Dès janvier 2017 les utilisateurs du navigateur Chrome qui surfent sur un site sans HTTPS seront informés au niveau de la barre URL qu’ils se trouvent sur un site non sécurisé (Not Secure).

Google souhaite privilégier le HTTPS

Depuis septembre 2016 Google annonce sa volonté de rendre internet plus sûre pour les utilisateurs avec une navigation en toute sécurité. Ainsi Google laisse quelques mois aux sites web, e-commerce, blog, etc. pour passer en HTTPS.

La première vague s’appliquera d’abord sur les sites internet desquels sont transmis des données de paiement et des mots de passe de compte utilisateur. Ce qui est une grosse majorité du web.

Qu’est-ce que le HTTPS

Le HTTPS permet de crypter les données qui sont transmises entre le site internet que vous visitez et votre navigateur. Ainsi les données transmises e-mail, mot de passe, adresse, coordonnées bancaires, etc. ne sont compréhensibles qu’entre vous et le site.

Le protocole HTTPS a été mis en place dans le but d’échanger des données cryptées. En HTTPS il est donc possible de connaître les sites que vous avez visités,  mais il n’est plus possible de savoir ce que vous y faites.

L’affichage dans votre navigateur Chrome

Il y aura 4 types de notification dans le navigateur chrome.

Le Not Secure, pour les sites encore en HTTP. Un triangle rouge avec un point d’exclamation et le texte en rouge ‘Not Secure’ s’affichera à côté de l’URL du site internet. Ce qui est très pénalisant pour le site internet et risque faire augmenter rapidement le taux de rebond.

Le HTTPS brisé, pour les sites en HTTPS, mais avec encore des liens du site en HTTP dans le code source. Un triangle rouge avec un point d’exclamation et le texte en rouge barré du ‘HTTPS’ s’affichera à côté de l’URL du site internet.

Le HTTPS de premier niveau (gratuit), pour les en HTTPS valident. Un cadenas vert avec le texte en vert du ‘HTTPS’ s’affichera à côté de l’URL du site internet. À ce stade, le site est considéré comme de confiance.

Le HTTPS de niveau supérieur (payant), pour les en HTTPS valident. Un cadenas vert du texte en vert du ‘Nom de la société’ + ‘[FR]’ (pays) + ‘HTTPS’ s’affichera à côté de l’URL du site internet. À ce stade, le site est de confiance avec un niveau de certification plus élevé.

Faut-il réellement migrer sur le HTTPS ?

Google indique que les sites qui utilisent le HTTPS seront favorisés dans les résultats des moteurs de recherche. Il est évident que les HTTP vont disparaître progressivement des résultats de recherche de Google.  Pensez-vous réellement que Google va proposer sur son moteur de recherche des sites affichant un triangle rouge avec le texte ‘non sécurisé’ ?

À la question faut-il réellement migrer son site sur une URL sécurise ? Il semble indispensable de faire la modification le plus tôt possible avant de subir les foudres de Google.

Comment mettre en place un certificat ?

Auparavant, il fallait acheter un certificat en passant par son hébergeur. Ce type de certificat était assez onéreux, il fallait fournir à l’administration de certification la preuve de son identité ainsi que la concordance des données entre vous et le site à certifier. Une procédure longue et compliquée pour obtenir la certification et passer en HTTPS.

Aujourd’hui la certification peut-être payante ou gratuite en fonction des besoins.

La certification gratuite : Let’s Encrypt est une administration de certification qui fournit des certificats gratuits, mais la gratuité offre beaucoup moins de garanties que la version payante. Elle ne vous couvre pas si un client se fait dérober ses données.

La certification payante : Elle est bien sûr plus onéreuse, mais vous plus couvert contre les fraudes et le vol de données.

Il est bon de savoir que la majorité des sites internet vont opter pour la version gratuite, Let’s Encrypt. Maintenant que vous avez toutes les informations en main, vous pouvez faire une demande de certificat gratuit ou payant auprès de votre hébergeur de votre site internet.

Qu’est-ce que je risque à passer mon site en HTTPS ?

Le risque de migration en version HTTPS est à analyser en fonction de votre site internet. Avez-vous réellement les compétences pour effectuer cette migration ? Serez-vous modifier le code si certaines URL dans votre site internet sont rentrées en dur ? Serez-vous faire les redirections nécessaires pour passer de l’HTTP à l’HTTPS ?

Ces modifications doivent être réalisées rapidement pour limiter l’impact sur votre référencement.

Les étapes importantes pour migrer en HTTPS

Faire la demande auprès de votre hébergeur d’un certificat SSL gratuit ou payant en fonction de vos besoins.

Mettre en place la redirection de l’HTTP en HTTPS en ajoutant dans votre fichier .htaccess  la redirection vers les URL en HTTPS puis la redirection vers les www ou non.

Ajouter ce code dans le .htaccess pour rediriger sans les www

# Rediriger vers le HTTPS 
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://exemple.com/$1 [R=301,L]

# Rediriger sans les www du HTTPS
RewriteCond %{HTTP_HOST} ^www\.exemple\.com [NC]
RewriteRule ^(.*)$ https://exemple.com/$1 [R=301,L]

Ajouter ce code dans le .htaccess pour rediriger avec les www

# Rediriger vers le HTTPS 
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://www.exemple.com/$1 [R=301,L]

# Rediriger avec les www du HTTPS
RewriteCond %{HTTP_HOST} ^exemple.com [NC]
RewriteRule ^(.*)$ https://www.exemple.com/$1 [R=301,L]

Vérifier que les redirections sont bien configurées grâce à cet outil.

Changer toutes les URL fixes, les URL qui sont directement injectées dans le code  source de vos pages, mais aussi le Css et le Js.  Car si elles ne sont pas modifiées, le HTTPS sera affiché barré en rouge dans le navigateur. Il est possible d’identifier les erreurs dans le navigateur chrome en utilisant la console dans les outils de développement.

Régénérer le Sitemap et mettre à jour le fichier robots.txt pour indiquer aux bots la bonne adresse du Sitemap en HTTPS.

Mettre à jour toutes les informations dans la Search console de Google et dans Google Analytics.

Tester la qualité de votre certificat SSL pour votre site internet ainsi que la vulnérabilité de celui-ci avec cet outil.

L’HTTPS demain

Il est fort possible que les autres navigateurs internet appliquent le même type de contrôle sur les sites, car au final, ce système de vérification du HTTPS offre un confort de navigation supplémentaire à l’utilisateur.

1 réponse

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *