fbpx
comprendre le https

Tout ce que vous devez savoir sur le HTTPS

L’HyperText Transfer Protocol Secure (HTTPS) est une version cryptée de HTTP, qui est le principal protocole utilisé pour le transfert de données sur le World Wide Web.

Le HTTPS protège la communication entre votre navigateur et votre serveur contre l’interception et l’altération par des pirates. Il assure la confidentialité, l’intégrité et l’authentification de la grande majorité du trafic actuel sur le WWW.

Tout site web qui affiche une icône de verrouillage dans la barre d’adresse utilise le HTTPS.

hoodboP4ShzzPPC6JL2Uwih4iDq9nBqJV4AfCMjHZu2WbCyeyN4859JEqQgV8Jt0qz4MX5lEx7JeDLtCVbFMKzUoKQ8 HSAaczeFWWehFwGEyVWIggE W R65bQhUzPpCiJE1PG6

HTTP vs HTTPS : comprendre les bases

Tout d’abord, laissez-moi simplifier et illustrer la communication entre le client (navigateur) et le serveur lorsqu’il y a un attaquant entre les deux.

attaque html

Comme vous pouvez le voir, les attaquants peuvent s’emparer de données sensibles comme les données de connexion et de paiement ou injecter un code malveillant dans les ressources demandées.

Les attaques potentielles de réseau peuvent se produire n’importe où avec un routeur ou un fournisseur d’accès Internet non fiable. Tout réseau WiFi public est donc vulnérable à de telles attaques. Heureusement, il semble que le grand public prenne conscience de ce fait (utilisation croissante des VPN).

Cependant, la charge de sécuriser la navigation de chacun incombe aux webmasters et devrait leur incomber.

C’est là que l’adoption du HTTPS entre en jeu.

Le HTTPS crypte les requêtes et les réponses HTTP, de sorte qu’un attaquant interceptant ne voit que des caractères aléatoires au lieu des détails de la carte de crédit, par exemple.

Une analogie avec le fonctionnement du HTTPS serait d’envoyer des objets de valeur dans une boîte à combinaison verrouillée indestructible. Seuls les expéditeurs et les destinataires connaissent la combinaison et si les attaquants mettent la main dessus, ils ne pourront pas y entrer.

Or, beaucoup de choses se produisent lorsqu’une connexion HTTPS est établie. Principalement, le HTTPS s’appuie sur le cryptage TLS (Transfer Layer Security) pour sécuriser les connexions.

Comment fonctionnent les certificats TLS

La seule façon d’activer le HTTPS sur votre site web est d’obtenir un certificat TLS et de l’installer sur votre serveur. Vous le trouverez également sous la forme d’un certificat SSL ou SSL/TLS, mais ne vous inquiétez pas, c’est la même chose. Le terme SSL est encore largement utilisé, même si nous utilisons tous techniquement son successeur TLS.

Les certificats TLS sont émis par des autorités de certification (CA). Le rôle de l’AC est d’être un tiers de confiance dans la relation client-serveur. En principe, tout le monde peut émettre des certificats TLS, mais seules les AC de confiance sont prises en charge par les navigateurs.

Vous pouvez vérifier le certificat TLS de chaque site web et l’autorité de certification qui le délivre en cliquant sur l’icône de verrouillage dans la barre d’adresse de votre navigateur.

Vous pouvez cliquer sur le certificat pour en savoir plus. L’important ici est la ligne « Délivré à : ». C’est là que nous entrons dans les différents types de normes de validation des certificats TLS, ce qui distingue principalement les certificats gratuits et les certificats payants.

DV, OV et EV : que signifie ce terme et lequel choisir ?

Les certificats TLS gratuits qui accompagnent vos plans d’hébergement et CDN ne font que la validation de domaine (DV). Cela permet de valider qu’un propriétaire de certificat contrôle un nom de domaine donné. Cette technique de validation de base est suffisante pour les blogs et les sites web qui ne traitent pas d’informations sensibles, mais elle n’est pas idéale pour ceux qui le font.

Les sites web utilisant un certificat DV TLS semblent sécurisés mais vous ne verrez pas la ligne « Issued to : » lorsque vous cliquerez sur l’icône du cadenas.

ZKsyIEUcfWbG7pc6H0PMw4gRt 1 eewfqzwMqmpAKPyqA2CwWRPg28W2uY5  9AOWx2xeFzAARwqLpm lYSUs09Hce1GWgcPZX3cTIbNgBazYJVzGaPujGu01h5Ts8p1NRNZB1C5

Le certificat DV TLS le plus courant provient d’une AC à but non lucratif appelée Let’s Encrypt. C’est ce qu’utilisent la plupart des entreprises proposant des certificats TLS gratuits et automatiquement renouvelables.

