migration etc.), le passage au protocole HTTPS est désormais quasiment indispensable. Voyons ensemble les avantages que cela aura sur votre site Internet.

• Le HTTPS est un facteur à part entière dans ses algorithmes de classement de recherche. Vous devez donc, impérativement, l’implémenter sur votre site.
• Sans le protocole HTTPS, c’est aussi votre serveur qui est vulnérable à une cyber-attaque. Une attaque sur votre serveur, et c’est tout votre site qui est hors service. Des données confidentielles (adresse, carte bleue, mot de passe etc.) seront alors susceptibles d’avoir fuitées. En ajoutant HTTPS à votre site, vous dormirez l’esprit plus tranquille.
• Au-delà des données protégées, le protocole HTTPS instaure de la confiance chez vos visiteurs. Ils seront plus enclins à effectuer des achats sur un site parfaitement sécurisé.
• Enfin, et pour compléter le point précédent, un site qui utilise HTTPS augmentera sa génération de leads ainsi que ses conversions. C’est évident, des utilisateurs qui ont confiance, sont des utilisateurs qui s’engagent.

Face à cette liste d’avantages, il paraît très intéressant, voir indispensable et urgent de passer votre site web en HTTPS. Passer en HTTPS, surtout si vous avez un site e-commerce ou plus généralement un site qui réclame des données bancaires et/ou très confidentielles à vos visiteurs, est une question de survie de votre activité. Il existe des services professionnels dédiés à ce type migration.

Le petit plus : découvrez comment améliorer la réassurance de votre site e-commerce.

Mise en place du HTTPS sur votre site

Voici la liste des étapes à suivre si vous souhaitez passer votre site web de HTTP à HTTPS.

Etape 1 : choisir un certificat SSL

Le SSL (pour Secure Sockets Layers) est le protocole de sécurisation des échanges de données auquel est associé le HTTPS. C’est le SSL qui crypte les échanges de données, garantit l’intégrité des données et permet d’authentifier les internautes et serveurs. Vous devez installer un certificat SSL sur votre site pour pouvoir utiliser le HTTPS. Il existe plusieurs types de certificats SSL, du plus basique au plus complet :

• Les certificats « Domain validation ». Ce sont les certificats SSL les moins onéreux mais aussi les plus rudimentaires. Ils permettent seulement de crypter les échanges de données, sans aucunes authentifications.
• Les certificats « à validation de l’organisation ». Ce sont les certificats de gamme moyenne qui permettent, en plus du cryptage, de procéder à l’authentification des internautes et des serveurs.
• Les certificats « à validation étendue », qui permettent une sécurisation maximale. Ce sont aussi les plus chers. Ce type de certificats convient aux gros sites e-commerce ou aux sites qui collectent des données ultra-confidentielles.

Il est très simple d’acquérir un certificat SSL. Les sites qui en proposent sont légion. Visitez plusieurs sites pour comparer les offres entre elles et leur prix. Sachez que la grande majorité des hébergeurs de sites web (OVH, 1&1, etc.) proposent des offres de certificats SSL. Nous vous recommandons d’ailleurs de vous procurer le certificat SSL auprès de votre hébergeur. Certains hébergeurs offrent l’installation du certificat sur votre site web. Sur OVH, l’installation est automatique. Les hébergeurs qui ne prennent pas en charge l’installation proposent en général un guide pratique pour le faire vous-même facilement ou une assistance.

Etape 2 : Rediriger les pages de votre site

On l’a vu, basculer de HTTP à HTTPS équivaut à une migration avec changement de nom de domaine. Vous passez de « http://mon-site-web.fr » à « https://mon-site-web.fr ». Pour Google, ce sont deux sites différents. Concrètement, vous allez devoir rediriger toutes les pages de votre site basculant en HTTPS. Si vous êtes sur WordPress, vous pouvez réaliser les redirections 301 (redirections permanentes) depuis le fichier « .htaccess ». Pour en savoir plus sur les redirections 301, lire notre article sur « Comment conserver ses positions SEO lors de la refonte de son site internet« .

