Il est désormais capital que l’adresse de votre site web débute par HTTPS. Mais, qu’est-ce que le HTTPS au juste ? Le HTTPS permet de sécuriser les échanges de données entre les internautes et les sites web qui utilisent ce protocole. Vous vous demandez alors, comment faire pour passer mon site web de HTTP à HTTPS ? Quels avantages vais-je en retirer ? Combien coûte le basculement, en termes d’argent et de temps ? On répond à toutes vos interrogations dans cet article et, en prime, on vous explique comment installer le HTTPS sur votre site web, étape par étape.
Comprendre le HTTPS
HTTPS (l’acronyme pour Hypertext Transfer Protocol Secure) est la version sécurisée du protocole HTTP. L’idée est assez simple : en utilisant le HTTPS, les données échangées deviennent cryptées, ce qui pose un gros problème pour le hacker qui souhaiterait intercepter les données. Le HTTPS permet de rendre votre site plus sûr pour les internautes qui le visitent. C’est son intérêt principal. En utilisant le HTTPS, vous limitez les risques qu’une personne malveillante intercepte les données transmises par l’internaute sur votre site internet et plus largement toutes les informations transmises entre le navigateur et le serveur de votre site. Le HTTPS est une garantie contre le piratage des données personnelles. Il permet aussi de garantir l’intégrité des données.
C’est la raison pour laquelle le protocole HTTPS est rentré dans la norme, en particulier pour les sites Internet qui demandent des informations confidentielles voire ultra-confidentielles à leurs visiteurs. Tous les sites qui supportent des transactions financières ont adopté ce protocole de sécurité, comme par exemple les sites e-commerce et bancaires.
On reconnaît les sites qui utilisent le HTTPS grâce au petit cadena situé sur la gauche de l’adresse du site :
Pourquoi le HTTPS est devenu le nouveau standard ?
Le HTTPS est déjà intégré sur la très grande majorité des sites internet et, nous l’espérons, sur TOUS les sites e-commerce et bancaires. L’une des raisons pour lesquelles il est devenu indispensable, est que Google le prend en compte comme un facteur de référencement (un « ranking factor »). Google prend donc en compte le HTTPS dans sa manière de référencer les sites web. En un mot, le célèbre moteur de recherche accorde un bonus (de plus en plus grand) aux sites en HTTPS. C’est la raison pour laquelle tous les consultants SEO ou presque recommandent à leurs clients de basculer leur site web en HTTPS.
Est-ce que votre site a vraiment besoin du HTTPS ?
Dans une optique de référencement naturel (SEO), mais aussi de sécurité des internautes, passer de HTTP à HTTPS n’est certainement pas une priorité, c’est une nécessité :
- Le HTTPS est devenu un standard incontournable de l’ensemble du web. Google se montre donc très exigeant concernant la sécurité des sites (Google veut le bien des internautes, c’est bien connu).
- L’impact SEO est assez important sur certains sites (mais pas sur tous).
Générer des liens externes (backlinks) ou créer du contenu de qualité restent les deux priorités en matière de SEO. Découvrez, si cela vous intéresse, 9 techniques efficaces pour générer des backlinks de qualité.
En 2020, l’HTTPS doit être l’une de vos priorités pour votre site web. Même si cela présente quelques inconvénients (certificat payant, migration etc.), le passage au protocole HTTPS est désormais quasiment indispensable. Voyons ensemble les avantages que cela aura sur votre site Internet.
- Le HTTPS est un facteur à part entière dans ses algorithmes de classement de recherche. Vous devez donc, impérativement, l’implémenter sur votre site.
- Sans le protocole HTTPS, c’est aussi votre serveur qui est vulnérable à une cyber-attaque. Une attaque sur votre serveur, et c’est tout votre site qui est hors service. Des données confidentielles (adresse, carte bleue, mot de passe etc.) seront alors susceptibles d’avoir fuitées. En ajoutant HTTPS à votre site, vous dormirez l’esprit plus tranquille.
- Au-delà des données protégées, le protocole HTTPS instaure de la confiance chez vos visiteurs. Ils seront plus enclins à effectuer des achats sur un site parfaitement sécurisé.
