Basculer son site web de HTTP vers HTTPS

Le but est de vous expliquer de manière simplifiée et résumée le rôle d’un protocole web, en l’occurrence HTTP.

Le protocole HTTP est un acteur majeur du web car il permet le transfert de fichiers entre un navigateur (le client) et un serveur Web. Ce n’est rien de moins qu’un protocole de communication.

Je m’explique: lorsque vous cliquez, par exemple, sur un lien pour afficher une page web, vous envoyez ce qu’on appelle une requête (au format HTTP) au serveur qui héberge la page web demandée. Celui-ci traite votre requête et vous envoie sa réponse (au format HTTP également). Celle-ci contient notamment les données à afficher dans la page demandée.

Et voilà, c’est déjà fini pour le rappel, vous avez maintenant une petite idée de ce qu’est le protocole HTTP sans s’encombrer des détails techniques.

HTTP (HyperText Transfer Protocol) et HTTPS (HyperText Transfer Protocol Secured) sont deux protocoles de transfert comme expliqué plus haut.
Le protocole HTTPS n’est rien d’autre que la version sécurisée du protocole HTTP qui permet de sécuriser l’échange de données entre le site que vous visitez et votre ordinateur, il assure de ce fait la confidentialité des données qui transitent de part et d’autre. HTTPS est donc la combinaison de HTTP et d’un protocole de sécurité (certificat SSL).
Le https est notamment utilisé pour le paiement sécurisé de vos achats en ligne ou lorsque vous envoyez des données via un formulaire de contact.

Rien de plus simple, comme le montre l’image ci-dessus, il y a un cadenas vert à gauche de l’URL (l’adresse de votre page web) lorsque vous utilisez le navigateur Firefox. Quelque soit le navigateur utilisé (Edge, Internet Explorer ou Chrome), un site sécurisé sera identifié par ce fameux cadenas.
Vous remarquerez également que l’adresse de la page commence par https au lieu du classique HTTP.
Si ces deux conditions sont réunies, vous naviguez bien sur un site sécurisé. D’ailleurs, c’est le cas du site sur lequel vous lisez cet article 😉 .

Vous avez la possibilité de vérifier le certificat SSL (Secure Socket Layer) utilisé pour le protocole de sécurité d’échange de données. Pour cela, cliquez sur le cadenas : un petit popup apparaitra et vous confirmera que la connexion est sécurisée.

En cliquant sur la flèche à droite de la mention “Connexion sécurisée”, vous constaterez les informations sur le certificat utilisé dans le protocole de sécurité, il s’agit ici de “Let’s Encrypt” (le certificat SSL de base fourni par la majorité des fournisseurs d’hébergement web).

Cependant, beaucoup de sites web utilisent du “contenu mixte”, c’est-à-dire du contenu provenant à la fois de ressources HTTP et HTTPS, ce qui a pour conséquence que ces sites ne sont pas totalement sécurisés. Vous les remarquerez par la présence d’un cadenas barré en rouge à gauche de la barre d’adresse ou d’un cadenas gris avec un triangle orange (sur Firefox).

Mozilla Support parle de la notion de contenu mixte si vous désirez plus d’informations à ce sujet.

• C’est un des critères majeurs du SEO en 2017: pour les mordus du SEO, vous savez certainement que la migration de votre site vers le HTTPS est devenu un des critères de positionnement pour le géant américain Google. Ce critère améliorerait sensiblement le positionnement d’un site web dans les résultats du moteur de recherche. Autant se prémunir autant que possible des foudres de Google et de ses futures mises à jour d’algorithme. Vous garderez donc intact votre référencement naturel.
• Améliorer l’expérience utilisateur:  rien de tel que de naviguer sur un site sécurisé lorsqu’on effectue ses achats en ligne ! Passer son site en https et un gage de confiance indéniable pour les visiteurs, il vous apporte crédibilité et légitimité. La migration de votre site vers HTTPS vous fera gagner la confiance de vos prospects, et de Google par la même occasion.
• Sécurité: HTTPS vous fournit un protocole de sécurité comprenant:
  • le chiffrement des données qui transitent entre votre ordinateur et le site.
  • l’intégrité des informations envoyées: une personne mal intentionnée ne pourra ni capter, ni modifier ou corrompre les données envoyées vers le serveur.
  • l’authentification: vous montrez à vos prospects qu’ils surfent sur un bon site Web.