Etape 3 : Mettre à jour vos liens internes

Les liens internes désignent tous les liens tissés entre vos pages. Par exemple, dans une page A vous pointez vers une page B. Que faire si dans la page A vous pointez vers la version « HTTP » de la page B alors que la page B est maintenant en HTTPS ? Il y a deux solutions :

• Soit vous utilisez dans votre netlinking interne des URL relatives. Dans ce cas-là, vous n’avez rien à faire. Pour rappel, un lien vers une URL relative prend la forme suivante : <a href= »/pageb »>Link</a>. Le fait que la page de la page B passe de HTTP à HTTPS n’a aucun impact.
• Soit vous utilisez dans vos liens internes des URL absolues. Pour reprendre l’exemple ci-dessus, le code de vos pages n’indique pas <a href= »/pageb »>Link</a> mais <a href= »http://www.mon-site-web.fr/pageb »>Link</a>. Il est évident que si la page B passe en HTTPS, le lien devient cassé. Ce qui signifie que vous devrez modifier manuellement tous les liens internes qui pointent vers les pages passées en HTTPS. C’est très chronophage, mais il n’y a pas d’autre solution malheureusement. D’où l’intérêt, soit dit en passant, de privilégier les URL relatives pour le netlinking interne. Pour en savoir plus sur le sujet, découvrez les fondamentaux du netlinking.

Etape 4 : Mettre à jour vos images et les autres liens

Dans le code source des pages de votre site, vous avez des short-codes de ce type : <script src= »http://www.mon-site-web.fr/js/file.js ». Là encore, le fait de passer en HTTPS va poser problème. Vous allez devoir réécrire ces scripts en ajoutant le « s » à « http ». Ou utiliser un protocole d’URL relatives supprimant le http devant le nom de domaine : <script src= »//www.mon-site-web.fr/js/file.js ».

Vous devez vérifier que votre CDN, si vous en avez installé un, supporte le HTTPS. Si vous n’êtes pas sûr, n’hésitez pas à contacter le support. Vous devez vous assurer qu’en vous rendant sur votre nouveau site en HTTPS, la source des images pointe bien vers la localisation en HTTPS sur votre CDN. Nous vous conseillons d’utiliser un outil comme Screaming Frog SEO pour vérifier que vous n’oubliez aucuns liens ou images. C’est un outil de crawling au fonctionnement assez simple : il vous suffit de taper votre nom de domaine dans la barre de spider. Cela vous permettra d’obtenir des tonnes d’informations sur votre site internet et notamment de repérer toutes les URL en HTTP (utilisez l’onglet « Page Titles »). L’objectif, c’est que toutes vos URL soient en HTTPS (sauf si vous n’appliquez pas le HTTPS à toutes vos pages bien sûr).

Etape 5 : Mise à jour de Google Search Console

Une fois avoir réalisé toutes les redirections nécessaires et vous être assuré que vous n’avez plus de liens HTTP, vous devez prévenir Google pour qu’il ré-indexe rapidement vos nouvelles URL. Plus vous effectuerez cette étape rapidement, moins vous aurez de chances de perdre des positions SEO. L’idée est très simple : vous devez redemander à Google d’indexer les pages de votre site en rajoutant votre nouveau site dans Google Search Console (le nouveau nom de l’ancien Google WebMaster Tools). Encore une fois, passer votre site web de HTTP à HTTPS équivaut à une migration. Pour Google, un site qui a basculé en HTTPS est un nouveau site.

Rendez-vous sur votre compte Google Search Console et cliquez sur « Ajouter une propriété » :

Renseignez l’URL de votre site (« https://www.mon-site-web.fr »). Vous devez ensuite soumettre le sitemap de votre « nouveau » site. Pour rappel, le sitemap est, comme son nom l’indique, un plan de votre site qui permet à Google de comprendre plus facilement la structure et l’arborescence de votre site internet…et donc de mieux l’indexer. Pensez aussi à re-soumettre le sitemap de votre « ancien » site (en HTTP) dans l’ancienne propriété pour que Google puisse prendre en compte les redirections 301 et faire les mises à jour.

Etape 6 et dernière : Testez votre « nouveau » site web HTTPS

Normalement, si vous avez suivi toutes les étapes, vous ne devriez pas avoir de grosses mauvaises surprises en termes de trafic et de positions SEO. Si vous observez une grosse chute de vos positions SEO au-delà d’une semaine, vous avez probablement raté une étape ou commis quelques petites erreurs. Si c’est le cas, re-vérifiez que toutes les étapes ont bien été suivies et demandez de l’aide, le cas échéant, à votre consultant SEO.

En cas de problèmes rencontrés au niveau du SEO, nous vous conseillons de vérifier dans un premier temps l’installation de votre certificat SSL. il est possible que le problème soit à ce niveau-là. Utilisez pour cela l’outil SSL server test (gratuit) et renseignez l’URL de la page d’accueil de votre site (en HTTPS) dans le champ de recherche :

Vous obtiendrez un rapport vous indiquant, au moyen d’une note, si votre certificat est bien installé ou pas sur votre site :