- Enfin, et pour compléter le point précédent, un site qui utilise HTTPS augmentera sa génération de leads ainsi que ses conversions. C’est évident, des utilisateurs qui ont confiance, sont des utilisateurs qui s’engagent.
Face à cette liste d’avantages, il paraît très intéressant, voir indispensable et urgent de passer votre site web en HTTPS. Passer en HTTPS, surtout si vous avez un site e-commerce ou plus généralement un site qui réclame des données bancaires et/ou très confidentielles à vos visiteurs, est une question de survie de votre activité. Il existe des services professionnels dédiés à ce type migration.
Le petit plus : découvrez comment améliorer la réassurance de votre site e-commerce.
Mise en place du HTTPS sur votre site
Voici la liste des étapes à suivre si vous souhaitez passer votre site web de HTTP à HTTPS.
Etape 1 : choisir un certificat SSL
Le SSL (pour Secure Sockets Layers) est le protocole de sécurisation des échanges de données auquel est associé le HTTPS. C’est le SSL qui crypte les échanges de données, garantit l’intégrité des données et permet d’authentifier les internautes et serveurs. Vous devez installer un certificat SSL sur votre site pour pouvoir utiliser le HTTPS. Il existe plusieurs types de certificats SSL, du plus basique au plus complet :
- Les certificats « Domain validation ». Ce sont les certificats SSL les moins onéreux mais aussi les plus rudimentaires. Ils permettent seulement de crypter les échanges de données, sans aucunes authentifications.
- Les certificats « à validation de l’organisation ». Ce sont les certificats de gamme moyenne qui permettent, en plus du cryptage, de procéder à l’authentification des internautes et des serveurs.
- Les certificats « à validation étendue », qui permettent une sécurisation maximale. Ce sont aussi les plus chers. Ce type de certificats convient aux gros sites e-commerce ou aux sites qui collectent des données ultra-confidentielles.
Il est très simple d’acquérir un certificat SSL. Les sites qui en proposent sont légion. Visitez plusieurs sites pour comparer les offres entre elles et leur prix. Sachez que la grande majorité des hébergeurs de sites web (OVH, 1&1, etc.) proposent des offres de certificats SSL. Nous vous recommandons d’ailleurs de vous procurer le certificat SSL auprès de votre hébergeur. Certains hébergeurs offrent l’installation du certificat sur votre site web. Sur OVH, l’installation est automatique. Les hébergeurs qui ne prennent pas en charge l’installation proposent en général un guide pratique pour le faire vous-même facilement ou une assistance.
Etape 2 : Rediriger les pages de votre site
On l’a vu, basculer de HTTP à HTTPS équivaut à une migration avec changement de nom de domaine. Vous passez de « http://mon-site-web.fr » à « https://mon-site-web.fr ». Pour Google, ce sont deux sites différents. Concrètement, vous allez devoir rediriger toutes les pages de votre site basculant en HTTPS. Si vous êtes sur WordPress, vous pouvez réaliser les redirections 301 (redirections permanentes) depuis le fichier « .htaccess ». Pour en savoir plus sur les redirections 301, lire notre article sur « Comment conserver ses positions SEO lors de la refonte de son site internet« .
Etape 3 : Mettre à jour vos liens internes
Les liens internes désignent tous les liens tissés entre vos pages. Par exemple, dans une page A vous pointez vers une page B. Que faire si dans la page A vous pointez vers la version « HTTP » de la page B alors que la page B est maintenant en HTTPS ? Il y a deux solutions :
- Soit vous utilisez dans votre netlinking interne des URL relatives. Dans ce cas-là, vous n’avez rien à faire. Pour rappel, un lien vers une URL relative prend la forme suivante : <a href= »/pageb »>Link</a>. Le fait que la page de la page B passe de HTTP à HTTPS n’a aucun impact.