Il n’y a rien de mal à utiliser uniquement des certificats DV, après tout c’est le seul type de certificat TLS qui peut être automatiquement délivré à l’échelle. Toutefois, la force du HTTPS dépend du certificat sous-jacent qui authentifie le serveur auquel vous vous adressez.

Si votre site web permet les connexions ou les paiements, vous devriez investir dans un certificat TLS qui offre une validation d’organisation (OV) ou une validation étendue (EV). Ces deux types de certificats se distinguent par leur processus de vérification, la validation étendue (EV) étant plus rigoureuse.

Si vous souhaitez n’en acheter qu’un seul, je vous recommande d’opter directement pour le certificat TLS EV. C’est le plus fiable et il ne coûte pas beaucoup plus cher qu’une OV.

Les Certificats Wildcard et SAN TLS

Laissons de côté les normes de validation et passons à une autre catégorie de certificats TLS.

Les certificats Wildcard et SAN sont utilisés pour sécuriser plusieurs (sous-)domaines à la fois. Si vous avez acheté un certificat TLS EV standard pour example.com, vous aurez besoin d’un certificat séparé pour blog.example.com.

Les certificats Wildcard peuvent sécuriser un nombre illimité de sous-domaines (exemple.com, blog.exemple.com, docs.exemple.com) tandis que les certificats SAN ont également la possibilité de sécuriser d’autres domaines (exemple.com, blog.exemple.com, different.org).

Ces types sont combinés avec les types de validation, de sorte que vous verrez toutes sortes de combinaisons lorsque vous parcourez les options proposées par les autorités de certification. Ils vous guideront également tout au long du processus de validation.

Comment le HTTPS aide le référencement

Presque tous les avantages du HTTPS sont liés au référencement :

  • Un signal de classement allégé
  • Amélioration de la sécurité et de la vie privée
  • Conserve les données de référence
  • Permet l’utilisation de protocoles modernes qui améliorent la sécurité et la rapidité du site

Signal de classement allégé

Google a annoncé que le HTTPS est un facteur de classement léger dès 2014. Il s’agit plus d’un facteur de départage que d’un facteur qui ferait monter en flèche votre classement si les autres variables du facteur de classement restaient inchangées.

Il s’agit essentiellement de la contribution de Google à une adoption plus rapide du HTTPS à l’échelle mondiale.

Une meilleure sécurité et une meilleure protection de la vie privée

Nous avons déjà parlé de celui-ci. Mais comment cela est-il lié au référencement ?

Lorsque vous atterrissez sur un site web non sécurisé, vous verrez quelque chose comme ça :

bgxaakBG gDACjXAB7cZczZ6hRiKsE7yrMU4JwPbAL0AN gyw0b H7CqiUPXKyZBsRQHQPFVRSbftZJto2nQo5MgUeOnvMg7WIisrfZ42akXrMZRYmoxn6

Cela ne crée pas vraiment la confiance, n’est-ce pas ? Je suis conscient de mes préjugés professionnels, mais j’y fais personnellement attention et je me fais rapidement une mauvaise première impression si je vois cela sur un site web.

Je pense que la migration vers HTTPS peut améliorer le temps d’attente et empêcher les blocages. Bien qu’il ne s’agisse là que de facteurs de classement théoriques (non confirmés), 

vous souhaitez certainement que les gens aient confiance lorsqu’ils se retrouvent sur votre site web, indépendamment du référencement.

Conserve les données de référence

Si votre site web est toujours en HTTP et que vous utilisez des services d’analyse web comme Google Analytics, j’ai de mauvaises nouvelles pour vous : Aucune donnée de référence n’est transmise des pages HTTPS aux pages HTTP.

Comme la plupart des sites web fonctionnent aujourd’hui en HTTPS, la source de la majorité du trafic de référence (les clics sur les liens d’autres sites web) sera étiquetée comme directe dans la plupart des logiciels d’analyse.

L’un des inconvénients de cette méthode est qu’elle rend vos données désordonnées et biaisées. Un autre inconvénient est que vous ne pouvez pas voir vos meilleures sources de référence – ce qui est une occasion perdue de créer des liens.

L’utilisation de protocoles modernes améliorent la sécurité et la rapidité du site

Sur le papier, le HTTPS est plus lent que le HTTP en raison des fonctions de sécurité supplémentaires. Toutefois, le HTTPS est la condition préalable à l’utilisation des dernières technologies en matière de sécurité et de performances web.

En d’autres termes, outre la sécurité, le HTTPS permet également à votre site web d’améliorer la vitesse des pages lorsque vous utilisez des protocoles comme TLS 1.3 et HTTP/2. Et outre une meilleure expérience utilisateur, Google considère la vitesse de la page comme un facteur de classement léger similaire à HTTPS :

Comment mettre en place le HTTPS

Cela dépend de votre scénario.

