Qu'est-ce que le HTTPS : le guide complet sur le fonctionnement du HTTPS

Olivier Amici

févr. 03, 202113 min de lecture
Qu'est-ce que le HTTPS

TABLE DES MATIÈRES

Une définition rapide : HTTPS veut dire HyperText Transfer Protocol Secure (protocole de transfert hypertextuel sécurisé), et c'est la version chiffrée du HTTP. Il est utilisé pour sécuriser les communications sur internet ou sur un réseau. Le protocole de communication est chiffré au moyen de la TLS (Transport Layer Security) ou, auparavant, de la SSL (Secure Sockets Layer).


Dans cet article, nous allons plonger dans l'opposition entre le HTTP et le HTTPS, je détaillerai leur fonctionnement, et je vous montrerai comment faire en sorte que votre site survive à tout problème technique lorsque vous migrez d'un protocole à l'autre. Voici un bref aperçu des points que je vais couvrir :

Au début, les spécialistes SEO avaient le HTTP, un protocole utilisé pour fournir des pages web aux gens. Le web était simple, et les migrations de sites web n'existaient que de domaine à domaine ou de serveur à serveur. Vous n'aviez pas à vous inquiéter au-delà des redirections habituelles et vous deviez simplement vous assurer que la migration de votre site web s'était déroulée sans problème. Puis le HTTPS est arrivé.

Les nouvelles technologies créent toujours de nouveaux problèmes qu'il faut résoudre pour continuer à obtenir les mêmes (ou de meilleurs) résultats qu'auparavant.

HTTP et HTTPS : leur importance pour le WWW

HTTP, ou HyperText Transfer Protocol (protocole de transfert hypertextuel), est l'épine dorsale du web mondial. C'est le protocole utilisé pour traiter, rendre, et livrer des pages web du serveur au navigateur du client. HTTP est le moyen par lequel la plus grande partie du web est affichée.

HTTP et HTTPS fonctionnent à travers ce que l'on appelle des requêtes. Ces requêtes sont créées par le navigateur de l'utilisateur lorsque celui-ci effectue une interaction avec un site web. C'est un élément essentiel du rendu des pages, et sans lui, vous ne pourriez pas utiliser le web tel qu'il existe aujourd'hui.

Comment cela fonctionne : Supposons que quelqu'un cherche "comment faire une migration de site web". La requête est envoyée au serveur, qui renvoie ensuite une autre requête avec les résultats de la demande. Ces résultats sont affichés sur la SERP (page de résultats du moteur de recherche) que vous voyez lorsque vous effectuez la recherche.

Tout cela se déroule en quelques millisecondes. Mais c'est un aperçu très général du fonctionnement du protocole de transfert hypertextuel.

Qu'est-ce que le HTTP ? 

HTTP est l'abréviation de "HyperText Transfer Protocol" (protocole de transfert hypertextuel). C'est la principale méthode par laquelle les données des pages web sont transférées sur un réseau. Les pages web sont stockées sur des serveurs, qui sont ensuite servis à l'ordinateur du client lorsque l'utilisateur y accède.

Le réseau des connexions qui en résulte crée le World Wide Web tel que nous le connaissons aujourd'hui. Sans le HTTP, le World Wide Web (WWW) tel que nous le connaissons n'existerait tout simplement pas.

Une connexion HTTP présente un problème majeur : les données transférées via une connexion HTTP ne sont pas chiffrées, vous prenez donc le risque que des tiers volent des informations. Aucune information transmise sur ce réseau via HTTP n'est privée, donc aucune donnée de carte de crédit et information sensible ne doit être fournie si vous êtes sur une page HTTP.

Qu'est-ce que le HTTPS ? 

HTTPS est l'abréviation de "HyperText Transfer Protocol Secure" (sécurisé par un protocole de transfert hypertextuel) ou "secure hypertext transfer protocol" (protocole de transfert hypertextuel sécurisé) si vous n'êtes pas pointilleux sur la grammaire.

Comment le HTTPS fonctionne-t-il ?

Contrairement au HTTP, le HTTPS utilise un certificat sécurisé d'un fournisseur tiers pour sécuriser une connexion et vérifier que le site est authentique. Ce certificat sécurisé est connu sous le nom de certificat SSL.

SSL est l'abréviation de "Secure Sockets Layer". C'est ce qui crée une connexion sécurisée et chiffrée entre un navigateur et un serveur, qui protège la couche de communication entre les deux.

