Pour rendre notre contenu accessible à un plus grand nombre d'utilisateurs, nous avons traduit cet article de l'anglais à l'aide de la traduction automatique. Clique ici pour lire l'article original. Si tu remarques des problèmes dans le contenu, n'hésite pas à nous contacter à report-osteam@semrush.com.
Tu envisages de faire passer ton site Web à HTTPS ?
Ce guide couvre les principales différences entre HTTP et HTTPS, les avantages de l'utilisation de HTTPS et la façon de migrer de HTTP à HTTPS, étape par étape.
Mais avant cela, abordons quelques notions de base.
Qu'est-ce que HTTP ?
HTTP signifie Hypertext Transfer Protocol (protocole de transfert hypertexte). C'est un ensemble de règles qui permet aux navigateurs web (comme Chrome ou Safari) de communiquer avec les serveurs web (les ordinateurs qui hébergent les sites web).
HTTP utilise un modèle requête-réponse.
Par exemple, lorsque tu saisis l'adresse d'un site Web dans la barre d'adresse de ton navigateur, celui-ci envoie une demande au serveur.
Une fois que le serveur a transféré la ressource au navigateur, la connexion entre eux se ferme. Ton navigateur établit de nouvelles connexions si nécessaire lorsque tu navigues vers d'autres pages web du site.
Les protocoles définis par HTTP ont joué un rôle fondamental dans la création du World Wide Web tel que nous le connaissons aujourd'hui.
Mais le protocole HTTP présente des inconvénients importants :
- Le trafic HTTP n'est pas crypté et est envoyé en texte clair. Cela signifie que n'importe qui sur le même réseau peut facilement intercepter et lire toutes les données transférées.
- Il n'y a aucun moyen d'authentifier ou de vérifier l'identité d'un site Web auquel on accède par HTTP.
- HTTP n'offre aucune protection contre la falsification. Les attaquants peuvent modifier les données avant qu'elles n'atteignent leur destination.
- Les sites Web accessibles par HTTP sont vulnérables aux menaces telles que le détournement de session, les attaques de type "man-in-the-middleet les fuites de données.
Les navigateurs - tels que Google Chrome - peuvent également bloquer le contenu et les URL servis par HTTP en déclenchant une page "Non sécurisé" similaire à celle ci-dessous.
Les problèmes de sécurité liés à HTTP ont ouvert la voie à HTTPS.
Qu'est-ce que HTTPS ?
HTTPS (Hypertext Transfer Protocol Secure) est une version sécurisée de HTTP avec un cryptage supplémentaire.
HTTPS utilise une connexion cryptée pour communiquer entre le serveur et le navigateur. Cette technologie de cryptage utilisée dans HTTPS est connue sous le nom de certificat SSL (secure sockets layer) et TLS (transport layer security).
Une icône de cadenas à côté de la barre d'adresse signale qu'une connexion HTTPS à un site Web est sécurisée par un certificat SSL/TLS valide :
Les certificats SSL/TLS contiennent des clés de cryptage publiques et privées pour sécuriser les transferts de données entre les navigateurs et les sites Web.
Les clés de chiffrement contenues dans les certificats chiffrent la communication entre le navigateur et le serveur pour empêcher tout accès non autorisé. Cela empêche les pirates d'accéder à tes informations.
Les mécanismes des certificats SSL/TLS comprennent :
- Encryptage: Les certificats contiennent des clés permettant de crypter la communication entre les navigateurs et les serveurs à l'aide des protocoles SSL/TLS. Cela empêche les tiers d'accéder aux données en transit.
- Authentification: Les certificats valident l'identité des sites Internet. Les visiteurs peuvent vérifier qu'ils communiquent avec un site légitime et non un faux.
- Intégrité des données: La connexion cryptée permise par les certificats empêche la falsification des données pendant les transferts.
Ces mécanismes permettent aux certificats SSL/TLS de sécuriser les données et l'activité des utilisateurs en cryptant la communication avec le site web.
