Pourquoi et comment passer son site en HTTPS

Passer son site en HTTPS devient incontournable. Voici pourquoi, et comment s’y prendre.

http https

Article rédigé par Tsifei Chan, Co-fondateur Orson.io

Le passage d’un site en HTTPS est un sujet d’actualité. Tout le monde en parle et chacun donne un avis plus ou moins éclairé sur le sujet. Si vous souhaitez optimiser votre site internet ou même créer un site internet vous devez vous y intéresser. Il nous a semblé indispensable d’expliquer pourquoi Google demande le passage en HTTPS des sites internet et quels sont les impacts sur les sites web existants.

Que signifie HTTPS?

Le HTTPS ( Hyper Text Transfer Protocol Secure) est un protocole de sécurité qui vise à crypter les informations échangées entre différents sites internet afin de sécuriser les transferts de données. Le HTTPS est la norme utilisée depuis des années sur tous les sites de e-commerce dans le monde.

Il existe plusieurs niveaux de sécurité pour les protocoles HTTPS mais tous reposent sur les mêmes principes:

– le chiffrement des données à l’aide d’un algorithme que seul le destinataire peut lire,

– un processus de vérification de la validité de chaque site internet ( pour être plus précis des domaines concernés).

Annoncée le 06 Août 2014, par Google (HTTP Everywhere) l’obligation de passer son site vitrine ou son blog en HTTPS est devenu une réalité le 23 Octobre 2017.

Pourquoi passer un site HTTP en HTTPS  ?

Protéger les informations des internautes et de vos clients

Le HTTPS sécurise les échanges de données. Dès lors que votre site est en HTTPS, le risque que des données telles que les emails, mots de passe, données clients sur un questionnaire ne sont plus susceptibles d’être interceptées facilement. De même la propagation de logiciels malveillants ( Malwares en anglais) sera freinée, permettant ainsi une meilleure sécurité du web. Il est donc de l’intérêt de tous de contribuer à l’essor du HTTPS.

Être mieux référencé et positionné par l’algorithme de Google

Google a annoncé que le HTTPS  est désormais un critère utilisé dans son algorithme de référencement d’un site internet, concrètement, le fait de ne pas être HTTPS doit donc pénaliser votre référencement naturel. Cette menace a été mise en application puisque seuls 25 à 30% des sites vitrines sont actuellement en HTTPS alors qu’ils sont plus de 50% présents en première page dans les résultats de recherche Google.

Éviter d’avoir de label “Non sécurisé” à l’affichage de votre site internet

Pour inciter un mouvement rapide du HTTP vers le HTTPS, Google a pris des mesures drastiques. Dès lors que votre site vitrine collecte des données (un simple formulaire), un message d’alerte “connexion non sécurisée” apparaît si un visiteurs veut accéder à votre site internet en HTTP. Google Chrome, Safari et maintenant Firefox, presque tous les navigateurs affichent à présent ce message, qui fait clairement fuir vos visiteurs.

Un certificat SSL gratuit ouvre l’accès du HTTPS à tous

Les registrars, entreprises qui attribuent les noms de domaine et proposent l’hébergement des sites internet, ont tous mis en place des offres commerciales pour l’achat des certificats indispensables à la migration d’un site en HTTPS.

D’autres acteurs, spécialisés dans la sécurité, ont fait irruption sur ce marché pour mettre à disposition un certificat SSL gratuit.

Let’sEncrypt, une organisation menée par Linux Foundation et soutenue par les géants américains tels que Mozilla, Facebook ou les Français OVH ou Orson.io, offre en effet des certificats SSL totalement gratuits. Seule contrepartie, vous devez renouveler le certificat tous les 3 mois. C’est une révolution sur le marché puisque les certificats SSL coûtent de l’ordre de 100€ par mois en fonction du niveau de sécurité et d’assurance voulu.

Toutes les conditions sont requises pour que le protocole HTTPS s’impose très rapidement, ce dans le monde entier. Il paraît aujourd’hui évident que d’ici un an maximum un site qui n’aura pas migré en HTTPS aura quasiment disparu des moteurs de recherche. Toute la question est donc de savoir comment migrer en HTTPS.

Comment migrer un site internet en HTTPS ?

Techniquement, passer de HTTP à HTTPS revient à faire une migration de site, donc à créer un nouveau site dans lequel sont migrés les contenus des différentes pages.

Si vous avez fait réaliser votre site internet par une agence web ou un freelance, il va vous falloir vous adresser à lui pour qu’il réalise cette opération. Votre partenaire vous facturera ce travail qui demande du temps et pas mal de technique. En fonction du coût qui vous sera proposé (de l’ordre de 1000 à 2000€) , la migration HTTPS peut être l’opportunité pour vous de refaire votre site pour le moderniser.

Si vous avez fait votre site internet seul en utilisant un CMS type WordPress ou Drupal, vous pouvez tenter de migrer seul votre site web. Cette opération n’est pas simple du tout et il faudra avoir un bagage technique réel pour ne pas commettre d’erreurs.

Enfin si vous utilisez les services de logiciels de création de site web type Wix ou Orson.io, il est probable que votre partenaire le fasse automatiquement votre site en HTTPS pour vous. C’est un réel service et une réelle valeur ajoutée..

Pour votre information voici les différentes étapes pour migrer votre site internet si vous souhaitez le faire seul.