Faire un backup de votre site web avant la phase de migration vous permettra de revenir en arrière en cas de problème. La migration peut s’avérer complexe pour les non-initiés. Mieux vaut prévenir que guérir.

Pour ce faire, choisir le certificat SSL. Il existe une multitude de certificats payants. Certains fournisseurs d’hébergement vous proposent un certificat SSL gratuit (Let’s Encrypt) et même déjà préinstallé sur le serveur, c’est le cas d’OVH. Si ce n’est pas le cas, une fois choisi, il faut le générer et l’installer sur le serveur. A ce moment-là, vous aurez un site disponible en deux versions (http et https), ce qui sera corrigé à l’issue des manipulations suivantes.

Cela implique la réécriture de toutes les urls vous fournissant les ressources utilisées pour le site (images, vidéos, liens, scripts, …). Exemple: une image dont l’adresse est http://www.monsite.com/images/mon-image/ deviendra https://www.monsite.com/images/mon-image/.

Le maillage interne est un mécanisme de tissage de liens entres les pages de votre site. Veillez à mettre à jour ces liens en basculant les URL HTTP en HTTPS.

On utilise des redirections 301 (redirections permanentes) à placer dans le fichier htaccess (le fichier de configuration de votre serveur) à la racine de votre site. Il s’agit de rediriger les anciennes pages HTTP vers les nouvelles en HTTPS.

C’est une étape cruciale car elle permet d’éviter le contenu dupliqué, c’est-à-dire avoir des pages disponibles en version HTTP et HTTPS possédant le même contenu. A noter que, dans le cas de l’utilisation de CMS tels que WordPress ou Joomla par exemple, des plugins effectuent ce travail à votre place. Je vous conseille néanmoins fortement de vérifier que les redirections ont été correctement effectuées. Vous éviterez ainsi les erreurs 404 (page non trouvée). Ci-dessous, un exemple de contenu d’un fichier htaccess.

Un sitemap est un fichier listant les URL des pages de votre site, généralement au format XML. Il existe des outils en ligne permettant la génération de sitemap au format XML. Le but est de fournir à Google les nouvelles adresses (HTTPS) de vos pages via sa Search Console. Grâce aux redirections effectuées à l’étape précédente, Google remplacera dans son index les anciennes URL par les nouvelles.

Pour Google, la migration de votre site vers HTTPS est considérée comme un nouveau site. Ajoutez une nouvelle propriété en indiquant l’URL de la version HTTPS du site dans la Google Search Console et soumettez également le nouveau sitemap. Ne supprimez pas la propriété de l’ancienne version du site et le sitemap correspondant car Google a besoin de l’ancien sitemap pour détecter les redirections effectuées auparavant.

HSTS (HTTP Strict Transport Security) vous permet d’informer le navigateur que les transactions client/serveur se feront via une connexion sécurisée.
Vous devrez alors sécuriser vos cookies en ajoutant le mot-clef “secure”. Vous trouverez davantage d’informations ici.

Si vous utilisez un outil de statistiques de visites comme Google Analytics, vous devrez lui communiquer l’adresse de la version HTTPS du site.

Après avoir effectué toutes les étapes de cette checklist, vous ne devriez normalement pas rencontrer de soucis. Toutefois, pour vous assurer du succès de la migration de votre site, vous pouvez le tester via un outil tel que SSL server test de SSLabs.

Étape facultative mais cependant importante: si vous avez recours au réseaux sociaux pour promouvoir votre site, pensez à indiquer l’URL en version HTTPS .

J’espère que cet article vous aura permis d’en savoir un peu plus sur le protocole https et sa mise en place sur un site web. Il s’agit d’une étape obligatoire si vous voulez respecter les directives de Google et optimiser votre référencement. N’hésitez pas à nous contacter pour de plus amples informations.