- Soit vous utilisez dans vos liens internes des URL absolues. Pour reprendre l’exemple ci-dessus, le code de vos pages n’indique pas <a href= »/pageb »>Link</a> mais <a href= »http://www.mon-site-web.fr/pageb »>Link</a>. Il est évident que si la page B passe en HTTPS, le lien devient cassé. Ce qui signifie que vous devrez modifier manuellement tous les liens internes qui pointent vers les pages passées en HTTPS. C’est très chronophage, mais il n’y a pas d’autre solution malheureusement. D’où l’intérêt, soit dit en passant, de privilégier les URL relatives pour le netlinking interne. Pour en savoir plus sur le sujet, découvrez les fondamentaux du netlinking.
Etape 4 : Mettre à jour vos images et les autres liens
Dans le code source des pages de votre site, vous avez des short-codes de ce type : <script src= »http://www.mon-site-web.fr/js/file.js ». Là encore, le fait de passer en HTTPS va poser problème. Vous allez devoir réécrire ces scripts en ajoutant le « s » à « http ». Ou utiliser un protocole d’URL relatives supprimant le http devant le nom de domaine : <script src= »//www.mon-site-web.fr/js/file.js ».
Vous devez vérifier que votre CDN, si vous en avez installé un, supporte le HTTPS. Si vous n’êtes pas sûr, n’hésitez pas à contacter le support. Vous devez vous assurer qu’en vous rendant sur votre nouveau site en HTTPS, la source des images pointe bien vers la localisation en HTTPS sur votre CDN. Nous vous conseillons d’utiliser un outil comme Screaming Frog SEO pour vérifier que vous n’oubliez aucuns liens ou images. C’est un outil de crawling au fonctionnement assez simple : il vous suffit de taper votre nom de domaine dans la barre de spider. Cela vous permettra d’obtenir des tonnes d’informations sur votre site internet et notamment de repérer toutes les URL en HTTP (utilisez l’onglet « Page Titles »). L’objectif, c’est que toutes vos URL soient en HTTPS (sauf si vous n’appliquez pas le HTTPS à toutes vos pages bien sûr).
Etape 5 : Mise à jour de Google Search Console
Une fois avoir réalisé toutes les redirections nécessaires et vous être assuré que vous n’avez plus de liens HTTP, vous devez prévenir Google pour qu’il ré-indexe rapidement vos nouvelles URL. Plus vous effectuerez cette étape rapidement, moins vous aurez de chances de perdre des positions SEO. L’idée est très simple : vous devez redemander à Google d’indexer les pages de votre site en rajoutant votre nouveau site dans Google Search Console (le nouveau nom de l’ancien Google WebMaster Tools). Encore une fois, passer votre site web de HTTP à HTTPS équivaut à une migration. Pour Google, un site qui a basculé en HTTPS est un nouveau site.
Rendez-vous sur votre compte Google Search Console et cliquez sur « Ajouter une propriété » :
Renseignez l’URL de votre site (« https://www.mon-site-web.fr »). Vous devez ensuite soumettre le sitemap de votre « nouveau » site. Pour rappel, le sitemap est, comme son nom l’indique, un plan de votre site qui permet à Google de comprendre plus facilement la structure et l’arborescence de votre site internet…et donc de mieux l’indexer. Pensez aussi à re-soumettre le sitemap de votre « ancien » site (en HTTP) dans l’ancienne propriété pour que Google puisse prendre en compte les redirections 301 et faire les mises à jour.
Découvrez Sendinblue, l’un des meilleurs outils de marketing automation pour les TPE / PME.
Etape 6 et dernière : Testez votre « nouveau » site web HTTPS
Normalement, si vous avez suivi toutes les étapes, vous ne devriez pas avoir de grosses mauvaises surprises en termes de trafic et de positions SEO. Si vous observez une grosse chute de vos positions SEO au-delà d’une semaine, vous avez probablement raté une étape ou commis quelques petites erreurs. Si c’est le cas, re-vérifiez que toutes les étapes ont bien été suivies et demandez de l’aide, le cas échéant, à votre consultant SEO.
