La sécurité des sites Internet s'impose comme un enjeu important pour les entreprises et les moteurs de recherche, Google en tête. C'est là que le HTTPS intervient puisqu'il permet à un site et un navigateur de communiquer de manière sécurisée. En plus d'avantages relatifs à la sécurité d'un site Internet, le passage au https s'accompagne d'un impact non négligeable sur son référencement naturel (SEO).
HTTPS vs HTTP
HTTP signifie HyperText Transfer Protocol. Il s'agit d'un protocole développé en 1990 par Tim Berners-Lee, l'un des principaux inventeurs du world wide web (www). Son rôle premier est de permettre à un serveur et un navigateur internet de communiquer et d'échanger des données.
Le HTTPS voit le jour quelques années plus tard et, en rajoutant une couche de sécurité, devient HyperText Transfer Protocol Secure. Cela se traduit au niveau de l'url d'un site qui est alors du type https://monsite.ch. Le passage au https implique par conséquent l'acquisition et l'installation d'un certificat de sécurité. Différents types de certificats peuvent être utilisés pour sécuriser le protocole, SSL (secure sockets layer) et TSL (transport layer security) étant les plus connus.
Avantages du HTTPS
On lit parfois que le https n'est utile que lors de l'échange de données sensibles. Ce n'est pas, ou en tout cas plus, vrai. Son premier avantage est d'assurer la sécurité, l'intégrité et la confidentialité de données échangées sur le web. Le HTTPS a pour but d'empêcher l'interception de communications entre votre site et vos utilisateurs. Sans lui l'écoute de ces échanges est possible et, plus grave, les données interceptées peuvent être utilisées par des tiers à des fins non consenties.
Grâce au HTTPS, les données échangées sont cryptées. Quelles que soient les données collectées par votre site web ou renseignées par l'utilisateur, il permet donc de garantir que seules les parties autorisées sont à même de les décrypter. En cas de perte ou d'interception par un hacker, elles restent donc indéchiffrables. C'est vrai pour les noms et adresses emails, ça l'est également et avec bien plus d'importance pour les coordonnées bancaires.
Le second avantage majeur opère au niveau de la confiance accordée à un site Internet. Grâce au certificat SSL et donc au HTTPS, l'identité de l'éditeur du site web est connue. C'est un gage de confiance pour les utilisateurs qui agit directement sur la réputation d'un site Internet. Depuis 2017, Google Chrome affiche par ailleurs un message indiquant qu'un site n'est pas sécuritaire lorsque l'internaute essaie d'accéder à un site en HTTP. Cela peut évidemment le décourager d'y accéder.
Le HTTPS est donc devenu incontournable, tant pour les boutiques en ligne que pour les sites vitrines. Comme le veut désormais la tendance, si c'est bon pour vous, c'est bon pour Google, et donc votre SEO.
HTTPS et SEO, un impact important
Les moteurs de recherche donnent plus de visibilité aux sites jugés « bons » pour l'utilisateur. Cela implique bien sûr le type d'information proposée, la qualité du contenu ainsi que l'expérience utilisateur. Des critères moins visibles sont également considérés. La sécurité est l'un d'entre eux, et pas de moindre importance. Google considère ainsi qu'un site Internet possédant un certificat de sécurité est plus fiable. À contenu équivalent, un site en HTTPS sera donc mieux positionné dans les résultats des pages de recherche.
Un autre intérêt majeur du HTTPS pour le SEO est l'importance accordée par les moteurs de recherche aux versions mobiles. Les usages mobiles augmentent chaque année, tant que la consultation de certains sites Internet devient progressivement plus importante en version mobile. L'algorithme de Google en tient évidemment compte et accorde désormais une importance toute particulière à l'expérience utilisateur sur mobile ou tablette. Le rapport avec le HTTPS ? Il est requis pour utiliser AMP (accelerated mobile pages), une technologie développée par Google permettant d'accélérer le temps de chargement.
Ce qui pourrait paraître comme une contrainte technique supplémentaire pour les propriétaires de sites Internet doit en fait être perçu comme une opportunité. Une opportunité tout d'abord de proposer un meilleur niveau de sécurité et donc une meilleure expérience utilisateur. Une opportunité ensuite d'améliorer son SEO en quelques étapes simples.
Installer un certificat SSL simplement
Il existe différents types de certificats, plus ou moins sécurisés. Les plus performants sont payants, mais il existe des solutions gratuites et néanmoins efficaces. L'autorité de certification Let's Encrypt propose ainsi des certificats SSL gratuits, simples à installer et suffisant pour grand nombre de sites Internet. Pour installer un certificat SSL et donc passer un site de http vers HTTPS, il suffit de suivre quelques étapes :
Obtenir un certificat de sécurité La première étape est bien sûr l'acquisition d'un certificat SSL. La plupart des hébergeurs en proposent directement et beaucoup d'entre eux permettent d'obtenir simplement et rapidement un certificat Let's encrypt gratuit. Selon le niveau de sécurité souhaité, un certificat payant peut être nécessaire. Ils coûtent d'une dizaine à plusieurs centaines de francs suisses et sont renouvelables après un, deux ou trois ans selon les cas.
Installer le certificat Le processus d'installation peut varier selon le serveur sur lequel le certificat SSL est installé. De manière générale, cela consiste à uploader le certificat sur le serveur, l'activer puis redémarrer le serveur pour s'assurer que le certificat a bien été installé. Si vous travaillez avec un CMS, des extensions permettent de faciliter la mise en place du certificat. WordPress permet notamment de passer un site en HTTPS en quelques clics.
Assurez-vous dans tous les cas de tester la nouvelle configuration. Le site devrait à la fin de cette étape pouvoir s'afficher de façon chiffrée. Dans un navigateur Internet, cela se traduit par l'affichage d'un cadenas en début d'url puis d'une adresse commençant par https:// puis le nom de votre site.
Rediriger les pages vers https Le site est désormais disponible en HTTPS. Il faut encore cependant s'assurer que la version http ne soit plus utilisée. Cela pourrait encore être le cas en tapant manuellement l'url, en accédant à votre site via un ancien lien de redirection ou tout simplement pour les utilisateurs fréquents qui ont sauvegardé l'url dans leurs favoris. Il suffit pour éviter cela d'ajouter une redirection automatique de tout lien en http vers son équivalent en https, c'est ce que l'on appelle en langage web une redirection 301. Là encore, différentes méthodes coexistent et il est possible de coder la redirection au niveau de l'hébergement virtuel (virtualhost) ou en modifiant directement le fichier . htaccess à la racine du site.
Assurez-vous que Google indexe vos nouvelles pages Cette dernière étape peut paraître optionnelle mais elle est importante si le SEO joue un rôle dans le développement de votre stratégie web. L'indexation des pages par les robots des moteurs de recherche se fait automatiquement, c'est pourtant un processus lent. Les résultats visibles des efforts SEO prennent toujours du temps, pour en gagner un peu, vous pouvez mettre-à-jour votre sitemap et indiquer à Google, via la Google Search Console, d'indexer à nouveau votre site.