HTTPS, c’est quoi exactement ? Vous avez déjà remarqué que le nom d’un site dans la barre de recherche d’un navigateur ressemble à ça : http://www.nomdusite.com, et parfois cela commence par https://… avec un ‘s’ comme sécurité et un petit cadenas à côté pour indiquer une connexion sécurisée.
HTTPS (( Hyper Text Transfer Protocol Secure) est un protocole de sécurité qui sert à crypter les informations échangées entre un serveur (celui du site que vous voulez visualiser) et un client (vous, par le biais de votre navigateur) afin de sécuriser les transferts de données. Ce protocole est un standard d’internet, même s’il regroupe différents niveaux de sécurité selon le fournisseur du certificat; cela reste transparent pour l’utilisateur final que vous êtes.
Tout le monde a entendu parler des vols de numéros de cartes bancaires lors d’un achat sur internet. C’était au temps où les transactions n’étaient pas sécurisées et où votre numéro de CB était visible en clair sur internet. Cette époque est révolue et tout site de commerce qui se respecte effectue des transactions en version cryptée.
Pourquoi passer en HTTPS ?
Vous avez un site internet pour votre entreprise ou vous songez à vous équiper prochainement. Il est indispensable de passer son site en https si vous faites du commerce à distance, évidemment, mais aussi si votre site est juste un site de présentation de votre société. Vous vous dites que cela n’a pas d’importance pour juste afficher la description de vos produits et leur photo. Détrompez-vous!
La première des raisons est de mieux sécuriser son site.
Il existe peu de sites qui ne demandent pas ou qui ne laissent pas la possibilité à l’internaute d’entrer ses coordonnées pour recevoir une newsletter, une documentation, un livre blanc, que sais-je.. Le fait de laisser son adresse mail visible sur internet vous fait prendre le risque de voir votre boîte aux lettres inondée de messages indésirables. Les internautes sont de plus en plus sensibles à ça. Autant éviter que des informations personnelles ne soient interceptées sur internet par un indélicat pour un usage douteux voire frauduleux.
Google impose la sécurité pour le bon référencement de votre site.
Depuis Octobre 2017, Google tient compte du fait que votre site est sécurisé par HTTPS pour son référencement dans le moteur de recherche. Cela veut dire qu’un site non sécurisé, en http ‘classique’ se verra reculer de plus en plus dans les résultats de recherche, même si aujourd’hui l’incidence est légère. Quand on sait les efforts qu’il faut faire pour apparaitre en première page de Google, le message est clair.
Les navigateurs tels que Firefox, Chrome, Safari (en fait la quasi-totalité) ne s’y sont pas trompés : si votre site n’est pas sécurisé, mais comporte un formulaire, le visiteur tombera sur une page blanche indiquant “cette connexion n’est pas certifiée” et ne pourra y accéder qu’après des manipulations savantes. Autant dire qu’il aura fui, à moins d’avoir une solide raison d’accéder à votre site.
Comment passer votre site en HTTPS ?
Pour cela, il vous faut un certificat SSL. Votre prestataire ou votre hébergeur connait bien la question et peut vous proposer une solution. Elle peut être ‘gratuite’ ( comprise dans l’hébergement ) pour le plus simple des certificats chez certains hébergeurs ou payante ( jusqu’à 100 € par an ) pour un certificat plus élaboré pouvant comprendre une assurance.
Pour migrer son site en HTTPS, la solution la plus simple est de demander à votre prestataire. Selon la complexité de votre site et le type de certificat, il peut vous en coûter de 1000 à 2000 €. C’est un travail technique important qui demande du temps. Il faut se poser la question de savoir si ce n’est pas le moment de refondre votre site. Sachant que le passage en HTTPS vous fera perdre temporairement une partie de votre référencement, c’est peut-être le moment de sauter le pas.
Comment faire la modification vous-même ?
Si vous avez un site basé sur un CMS style WordPress ou Drupal, et que vous avez l’habitude de faire des manipulations sur votre hébergement, vous pouvez tenter de le faire tout seul. C’est une opération qui nécessite malgré tout une bonne connaissance technique.
Voici les différentes étapes, si vous voulez faire cette migration tout seul:
- Commencez bien évidemment par des sauvegardes (site et base de données) au cas où …
- Acheter et/ou activer un certificat SSL chez votre hébergeur (pour cela, prenez contact avec lui pour la marche à suivre). Notez que l’activation peut prendre une journée (propagation DNS) et qu’il vaut mieux être sûr de la manip.
- Vos liens sur les différentes pages de votre site doivent être relatifs (c’est à dire se référant à la page d’accueil, par exemple : /categorie/mon-produit/
- S’ils sont absolus, comme http://www.monsite.com/categorie/mon-produit/ , il faut remplacer HTTP par HTTPS partout. Il vaut mieux utiliser un logiciel pour ne pas en oublier, parce que cela concerne les fichiers du site et la base de données.
- Les ressources externes (images, polices, vidéos, scripts …) appelées par votre site (généralement chargées dans le header) doivent aussi être en HTTPS. Préférez toujours cette version sécurisée pour éviter les messages indiquant qu’il y a du contenu mixte.
- Les liens entrants qui pointent vers votre site sont en Http. Il serait fastidieux de demander à tous ceux qui ont bien voulu parler de vous de modifier ces liens. Faites une redirection 301 pour les ré-aiguiller vers la version HTTPS et continuer à recevoir le trafic qu’ils vous envoient. Le plugin ‘Redirection’ sur WordPress par exemple, fait très bien le travail. Les plus aguerris feront les redirections dans le fichier .htaccess.
- Informer du changement toutes les personnes ou organismes ayant un lien direct avec votre site (Google webmaster, Analytics, Facebook, …). Si quelqu’un connait votre adresse en Http, ce n’est pas grave, il sera redirigé automatiquement, mais mettez à jour au fur et à masure les références à votre ancienne adresse. L’accès par http à un site en HTTPS prend un peu plus de temps, d’où un délai de chargement supplémentaire de votre page pour l’utilisateur.
- Et testez, testez, testez, c’est ainsi que vous serez sûr de ne rien avoir oublié !
Cette modification de votre site en HTTPS est devenue obligatoire. Il ne faut plus tarder si vous ne voulez pas que votre positionnement dans les moteurs de recherche tombe dans les abysses. Avec un peu de méthode, c’est une opération assez simple à réaliser.
Alors ne trainez pas ! Si vous avez des questions ou une expérience à partager, vous pouvez réagir à cet article.