En cas de problèmes rencontrés au niveau du SEO, nous vous conseillons de vérifier dans un premier temps l’installation de votre certificat SSL. il est possible que le problème soit à ce niveau-là. Utilisez pour cela l’outil SSL server test (gratuit) et renseignez l’URL de la page d’accueil de votre site (en HTTPS) dans le champ de recherche :
Vous obtiendrez un rapport vous indiquant, au moyen d’une note, si votre certificat est bien installé ou pas sur votre site :
le :
J’ai un site perso scientifique reconnu depuis 20 ans, qui est de type vitrine ne demandant aucune saisie de données personnelles. Hormis la pénalisation (mineure) du référencement Google, est-il absolument nécessaire de passer en https ?
le :
Même si le référencement Google n’est pas problème, le fait de ne pas avoir un site web sécurisé peut limiter grandement l’accès à votre site. Par exemple, certains navigateurs (Chrome, Firefox ou Safari) vont bloquer l’accès de votre site en indiquant qu’il n’est pas sécurisé. Ils laisseront la possibilité au visiteur de s’y rendre mais c’est parfois très compliqué de passer ce filtre, même lorsqu’on s’y connait un peu. Alors ceux qui s’y connaissent moins …
le :
Bonjour,
J’ai un site perso de type vitrine depuis 20 ans qui ne demande aucune saisie de données personnelles. Est-ce nécessaire de passer en https ? Hormis la pénalisation (mineure) du référencement Google, je n’y vois que des inconvénients (voir ci-dessous). Qu’en pensez-vous ?
1. Référencement Google
– Mon site restera « non sécurisé » s’il contient un seul lien externe en HTTP ( image, vidéo, fichier, script java…).
– Il faut rediriger le trafic visiteurs en créant une redirection 301 dans le fichier .htaccess du serveur d’hébergement du site. Impossible pour moi vu que je suis hébergé par mon FAI.
– Remise à zéro des compteurs de réseaux sociaux.
2. Certificat SSL Let’s Encrypt
– Gratuit mais très contraignant : à renouveler tous les 3 mois sinon message public « certificat SSL expiré ».
– Pas d’assistance en ligne. Seulement un forum Linux.
– Certificat incompatible avec les navigateurs obsolètes.
– Surcharge du serveur qui doit décoder les données cryptées.
le :
salut Facebook rejet mon site, je pensais que c’était un soucis de certification , mais non malgré le faite que j’ai sécurisé mon site le problème existe toujours. voici le message qui s’affiche: Cette URL va à l’encontre de nos Standards de la communauté en matière de spam :
le :
Bonjour, les raisons peuvent être multiples. (Hack, non respect de la communauté Facebook…)
Je vous invite à vérifier si Facebook bloque réellement votre URL via le programme de débogage Facebook.
Si tel est le cas, un message s’affichera avec un lien vers lequel vous pourrez soumettre à Facebook qu’ils ont faire une erreur dans le blocage de votre lien.
le :
j’ai pu passe de http au https avec l’aide cet article egalement merci
le :
Puis-je passer mon site en https
sans changer les liens vers des sites extérieurs en http et qui eux ne sont toujours pas en https ?
(c’est le cas de beaucoup de sites des archives départementales)…
orange me force à passer en https d’ici la fin du mois de mai et je ne sais que faire
Merci de m’éclairer car je ne connait rien au critère du https…
Philippe FRAISSE
le :
Passer son site en https devient incontournable. Merci pour l’explication!
le :
Salut à toute l’équipe de lafabrique. S’il vous plait, je souhaiterais savoir s’il est nécessaire de mettre en place une redirection du domaine sans www vers le domaine avec www via le fichier .htaccess, étant donné que la configuration chez l’hébergeur rend la redirection automatique. Je parle surtout du duplicate content du domaine avec et sans www.
le :
Ce thread sur StackOverFlow décrit bien comment créer une redirection de . vers wwww.
J’espère que cela vous aidera !
le :
Hello !
Article très intéressant. En fait je viens de lancer mon site de vente en ligne très récemment, du coup j’aperçois toujours un message me disant que mon site n’est pas sécurisé et qu’on me recommande fortement de basculer en https. J’ai créé moi même mon site via wordpress et je vois que la migration en https est assez compliquée. Je pose la question de savoir s’il faut obligatoirement passer par l’hébergeur de mon site pour réaliser le passage en https ? Merci
le :
La plupart des hébergeurs proposent de passer à l’HTTPS « facilement », néanmoins, il y a toujours du travail à faire de votre côté (changement des liens internes, redirections, etc.) pour s’assurer que tout se passe bien.