Ce certificat chiffre une connexion avec un niveau de protection qui est désigné au moment de l'achat d'un certificat SSL. 

Un certificat SSL fournit une couche de sécurité supplémentaire pour les données sensibles que vous souhaitez protéger des attaques par des tiers. Cette sécurité supplémentaire peut être extrêmement importante lorsqu'il s'agit de gérer des sites e-commerce.

Quelques exemples :

  • Lorsque vous souhaitez sécuriser la transmission de données de cartes de crédit ou d'autres informations sensibles (telles que l'adresse réelle et l'identité physique d'une personne). 

  • Lorsque vous gérez un site web de génération de prospects qui s'appuie sur les informations réelles des gens, vous devez utiliser le HTTPS pour protéger les données des utilisateurs contre des attaques malveillantes.

Le HTTPS présente de nombreux avantages qui valent bien le léger coût qu'il entraîne. N'oubliez pas que si le certificat n'est pas présent, un tiers peut facilement scanner la connexion à la recherche de données sensibles.

http-vs-https

Qu'est-ce que la TLS ? Comment s'applique-t-elle au HTTPS ?

TLS est l'abréviation de "Transport Layer Security". Elle permet de chiffrer le HTTPS et peut être utilisée pour sécuriser les e-mails et d'autres protocoles. Elle utilise des techniques cryptographiques qui garantissent que les données n'ont pas été trafiquées depuis leur envoi, que la communication se fait bien avec la personne réelle d'où la communication provient, et que les données privées ne sont pas visibles.

Les choses commencent avec une le TLS Handshake, le processus qui lance une session de communication utilisant le cryptage TLS. C'est là que l'authentification a lieu et que les clés de session sont créées. Des clés de session toutes neuves sont générées lorsque deux appareils communiquent, elles sont créées à partir des deux clés différentes qui fonctionnent ensemble. Il en résulte une communication plus profonde et plus chiffrée.

TLS-Handshake

Voici des erreurs que Google conseille d'éviter.

erreurs-tls

Une étape essentielle pour le HTTPS : l'authentification du serveur web

L'étape la plus critique pour une connexion HTTPS sécurisée consiste à s'assurer qu'un serveur web est bien celui qu'il prétend être.

C'est pourquoi le certificat SSL est la partie la plus importante de cette configuration ; il garantit que le propriétaire du serveur web est bien celui que le certificat indique. Il fonctionne de manière très similaire à un permis de conduire : il confirme l'identité du propriétaire du serveur.

Une couche de protection contre certains types d'attaques existe lorsque vous implémentez le HTTPS, ce qui en fait un élément de base précieux de votre site web.

HTTP vs HTTPS — le HTTPS suscite la confiance de vos utilisateurs

L'un des grands avantages cachés du HTTPS est qu'il aide à susciter la confiance de vos utilisateurs. Si vous gérez un site e-commerce qui accepte les données des cartes de crédit, le fait qu'un cadenas apparaisse sur votre site dans le navigateur donne à vos utilisateurs l'assurance que votre site peut traiter les transactions par carte de crédit sans divulguer les données à qui que ce soit.

image.png

Cela encouragera les utilisateurs à se fier à votre site bien plus que s'il s'agissait d'un site peu sûr. N'oubliez pas que les navigateurs modernes avertissent les utilisateurs lorsque les sites ne sont pas "sûrs".

Avec le HTTPS, les données des cartes de crédit, les mots de passe, les données des utilisateurs privés et les données personnelles sont tous chiffrés avec une couche de sécurité de qualité industrielle. C'est cette sécurité qui permettra à votre site de continuer à être compétitif dans votre niche.

En plus de protéger les données des utilisateurs contre les regards indiscrets, https:// contribue à protéger votre réputation. Si vous avez régulièrement des failles de sécurité sur votre site, et que les données des utilisateurs sont dévoilées, les gens ne voudront pas utiliser votre site. Cela peut nuire de manière irréparable à votre réputation en ligne et vous coûter cher sur le long terme.

Ceux qui restent sur HTTP

Si les exceptions sont rares de nos jours, il reste encore des gens qui n'ont pas fait passer leur site en https://. Pour certains d'entre eux, cela a du sens - si vous n'êtes pas au service d'utilisateurs qui fournissent régulièrement des données sensibles pour le e-commerce ou pour d'autres raisons, vous n'avez probablement pas besoin d'une meilleure sécurité.