Types de certifications SSL/TLS
Il existe trois types de certificats SSL/TLS : Validation de domaine (DV), Validation d'organisation (OV) et Validation étendue (EV).
| Saisissez | A quoi ça sert | Meilleur pour |
| Validation du domaine (DV) | Valide la propriété du nom de domaine uniquement. Pas de validation de l'organisation. | Sites web personnels, blogs et besoins de base en matière de cryptage. |
| Validation de l'organisation (VO) | Valide l'identité de l'entreprise/entité propriétaire du domaine. Vérifie l'existence opérationnelle et légale de l'organisation. | Petites et moyennes entreprises, sites de commerce électronique traitant des transactions. |
| Validation étendue (EV) | Certificats de haute assurance qui nécessitent des étapes de vérification approfondies. Valide les détails juridiques, physiques et opérationnels d'une organisation. | Institutions financières, passerelles de paiement traitant des données sensibles. |
Les certificats SSL/TLS peuvent également être classés en fonction du nombre de domaines qu'ils couvrent :
- Domaine unique : Sécurise un seul nom de domaine
- Wildcard : Sécurise un nombre illimité de sous-domaines d'un domaine de base.
- Multi-domaine : Sécurise plusieurs noms de domaine différents
Les certificats sont émis et validés par les autorités de certification (AC) pour authentifier les identités des sites Web.
Tu peux vérifier le certificat d'un site Internet en cliquant sur le cadenas puis sur "La connexion est sécurisée" :
Et ensuite "Le certificat est valide" :
Tu devrais voir une fenêtre qui ressemble à ceci :
Cette fenêtre t'indiquera des détails tels que la date d'émission du certificat et la personne qui l'a émis.
Différence entre HTTP et HTTPS
La principale différence entre HTTP et HTTPS est que HTTP permet la transmission de données sur le web, mais HTTPS ajoute le cryptage par SSL/TLS pour sécuriser les connexions entre les navigateurs et les serveurs.
Ce cryptage brouille la communication pour empêcher l'accès non autorisé à des données sensibles comme les mots de passe, les informations personnelles ou les cartes de crédit.
HTTP, quant à lui, envoie des données en texte clair sans cryptage, authentification ou contrôle d'intégrité. Tes données sont envoyées ouvertement et peuvent être lues par d'autres personnes.
Donc, HTTP, c'est comme envoyer une carte postale - tout le monde peut la lire. HTTPS, c'est comme envoyer une lettre dans une enveloppe scellée - seuls l'expéditeur et le destinataire peuvent la lire.
Quels sont les avantages de l'utilisation de HTTPS sur un site Web ?
Jetons un coup d'œil aux principaux avantages de l'utilisation de HTTPS sur ton site web :
- Sécurité des données : HTTPS crypte toutes les communications entre les navigateurs et les serveurs, empêchant ainsi l'interception des informations sensibles des utilisateurs telles que les mots de passe, les cartes de crédit ou les détails personnels lors de leur transmission aller-retour.
- Protection contre les cybermenaces : L'authentification HTTPS aide à prévenir les menaces courantes telles que hameçonnage et les attaques de type man-in-the-middle ciblant les connexions non cryptées.
- Renforce la confiance des utilisateurs :L'icône du cadenas signale que la connexion est sécurisée. Les utilisateurs se sentent plus en sécurité lorsqu'ils saisissent des données et interagissent sur des sites protégés par HTTPS.
- Améliorer le classement en matière de référencement : Le passage au HTTPS peut améliorer le classement SEO car Google favorise les sites HTTPS que les sites HTTP dans les résultats de recherche
Prêt à passer ton site à HTTPS ?
Voici un guide étape par étape pour migrer du HTTP non sécurisé vers le HTTPS crypté.
Comment passer de HTTP à HTTPS ?
Tu seras heureux d'apprendre que le passage à HTTPS est relativement simple.
Voyons comment migrer de HTTP à HTTPS.
1. Acheter un certificat SSL
Tout d'abord, décide du type de certificat dont tu as besoin en fonction du trafic du site Web et de la sensibilité des données.
Tu as le choix entre la validation de domaine (DV), la validation d'organisation (OV) et la validation étendue (EV).
N'oublie pas que les certificats SSL/TLS peuvent également être classés en fonction du nombre de domaines qu'ils couvrent.
Un certificat pour un seul domaine est suffisant si tu as un site Web à domaine unique (comme exemple.com).
Si ton site Web a des sous-domaines comme blog.example.com ou store.example.com, tu as probablement besoin d'un certificat wildcard pour sécuriser le domaine de base et tous les sous-domaines.
Tu auras besoin d'un certificat multi-domaines pour couvrir tous les domaines si tu as plusieurs domaines distincts (comme exemple.com et exempleshop.com).
Tu peux acheter des certificats SSL auprès d'autorités de certification telles que DigiCert ou Comodo. De nombreux hébergeurs (comme GoDaddy ou Namecheap) vendent des certificats SSL ou incluent un certificat SSL gratuit dans leurs plans d'hébergement.