Si votre hébergeur ne propose rien au niveau HTTPS, je vous inviterais à regarder un autre hébergeur 😉 Cf. Comparatif hébergeurs wordpress.
le :
J’ai beaucoup lu sur cette nouvelle sécurité et tout est très instructif !
Mon blog http / ovh ne serait donc pas sécurisé ! La procédure de mutation en https parait très difficile à réaliser pour moi !
Quitte à changer du tout au tout, existe-t-il un protocole qui propose l’url https déjà toute prête, en 2018?
le :
Bonjour
Merci pour cet article.
Question bête mais lorsque l’on créée son site au final, autant le passer tout de suite en https non?
Je veux dire quel que soit le type de site ?
le :
Clairement, en 2017 ce serait dommage de créer un site web en HTTP.
le :
Merci pour votre article. Le passage en https très bien expliqué, je vais donc la partager sur ma page Facebook.
le :
Bonjour,
Concernant tous les liens externes qui pointent vers notre site en http://, la redirection 301 vers le https:// suffit ou il faut les contacter pour leur demander de pointer vers https:// ?
le :
Inutile de les contacter, le gain me semble marginal.
Autant utiliser ce temps pour générer de nouveaux backlinks 😉
le :
Bonjour, tout d’abord merci pour cet article très complet !
J’ai une question concernant les 301 déja existantes :
1- l’url http est redirigée en 301 vers sont équivalent via une règle dans le htaccess
2- l’applicatif redirige ensuite en 301 l’ancienne url vers la nouvelle
Tout ça fait qu’on a au final une double redirection… pas top non? pas trop recommandé de gérer ces centaines de 301 dans le htaccess ?
le :
Pas génial pour les performances effectivement. Il est plutôt recommandé de gérer les redirections 301 à un seul niveau, que ce soit dans le htaccess ou dans l’applicatif.
Je ne vois d’inconvénients à gérer des centaines de redirection 301 dans le htaccess, mais nous manquons de culture technique sur ce sujet pour être honnête.
le :
Merci pour votre réponse 🙂
le :
Et oui !
Pas plus tard qu’il y a 2 semaines, Google nous a jeté de Google Flux car notre tunnel de conversion n’était pas sécurisé. Impossible de réactiver sans passage en HTTPS (pour au moins le tunnel de conversion)
le :
Merci pour cet article ! De toute manière il faut passer en https parce qu’à mon avis tôt ou tard google ou les autres moteurs vont l’exiger.
le :
Merci pour ce point complet. Avez-vous remarqué une baisse du trafic en provenance de Google Images lors d’une bascule d’un site en https ? Je l’ai constaté à 3 reprises sur différents sites, de manière immédiate après la bascule : sur certains sites, ça finit par remonter, sur d’autres, c’est plus compliqué. A quoi cela peut-il être dû à votre avis ?
Merci !
le :
Très bonne remarque, j’ai effectivement remarqué la même chose, mais c’est toujours revenu au niveau normal au bout de quelques semaines dans mes expériences.
Je vous avoue que je n’ai pas d’idée précise sur l’origine, même si je pense que l’utilisation du CDN ou le fait que les images soient souvent appelées avec des liens absolus http://www.mondomaine, et du coup une redirection quand on passe en https, doit ralentir le re-référencement quand on passe en https.
le :
Bonjour,
A noter qu’il existe des certificats SSL gratuit sur https://letsencrypt.org/.
Certains hébergeurs proposent une configuration automatique avec ces certificats.
Pour ceux qui ont leur propre serveur, l’installation sur Linux Debian est facilité par un script.
le :
Bonjour,
Auriez-vous une idée du cout de développement et de mise en place sur un site ecommerce pour la migration http vers https (si on traite tous les points chez une agence?) ?
Et auriez-vous un avis quand à « l’obligation » du passage en HTTPS avant janvier 2017 ?