Dans un monde parfait, quand deux sites web sont égaux pour tous les facteurs, le https:// est un élément décisif pour les classements. Cependant, nous vivons rarement dans un monde parfait lorsqu'il s'agit de SEO. Ainsi, il est toujours possible de vous classer avec http://.

Si les avantages du https:// sont nombreux, John Mueller a également déclaré que le HTTPS est un facteur de classement poids plume, et rien de plus. Quant à Google, il a affirmé que quand tout le reste se vaut, le HTTPS peut faire la différence sur les classements.

Problèmes SEO liés à la migration : passer du HTTP au HTTPS

Le passage du HTTP au HTTPS présente de nombreux avantages, en particulier du point de vue du SEO. Cependant, si vous ne connaissez pas bien le processus, vous pouvez causer plus de mal que de bien.

Vous devez informer Google de la transition. Vous devez choisir le certificat qui convient le mieux à votre situation, configurer Google Search Console et Google Analytics, mettre à jour les liens internes et les URL relatives. Examinons chacun de ces points de plus près. 

Informez Google de la transition (et les erreurs à éviter)

Cette étape implique le paramétrage d'un autre profil Google Search Console. Ne désactivez pas votre profil SGC non sécurisé. Vous devez au contraire garder tous les profils actifs. Créez un nouveau profil pour la version HTTPS de votre site et assurez-vous qu'il continue à recueillir les données.

De plus, dans Google Analytics, vous devez vous assurer que vous avez paramétré votre profil comme sécurisé. Sinon, vous ne suivrez pas les bonnes données.

N'oubliez pas, s'il y a lieu, de mettre à jour les paramètres de collecte des données dans Google Tag Manager. Par ailleurs, si vous utilisez Bing Webmaster Tools, il sera également nécessaire de faire passer http:// en https:// pendant la migration.

Vous seriez surpris de savoir combien de fois je rencontre des erreurs dans les transitions de http:// à https:// qui ont été causées par un manque de surveillance du processus de transition initial et par l'absence de mise à jour des profils pour suivre les données essentielles.

Ces erreurs peuvent entraîner aussi bien une sous-déclaration qu'une sur-déclaration des données, qui peuvent toutes deux compromettre la précision de vos décisions dans le cadre de votre stratégie SEO.

Choisissez le bon certificat de sécurité : certificats SSL et Wildcard

Il y a différents certificats SSL selon les objectifs. Un pour un seul domaine, un autre pour plusieurs domaines, sans parler des certifications Wildcard. Pour les plus petits sites, un certificat Wildcard complet n'est généralement pas nécessaire. Mais cela peut vous faciliter la vie lorsque vous contrôlez la syntaxe des URL de vos sites web.

Un certificat SSL pour un domaine unique est émis pour un sous-domaine, ou le domaine unique lui-même. Un certificat SSL pour plusieurs domaines vous permettra de sécuriser le nom de domaine principal et jusqu'à 99 SAN (noms alternatifs soumis).

Le certificat Wildcard vous permet de sécuriser l'URL initiale de votre site web et tous les sous-domaines illimités qui y sont associés. Qu'est-ce que cela signifie ? Cela signifie que si vous configurez domaine.domaineprincipal.com et qu'il est créé avec un certificat Wildcard, il est automatiquement sécurisé. Vous n'aurez pas à déployer plus d'efforts pour vous assurer qu'il s'inscrit dans le cadre de la sécurité existante de votre site. En d'autres termes, cela vous évitera bien des maux de tête.

Il est clair que le certificat Wildcard est ici le grand gagnant. Mais comme il s'agit d'un certificat robuste avec de nombreuses fonctionnalités différentes, il coûte plus cher. Vous devrez donc évaluer les dépenses supplémentaires qu'il occasionne et les comparer avec les avantages des fonctionnalités que vous obtiendrez.

Assurez-vous que toutes les URL sont correctement mises à jour sur l'ensemble du site

Certains recommandent de n'utiliser que des URL relatives pour vos ressources. Si vous savez gérer les besoins courants de votre site web, vous n'avez pas besoin d'effectuer cette étape. Vous devez juste vous assurer que tout le contenu du site est couvert par le bon protocole. Et n'oubliez pas votre sitemap XML !

