Qui ne s’est jamais senti rassuré par le cadenas indiqué dans son navigateur lorsque l’on commande un produit sur internet ? Il semble aujourd’hui de moins en moins concevable de proposer une expérience non sécurisée à ses visiteurs. De plus les récentes indications de Google tendent à confirmer que les sites non sécurisés seront pénalisés par le moteur de recherche. Dès lors, comment passer sa boutique en HTTPS et conserver un bon référencement sur Google ?

De quoi parle-t’on lorsque l’on parle de HTTPS ?

Avant de se lancer dans un chantier (parfois) complexe, il s’agirait de comprendre de quoi nous parlons. Transport Layer Security (ou TLS, anciennement SSL) est un protocole de sécurisation des échanges entre l’utilisateur et le serveur. Emis par un organisme tiers de l’hébergeur ou de l’éditeur du site, il garantit ainsi à l’utilisateur que toutes les données échangées sont sécurisées (comme par exemple les entrées de formulaires ou sur une page de paiement) via un système de cryptage des données saisies. C’est ainsi que votre site a droit au petit cadenas à côté de l’URL, mais également le « S » ajouté au HTTP.

Pourquoi avoir un site sécurisé ?

D’abord du point de vue de l’utilisateur, il apparait essentiel de lui garantir que sa navigation est sécurisée – Mettriez-vous vos bijoux dans une banque qui n’a ni porte blindée ni alarme ? Sur internet, c’est la même chose, on ne demande pas à un internaute de fournir ses coordonnés bancaires, sans lui garantir que ses données sont protégées. D’ailleurs, certaines solutions de paiement comme Stripe ou Be2Bill ne peuvent être mises en place si vous ne possédez pas de certificat.

D’un point de vue marchand, c’est aussi un excellent moyen de booster son taux de conversion : un visiteur en confiance, c’est avant tout un client potentiel. Entre deux sites proposant un produit similaire, l’acheteur privilégiera celui qui est sécurisé. Plusieurs études de cas en attestent (une étude de Comodo a par exemple montré une hausse du taux de conversion de 11% sur un site de e-commerce en utilisant un certificat EV).

Enfin, et c’est le cœur de notre sujet aujourd’hui, parce que Google le dit. Ça peut sembler dogmatique et particulièrement gênant de répondre à la volonté de Google, mais sa démarche est louable. En soit, la firme de Mountain View veut proposer une expérience de qualité à ses utilisateurs, et, pour Google, cela passe par un site sécurisé. Quand on sait que Google représente plus de 90% de parts de marché des moteurs de recherche en France, et que Chrome est aujourd’hui le navigateur n°1, j’aurais tendance à suivre ses recommandations.

Cette prise de position n’est pas née d’hier, mais la dernière mouture de son navigateur Chrome illustre cette orientation en affichant clairement qu’un site n’est pas sécurisé. Qui empêchera à terme Google de restreindre l’accès à votre site parce qu’il n’est pas sécurisé ?
La tendance SEO de 2017 est clairement le HTTPS. Il n’a pas été prouvé de manière systématique qu’un site sécurisé améliore de manière significative son positionnement dans les résultats de recherche. En revanche, on constate de plus en plus que des sites non sécurisés perdaient des positions, et même parfois des sites récemment basculés vers HTTPS – dans ce dernier cas, c’est très souvent dû à un manque d’anticipation des problèmes potentiels qu’un tel changement entraine. Dès lors, il serait préférable de faire en sorte que ça n’arrive pas…

Comment basculer de http vers https

La première étape consiste donc à obtenir un certificat. La plupart des hébergeurs comme OVH ou 1&1 le proposent désormais de base et gratuitement dans la plupart des cas. A noter l’initiative de Let’s Encrypt qui propose gratuitement un certificat. Néanmoins pour certains sites ce dernier peut avoir un coût (jusqu’à 800 € / an). D’ailleurs, il faut bien distinguer deux types de certificats :

– Le certificat DV (ou domain validated) qui garantit la validité du domaine
– Le certificat EV (ou extended validation) qui garantit l’existence de l’entreprise éditrice du site (le nom de l’éditeur s’affiche d’ailleurs à côté du cadenas de la barre d’adresse)

Il vous faudra également évaluer votre besoin : un certificat simple peut être suffisant pour sécuriser un seul domaine, mais dans le cas de multiples sous domaines, un certificat générique ou multi-domaine est recommandé.

https

 

Avant même de parler d’URL, ou de redirection, pensons d’abord structure. Comme beaucoup de sites, il arrive que le vôtre fasse appel à des ressources tierces (attention aux iframe qui peuvent poser problèmes) : si ne serait-ce qu’une seule de ces ressources n’est pas sécurisée, vous pouvez oublier votre cadenas ! De la même manière, si vous monétisez certains emplacements de votre site, pensez bien à les lister et vérifier qu’ils sont conformes. L’impact sera surtout financier, certaines annonces ne pouvant plus s’afficher.

Il faudra évaluer ensuite si seule une réécriture du .htaccess est suffisante ou si certaines URL sont codées en dur. Cela va de pair avec la mise en place d’une redirection 301 depuis votre HTTP vers HTTPS. Pensez également à ne pas bloquer l’indexation du site https à partir du fichier robot, ou n’attribuez pas non plus le « noindex » à votre balise meta « robots ». En tout état de cause, on ne peut que recommander d’utiliser des URL relatives pour toutes les ressources présentes sur votre site.

Vous faites de la publicité sur les réseaux sociaux ou de l’AdWords ? Pensez également à changer vos URL en dupliquant les annonces (afin de ne pas perdre l’historique des performances, plutôt que de les modifier).

Enfin, l’ajout de la nouvelle propriété dans la Search Console est essentiel. Si vous ne la connaissez pas, c’est votre nouvelle meilleure amie, sinon une piqure de rappel est toujours bonne. Gardez en tête qu’elle ne permet pas de basculer du HTTP vers le HTTPS, dès lors :

–  Ajoutez la nouvelle propriété (sans oublier le S)
–  Validez votre site
–  Effectuez les actions de base (test du fichier robot, outil d’exploration et visualiser, demande d’indexation, envoi de la sitemap)
–  Vous avez enfin la possibilité de vérifier si votre site est sécurisé en utilisant un outil recommandé par Google fourni par ssllabs.com

Quand mettre en place un certifcat TLS ?

Ce n’est pas la chose la plus complexe que vous aurez à faire dans votre vie, mais ce n’est pas non plus la plus évidente. De toutes les façons il faut (ou faudra) le faire. Ça ne se fait pas à moitié (sinon tout le site n’est pas sécurisé…) Le plus tôt sera le mieux, mais comme dit l’adage « il ne faut pas confondre vitesse et précipitation ». Pensez donc à lister tous les éléments gênants, faites-vous une checklist et procédez par étape. En étant méthodique et rigoureux, vous n’aurez même pas le temps de vous apercevoir que c’est désormais votre version HTTPS et non HTTP qui est référencée.

 

Ecrit par Bruce Benzaken