1. Vous lancez un nouveau site web

Vous avez gagné à la loterie. Utilisez le HTTPS dès le début et vous n’aurez plus à vous soucier du HTTP et des erreurs liées à la migration.

Il vous suffit d’avoir un bon hébergeur qui vous guidera tout au long du processus et qui prend en charge les dernières versions des protocoles HTTP et TLS. Une fois que tout est en place et opérationnel, la mise en œuvre du protocole HSTS est la dernière étape pour sceller la sécurité.

2. Vous avez déjà un site web compatible HTTPS

Le fait que vous lisiez cet article me dit qu’il n’est probablement pas correctement mis en place. Suivez les conseils de la section suivante pour vérifier les erreurs les plus courantes.

3. Vous avez toujours un site web fonctionnant sous HTTP

Il faudra un certain temps pour que tout soit prêt et fait. La complexité de la migration en dépend :

  • La taille et la complexité de votre site web
  • Quel type de CMS vous utilisez
  • Vos fournisseurs d’hébergement/CDN
  • Vos compétences techniques

Bien que je pense que les propriétaires de petits sites web fonctionnant sur des CMS populaires et un hébergement solide peuvent effectuer la migration eux-mêmes, il y a beaucoup de variables en jeu.

Je vous suggère de vérifier la documentation de votre CMS/serveur/hébergement/CDN et de procéder en conséquence – et avec prudence. Il y a beaucoup d’étapes à suivre, alors créez ou suivez une check list de  migration et n’essayez pas de l’intégrer dans d’autres activités.

Si tout cela vous semble trop technique, engagez un professionnel. Cela vous fera gagner des heures de votre temps, vous épargnera des nerfs et garantira une mise en œuvre à l’épreuve du temps.

Comment vérifier les éventuelles erreurs de migration HTTPS

Même si vous avez coché toute la check-list de migration HTTPS, il y a de fortes chances que vous rencontriez encore quelques problèmes.

Certains des problèmes suivant sont souvent rencontrés:

  • 90,9 % des domaines ont une mise en œuvre HTTPS sous-optimale
  • Le HTTPS ne fonctionne pas correctement sur 65,39% des domaines
  • 23,01% des domaines utilisent des redirections temporaires 302 au lieu de redirections permanentes 301

Bien que beaucoup de choses aient changé et se soient améliorées depuis lors, je vous recommande de vérifier les cinq erreurs de migration HTTPS courantes ci-dessous. Cela ne prendra pas beaucoup de temps et la plupart d’entre elles ne sont pas si difficiles à corriger.

Erreur 1 : les pages HTTP subsistent

Avant tout, vous devez vous assurer que toutes les pages de votre site sont déjà en HTTPS.

Vous pouvez découvrir les pages HTTP restantes en explorant le site de manière approfondie. Cela ne devrait rien être de nouveau si vous vous en tenez à une quelconque checklist de migration HTTPS. Assurez-vous simplement que le crawler dispose de toutes les sources URL nécessaires pour ne pas laisser de pages derrière lui.

Vous pouvez utiliser l’outil Audit de site de Ahrefs. C’est ce que nous ferons dans le cas de ce article

Erreur 2 : pages HTTPS avec contenu HTTP

Cette erreur se produit lorsque le fichier HTML initial est chargé en utilisant HTTPS mais que ses fichiers de ressources (images, CSS, JavaScript) n’ont pas encore été mis à jour en HTTPS.

Si ce problème se pose sur votre site web, vous le verrez à la fois dans l’aperçu du crawl et dans le rapport des pages internes. Toutes les erreurs, avertissements et avis figurant dans l’audit du site contiennent une description du problème et des conseils sur la manière de le résoudre.

1bbueUYEKmWSc8j17UFLTnAd9Y66XopT0GZdPvphogLMU9b4eIxcMtJRbVg86X4wQHQmSNEPvy3bqhVfvocFkM fDveR5K82chHoUUUQObud1h7fjwQniXtwnGP

Aucun problème a ce niveau sur le site de Repere Digital

Erreur 3 : Les liens internes ne sont pas mis à jour vers le HTTPS

Le fait de ne pas mettre à jour vos liens internes vers le HTTPS entraîne des redirections inutiles. C’est évidemment mieux que d’atterrir sur une page HTTP mais nous avons déjà vécu cette erreur. Il est facile de repérer ces liens et de les corriger.