D’avance merci.
le :
Il n’y a pas vraiment d’obligation de passer à l’HTTPS avant janvier 2017, mais disons que cela va devenir un facteur SEO / réassurance de plus en plus important.
Pour un site ecommerce, il est clairement recommandé, ne serait-ce que pour la réassurance des clients, d’avoir l’HTTPS sur l’ensemble du site et pas uniquement sur la page de paiement.
Pour le coût de développement, cela dépend de nombreux facteurs (technologie, historique technique, etc.), ce n’est jamais évident de donner un chiffre. Je dirais qu’il y en a pour 3 à 5 jours de travail, soit environ 2000€, mais à nouveau cela peut dépendre de plusieurs critères. A noter qu’un « nouveau » prestataire aura forcément besoin de (bcp) plus de temps que le prestataire qui a réalisé le site initialement (ne serait-ce que pour récupérer tous les accès), même s’il n’y a pas besoin de rentrer vraiment dans le code source de votre site.
le :
Merci pour cet article très instructif. J’ai actuellement un client qui souffre d’une pénalité algorithmique. L’analyse de la courbe de trafic semble indiquer que cela remonte à la migration http vers https.
le :
Encore moi…
Je bugue !
Vous dites « pensez aussi à re-soumettre le sitemap de votre « ancien » site (en HTTP) dans l’ancienne propriété pour que Google puisse prendre en compte les redirections 301 et faire les mises à jour. »
Mais, les GWT ne permettre que de ré-envoyer des sitemap déjà hébergés (on donne juste l’URL en fait.. mais on ne peut pas importer de fichier xml, si ?).. et vu que j’ai des redirections franches de toute URL en HTTP vers HTTPS, .. il est fatalement redirigé vers les nouveaux sitemap… ceux en https.
Comment alors ré-envoyer les vieux sitemap en http ?
merci bcp !
le :
Très bonne remarque. Effectivement, si on rediriger toutes les pages ne http vers les pages en https, Google n’a plus aucun moyen d’accéder à l’ancien sitemap.
Vous pourriez faire une exception pour le sitemap.xml au niveau des redirections, mais honnêtement je ne suis pas sûr que cela soit vraiment utile.
Google va de plus en plus vite pour prendre en compte les redirections, le sitemap a un rôle moins important qu’il y a quelques années. C’est surtout utile si vous avez des pages peu ou pas maillées aux pages principales du site, et que vous souhaitez être sûr que Google les crawle rapidement.
le :
Bonjour,
MErci pour tout ce step by step qui m’a été bien utile.
Petite question cependant, lorsque l’on créé une nouvelle propriété avec le « nouveau » site https dans GoogleWT ou BingWT, quid de l’ancienne propriété ?
Doit-on la supprimer au bout d’un moment ?
Pourquoi continuer à garder l’ancienne version en http ?
Merci
le :
Disons que cela ne coûte rien à garder, et que cela vous permet de voir à quel moment les moteurs de recherche ont pris en compte totalement la migration.
Après quelques semaines / mois, vous pouvez évidemment supprimer l’ancienne propriété http.
le :
Bonjour et merci pour cet article.
À noter que le passage en HTTPS engendre une perte de performances impactant donc négativement le SEO.
Un mal pour un bien ?
C’est un sujet à traiter avec soin d’un point de vue technique et qui devrait s’accompagner d’actions en faveur de la performance.
le :
Remarque très pertinente. Merci Yannick !
L’impact de l’HTTPS peut être négatif sur le SEO si on ne s’assure pas que le temps de chargement reste contrôlé (moins de 2 sec environ) après le passage à l’HTTPS.
le :
Salut, après le passage de mon site https://congowebmaster.com vers HTTPS, mon traffic a radicalement diminuer (celui venant des moteurs de recherche bien sur) c’est après quelques jours que j’ai commencer à voir la montée encore
le :
Merci pour cet article très détaillé. Je viens également de publier récemment un article sur le sujet du seo et du https, complémentaire au vôtre http://www.seoh.fr/actualite-seoh/faut-passer-site-https-booster-seo.html