HTTPS : Google part à la chasse aux sites non sécurisés

Edit 08/12/2016 : WordPress incite aussi au passage en HTTPS ! À lire sur Presse Citron

A partir de janvier 2017, Google va à la chasse et les sites Web non sécurisés vont perdre leur place !

Depuis de nombreuses années Google cherche un plan afin d’améliorer la sécurité de son cheptel contre d’éventuels prédateurs. Cette réflexion l’a poussé à annoncer qu’à partir de janvier 2017 les sites non sécurisés (n’utilisant pas le protocole HTTPS) seront signalés sur leur navigateur « Chrome ».

En effet, jusqu’ici Google permettait à ces sites de recevoir et de communiquer différentes données confidentielles comme des mots de passe, des informations bancaires, etc. à un serveur Web via un protocole HTTP.

Seulement, face à la hausse des exigences de sécurité sur Internet, ce protocole ne semble plus suffisant et Google est le premier à faire bouger les lignes.

La firme américaine initie le mouvement et conseille fortement à ces sites de se conformer au protocole HTTPS (HyperText Transfer Protocol Secure) pour la protection de leurs données.

Ce protocole est défini par Wikipédia comme « la combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS ». En d’autres termes, HTTPS permet de chiffrer les données envoyées et reçues entre un serveur et votre navigateur.

Le protocole HTTP ne chiffre pas les données, ce qui pourrait permettre à un pirate de falsifier des informations avant qu’elles ne vous arrivent ou de récupérer des informations confidentielles.

A partir de janvier 2017, Google ciblera en priorité les sites qui effectuent des échanges de données confidentielles non sécurisés. Dans un second temps, il visera tous les sites utilisant le protocole HTTP.

Ces sites verront l’avertissement « Not secure » (non sécurisé) s’afficher dans la barre d’adresse du navigateur Chrome, devant leur URL.

Et si le message n’était pas suffisamment clair, Google le rendra encore plus visible en affichant la mention en rouge précédée d’un signe attention.

Ce signal risque d’inquiéter l’internaute qui préférera s’orienter vers un autre site. Il est d’ailleurs probable que Google généralise cette seconde signalétique par défaut dans les années à venir.

Chrome étant le numéro 1 des navigateurs, il n’est pas judicieux de lui tourner le dos.  S’il vous fallait une raison supplémentaire, sachez que Firefox et Edge le suivent et font eux-aussi le choix du web sécurisé. En septembre 2016, 63% des internautes utilisent Chrome pour naviguer sur le web, tous appareils confondus, selon StatCounter.

Il ne faut pas passer au HTTPS sur un coup de tête !

C’est une étape importante qu’il faut bien préparer et qui comporte quelques inconvénients.

En effet :

• Le passage à HTTPS implique un changement d’URL, ce qui peut entraîner de graves conséquences sur votre référencement naturel (chute de positionnement de votre site dans les résultats de recherche).
• Ce changement d’URL prend du temps. Il faut faire des redirections 301, mettre à jour vos différents outils (Analytics, Search Console…).
• Cette modification remet à zéro vos compteurs de partages sur les réseaux sociaux.

Pour passer en HTTPS, il faut tout d’abord acheter un certificat TLS et il en existe différentes sortes :

• Validation du domaine: c’est le certificat le moins cher et le plus simple à mettre en place. Il est accessible aux particuliers et aux professionnels. Aucun document n’est nécessaire pour l’obtenir et il est émis en seulement quelques minutes. Ce certificat vous permet d’utiliser le protocole HTTPS et d’ajouter un cadenas sur la barre d’adresse.

• Validation de l’organisation: ce certificat est réservé aux professionnels. Il est émis au nom de l’entreprise et son délai d’obtention est d’environ 48h.
• Validation étendue (EV) de l’organisation : le roi des certificats TLS. Il confère un niveau de sécurité plus élevé et augmente la légitimité de votre site.

Une fois le certificat obtenu il faut l’installer et le paramétrer correctement sur votre serveur.

Du point de vue du SEO, le passage au HTTPS équivaut à un changement d’adresse. En effet, les URLs de votre site changent lorsque vous passez de HTTP à HTTPS. Comme nous l’avons évoqué plus haut, une mauvaise gestion de cette modification peut avoir de graves conséquences.

Pour éviter ce problème vous allez devoir suivre différentes étapes :

• Redirigez les pages de votre site de HTTP à HTTPS via une redirection 301.
• Si vous faites du netlinking vous devrez mettre à jour les liens, lorsque cela est possible (la redirection 301 doit permettre de transférer le « jus » des liens vers l’URL cible mais il est toujours mieux de faire pointer les liens directement vers la bonne URL)
• Crawlez (parcourez) votre site pour vérifier que toutes vos URLS sont en HTTPS. Pour ce faire, nous vous recommandons d’utiliser Screaming Frog SEO Spider ou Xenu Link Sleuth.
• Mettez à jour les services externes comme Google Shopping, vos réseaux sociaux…
• Créez une nouvelle Search Console pour la version HTTPS
• Ajoutez l’adresse de votre nouveau sitemap dans la Search Console.

La nécessaire sécurisation du web est en marche, et Google, grâce à sa position dominante, accélère sa mise en œuvre, en imposant le HTTPS pour tous les sites.

Et vous, passage en HTTPS déjà effectué ? Pensez-y avant la fin de l’année 2016 pour entamer 2017 sereinement.

Si vous avez besoin de plus d’informations, n’hésitez pas à contacter l’un de nos pilotes projets pour plus de renseignements.