Vous trouverez ce problème dans le rapport sur les liens dans l’audit du site :

SepGIATLF aSKn90LxyVuFdzr0gALWSaKMdN5tRIslR uPguVGi1T4YExEiq3 72V7m3o1QdmDys l6uyAlt3N5w9Sauvr1fDXMBTaiuYvjkwLvW 7vkAeGHmHuyhyiMbupEjmS2

Il suffit de réécrire les URL vers https:// et le tour est joué. Ceci n’est applicable que si vous vous êtes déjà assuré qu’aucune page HTTP n’est laissée en utilisant le conseil sous l’erreur #1.

Erreur 4 : les balises ne sont pas mises à jour en HTTPS

Il existe deux types de balises que vous pourriez utiliser sur votre site web et dont l’URL doit également être mise à jour en HTTPS : les balises canoniques et les balises Open Graph.

Les balises canoniques indiquent à Google ce que vous considérez être la page la plus importante parmi un ensemble de pages similaires ou dupliquées. Pointer cela vers une version HTTP peut certainement envoyer un mauvais signal à Google et sera très probablement ignoré.

Si vous utilisez les balises Open Graph pour optimiser vos publications sur les réseaux sociaux, alors les balises URL sont requises par Facebook. Elles doivent être identiques aux URL canoniques.

Pour trouver des pages avec des balises canoniques HTTP et OG, configurez ce filtre personnalisé dans l’explorateur de pages :

u3Cq FdRHaP27OImHZsJ1YZR3aS44m8NvK I84QnO fNFj2rq1236aiR9vJZD9BXOVTNRhiF2zbTdL2klEXphNod1utybCRl4Uxw 1GB0PLU t0C6d4tZZq9IJYZ9XHNOQidm7 2

Encore une fois, il ne reste plus qu’à les réécrire sur https:// étant donné que la migration est complètement terminée.

Erreur 5 : Echec des redirections

Les redirections peuvent être délicates. Il y a beaucoup de choses qui peuvent mal tourner, des redirections brisées et boucles de redirection.

Heureusement, il est facile de repérer ces erreurs grâce à l’audit du site. Il suffit de consulter le rapport sur les redirections et de passer en revue tous les problèmes.

8ZXsygfmL6MEOQIfjjSxcwqynmmFPwOkjkHO7Oa8GV7Jl1H9RnBRtNeMeNduT4ryXOBCemNpLot2UcaqGUPclNCGjH6se1dr8WfzR638x41lII9p3AArqGGIY MRp3bjLKwB7hQP

Après avoir cliqué sur le bouton « Afficher les URL concernées », vous verrez un rapport similaire à celui-ci, mais avec plus de colonnes et de mesures par défaut :

Dy1md4oxc4wCrb6V27znf2cmPSaFBpbOXcDcFNOZDE oOcc3BVj6N93ppGJEo8vZ8Mqxf3m6KwLn1uvd 8UkRPP17hHYxOFQxJDc8eTDzKhkFR3YQaLin1oHdK4j QZXwhKwWuu

La meilleure chose ici est que vous verrez vraiment toutes les URL affectées – celles qui sont redirigées, celles qui se trouvent à l’intérieur de la chaîne de redirection et celles qui sont liées aux URL redirigées.

Il y a deux choses que nous devons faire ici.

La première est de diviser les redirections, dans ce cas :

https://www.reperedigital.org//> -> redirection 301 -> >https://reperedigital.org/

Cela permettrait de garantir que tous les liens vers https://www.reperedigital.org/ et https://reperedigital.org/ ne soient redirigés qu’une seule fois. 

Nous pouvons cependant faire mieux en interne.

Nous devons nous efforcer d’obtenir le moins de redirections possible.

Conclusion

J’espère qu’ensemble, nous pourrons rendre la navigation sur le web plus rapide et plus sûre.

Selon w3techs.com, 59,4 % des sites web de l’échantillon de l’enquête utilisent le HTTPS par défaut. En comparaison, Google rapporte qu’entre 88 et 99 % du temps de navigation dans Chrome est passé sur des sites HTTPS.

Ce que je retiens de ces données, c’est que la grande majorité des sites web populaires ayant un trafic considérable sont déjà passés au HTTPS. Si vous vous interrogez sur la grande différence entre ces deux points de données, alors j’attribuerais cela aux sites web chinois qui ne sont pas inclus dans les données de Google.

Il reste cependant beaucoup à faire en termes de qualité du support TLS. Comme vous l’avez appris ici, la configuration du HTTPS ne s’arrête pas au processus de migration. Suivre les tendances en matière de performances et de sécurité du web et mettre en œuvre les nouvelles fonctionnalités est bénéfique pour toutes les parties concernées.

Retour haut de page

S'abonner à ma newsletter

Des conseils en SEO et de stratégies marketing livrées directement dans votre boîte de réception 2x par semaine
1 Share
Share via
Copy link
Powered by Social Snap