1. Acheter un certificat SSL

Votre gestionnaire de nom de domaine peut vous proposer dans son offre un certificat SSL adapté à votre situation. A vous de choisir et de comparer éventuellement avec des concurrents car dans ce domaine comme dans d’autres la concurrence fait rage.

2. Activer le HTTPS sur vos serveurs

En fonction de votre serveur web et du langage utilisé, il vous faudra activer le HTTPS avec votre certificat SSL pour que les données cryptées puissent passer.

3. S’assurer que les liens internes de votre site internet vont fonctionner

Vérifier que les liens entre vos pages web sont sous format relatif.

C’est à dire qu’ils ressemblent à  “/catégorie/page-produit” et non pas sous un format classique d’adresse URL tels que “http://www.monsite.com/catégorie/page-produit” pour que lorsque votre site internet passera en HTTPS, ces liens fonctionneront toujours.

4. Supprimer le contenu mixte potentiel : images, scripts qui proviennent de site http

Les contenus de votre site internet qui font appel à des ressources externes tels que les images, les vidéos Youtube ou Vidéo ou bien des plugins et scripts pour avoir des fonctionnalités spécifiques peuvent constituer du contenu mixte. Assurez vous qu’ils proposent du HTTPs et changez cela dès maintenant.

Vérifiez si vous avez toujours du contenu mixte avec https://www.jitbit.com/sslcheck/

5. Rediriger le HTTP vers le HTTPS

Lorsque vous allez passer votre site web en HTTPS, toutes les liens provenant de site externe vers votre site internet contiendront toujours HTTP. Il faudra donc réaliser des redirections 301 ( permanente ) sur votre serveur de toutes les adresse URL existante HTTP vers celles en HTTPS pour éviter de perdre le trafic généré aujourd’hui.

6. Ajouter une URL canonique en HTTPS pour simplifier la migration pour Google

L’URL canonique correspond à l’adresse finale de votre page web. Pour le passage au HTTPS, ajouter l’url canonique en HTTPS pour chacune des pages web de votre site internet.

7. Après la migration de votre site web vers le HTTPS, vérifiez bien que votre certificat SSL soit effectif

SSL Labs va vous permettre simplement de vérifier le niveau de sécurité de votre site HTTPS. Il vous donnera une note et vous expliquer s’il y’a des choses à modifier ou corriger pour obtenir la meilleure note de A

8. Enregistrer de nouveau votre site HTTPS sur Google Webmaster

Si vous utilisez Google Webmaster, soumettez votre site internet en HTTPS de nouveau avec une nouvelle propriété. Votre site internet HTTPs est considéré par les moteurs de recherches comme un nouveau site.

9. Modifier dans la mesure du possible toutes les adresses et mentions à vos anciennes pages HTTP

Prenez dans l’ordre vos pages de réseaux sociaux, vos campagnes d’emailing ou marketing payantes ( Google Adwords ou Facebook ) et au fil du temps si vous voyez d’autres références à vos pages web HTTP, faites le.

En conclusion

Migrer votre site internet en HTTPS est une nécessité. Vous disposez de quelques mois pour bien organiser votre chantier voire profiter de cette opportunité pour refaire votre site internet. De toute façon cette évolution technique permettra une meilleure sécurité sur le web et chacun d’entre nous en sera bénéficiaire.


Nos dernières vidéos

10 commentaires

    • Honnêtement, je peux me fourvoyer mais j’ai l’impression que cet article sert surtout à faire la promo de Wix et Orson.io en les présentants comme les seules solutions simples

        • Désolé, j’ai peut-être été un peu rugueux, je m’explique (en citant une partie) :

          —-
          Si vous avez fait réaliser votre site internet par une agence web ou un freelance […] demande du temps et pas mal de technique […] de l’ordre de 1000 à 2000€ […]

          Si vous avez fait votre site internet seul en utilisant un CMS […] Cette opération n’est pas simple du tout et il faudra avoir un bagage technique réel pour ne pas commettre d’erreurs.

          Enfin si vous utilisez les services de logiciels de création de site web type Wix ou Orson.io, il est probable que votre partenaire le fasse automatiquement votre site en HTTPS pour vous. C’est un réel service et une réelle valeur ajoutée.
          —-

          J’ai eu le sentiment que ce passage faisait de la promo pour l’un ou l’autre service (indifféremment) en expliquant que les autres solutions sont trop complexes/coûteuses pour le commun des mortels

          Si j’ai extrapolé trop loin, toutes mes (sincères) confuses !

  1. 100€ / mois pour un certificat ?
    Pour un blog perso, un certificat sans assurance suffit et on en trouve à partir de 5$/AN 😉

    Concernant la migration vers https, pour un wordpress il suffit d’ajouter un vhost et d’ajouter un plugin qui va réécrire d’éventuels contenus mixtes.

    Un peu exagéré dans l’article, on se demande pourquoi 🙂

  2. Bonjour Thyrex,

    Oui la plupart des opérateurs vendent en moyenne à ce prix-là. Mais en effet, on peut trouver des certificats à 5$/an voir même gratuit comme ceux proposés par https://letsencrypt.org/

    Après, tout dépends de ce que l’on demande aux certificats. Sécurisé un domaine et/ou un ensemble de sous-domaines. Il y a également les différents types de certificats.

    Nous avons donc pris le parti, dans cet article, de proposer un montant moyen.

Répondre