Vous seriez surpris du nombre d'audits que j'ai faits sur des sites qui n'ont pas effectué cette étape : s'assurer que l'ensemble de leur contenu est sécurisé.

Peu importe que vous utilisiez des URL relatives ou absolues, tant que vous les tenez à jour sur le site. Vous pouvez passer à des URL relatives si vous préférez, mais si votre site est construit sur des URL absolues, utilisez une option de recherche et remplacement avec votre base de données, si votre site le permet. Cela vous aidera à éliminer tous les cas de contenu mixte.

Assurez-vous que vos URL sont correctement préfixées avec https:// après la transition, et vous ne devriez pas rencontrer de problèmes significatifs.

N'empêchez pas Google d'explorer votre nouveau site HTTPS

Vous devez vous assurer que tous les éléments de votre robot.txt sont explorables. À moins que vous n'ayez un problème spécifique, comme un dossier qui ne doit pas être indexé, il est logique de permettre à Google de tout explorer sur le site, même les fichiers CSS et JS. Si votre site ne permet pas le rendu des fichiers CSS et JS, vous pourriez rencontrer des problèmes.

Par exemple, si vous interdisez le rendu d'un élément CSS ou JS essentiel sur la page, vous pouvez empêcher Google de comprendre l'ensemble du contexte de la page, alors que c'est important pour obtenir de meilleurs classements. De plus, dans environ 99 % des cas, il n'y a aucune raison d'interdire les fichiers CSS ou JSS de cette manière.

L'outil Audit de site de Semrush vous donnera de nombreuses informations utiles concernant l'implémentation du HTTPS. Il vous montre les problèmes que vous pouvez rencontrer et vous propose des recommandations pour les résoudre. 

audit-de-site-https

Revérifiez tout pendant votre migration

Une surveillance régulière et continue de votre site est essentielle pour réussir sa migration vers le https://. Vérifiez Google Search Console, Google Analytics, et revérifiez tout autre logiciel de reporting que vous utilisez. Si vous n'avez pas mis à jour http:// en https://, vous devez le faire aussitôt que possible. De cette façon, vous ne rencontrerez pas d'autres problèmes pouvant sérieusement nuire à vos efforts de SEO.

HTTP:// vs HTTPS:// - Quel est vraiment le meilleur des deux ?

Si vous ne connaissez pas bien le SEO, sachez qu'il est difficile de comprendre les détails complexes sur lesquels fonder votre choix d'un protocole sécurisé ou non. Voici quelques points qui pourraient vous aider à prendre une décision :

Êtes-vous une boutique e-commerce qui traite des informations sensibles relatives aux cartes de crédit et des données personnelles ? Dans ce cas, sécuriser votre site web avec le HTTPS est votre meilleure option. Cela contribuera à diffuser la bonne volonté et la confiance auprès de vos clients en ligne, et à vous assurer que vous ne commettez pas l'erreur d'être trop ouvert aux attaques du web. Votre réputation en ligne aura également un positionnement plus positif.

Que faire si vous n'êtes pas une boutique e-commerce, mais que vous avez affaire à des personnes qui soumettent leurs informations (par exemple, par le biais d'un site de génération de leads) ? Il faut là aussi utiliser le HTTPS. Les gens comptent sur la sécurité du web pour les protéger, ainsi que leurs données personnelles, contre toute atteinte. Ce choix contribue à ajouter une autre couche de confiance et de légitimité à votre entreprise.

Devriez-vous utiliser l'option gratuite de Let's Encrypt ? Eh bien, ça dépend. Vous débutez et vous n'avez pas le budget nécessaire ? Alors, c'est la bonne option. Mais si vous êtes une entreprise qui gagne plusieurs milliers d'euros, il serait préférable d'utiliser une option plus chère, comme GeoTrust ou Comodo. Ils font tous deux la même chose lorsque l'implémentation se passe bien, mais dans le cadre du marketing, la perception est importante.

Rester sur http:// ou passer sur https://, c'est à vous de décider. Mais, lorsqu'il s'agit de créer un web plus sûr, passer sur https:// est une excellente option à exploiter.

Autres conseils de Google sur le HTTPS - HSTS et questions communes

Youtube video thumbnail
Partager
Author Photo
En charge du développement marketing pour le marché Français et Francophone, de l’organisation des événements en ligne, des partenariats marketing/éducatifs, de la chaîne YouTube et du blog Semrush France.