Cependant, fais des recherches approfondies si tu achètes ton certificat auprès d'un fournisseur tiers.
2. Installe ton certificat SSL et crée une redirection 301 à l'échelle du site
Une fois que tu as le certificat SSL, travaille avec ton hébergeur pour l'installer sur ton site.
La plupart des sociétés d'hébergement disposent d'une documentation sur l'activation des certificats SSL sur leurs plateformes. Tu peux aussi contacter leur équipe d'assistance pour qu'elle t'aide à l'activer.
Mais les HTTP URL ne seront pas automatiquement redirigées vers des URL HTTPS après l'installation.
Tu dois mettre en place une redirection redirection 301 des URL HTTP vers les URL HTTPS par l'intermédiaire de ton hébergement, en modifiant le fichier .htaccess de ton siteou par l'intermédiaire d'un plugin WordPress comme SSL vraiment simple.
Autres lectures: Comment rediriger HTTP vers HTTPS (+ Meilleures pratiques)
Une fois que tu as créé tes redirections, vérifie que l'icône du cadenas s'affiche dans la barre du navigateur et que la connexion est sécurisée.
3. Vérifier s'il y a des problèmes de mise en œuvre de HTTPS
Lors de la migration de ton site web de HTTP à HTTPS, les liens internes ne passeront pas automatiquement de HTTP à HTTPS.
Tout lien interne pointant vers les anciennes URL HTTP pourrait entraîner l'affichage d'un code d'état HTTP tel que 404 (page non trouvée).
C'est donc une bonne idée de revérifier que les liens internes et les ressources comme les images, les CSS et les fichiers JavaScript se chargent en toute sécurité sur HTTPS et de créer des redirections 301 si nécessaire.
Tu peux utiliser l'outil l'outil d'audit de site de Semrush pour détecter les problèmes de mise en oeuvre du HTTPS.
Tout d'abord, sélectionne "Site Audit" dans le menu de gauche et clique sur "+ Créer un projet."
Saisis ton domaine et un nom de projet dans la fenêtre"Créer un projet". Puis clique sur "Créer un projet".
Passe par les étapes de configuration de la fenêtre"Site Audit Settings" . Puis clique sur "Start Site Audit".
Puis clique sur "Afficher les détails" sous la rubrique " HTTPS ".
Cela te permettra d'accéder au rapport "Mise en œuvre du HTTPS" et de mettre en évidence tout problème potentiel lié à ta migration HTTPS.
Y compris :
- Enregistrement du certificat
- Les sous-domaines ne prennent pas en charge HTTPS
- Architecture du site web (y compris les problèmes de liens internes)
Tu peux cliquer sur l'un des blocs pour obtenir plus d'informations sur chaque problème et sur la façon de le résoudre.
Par exemple, le bloc "X liens sur les pages HTTPS conduit à la page HTTP" t'indiquera si tu dois mettre en place tes redirections 301 des anciennes pages HTTP vers les nouvelles versions HTTPS.
Et si tu as des images et d'autres éléments sur ton site qui se chargent par HTTP, tu le verras dans ce bloc "contenu mixte".
4. Mets à jour tes sitemaps
Les moteurs de recherche doivent connaître tes nouvelles URL HTTPS afin d'indexer et de classer correctement ton site sécurisé.
Ainsi, après avoir migré vers HTTPS, génère un nouveau sitemap XML contenant tes URL HTTPS mises à jour et le soumettre aux moteurs de recherche pour qu'ils l'indexent.
Par exemple, si tu utilises Google Search Console (GSC), rends-toi à la section "Sitemaps" sur le côté gauche de ton écran.
Saisis l'URL du sitemap dans le champ prévu à cet effet et clique sur le bouton "Soumettre".
Auparavant, tu devais vérifier les versions HTTP, HTTPS, www et non-www de ton site séparément dans GSC. Il était donc difficile d'avoir une vue d'ensemble de tes performances en matière de recherche organique.
La fonction Propriété du domaine te permet de vérifier et d'afficher les données de l'ensemble de ton domaine, ce qui te donne une image complète de la façon dont Google voit ton site.
HTTP ou HTTPS : que choisir ?
HTTP est désormais considéré comme obsolète et peu sûr pour les sites web. Tous les sites devraient utiliser le cryptage HTTPS par défaut, même s'ils ne traitent pas d'informations sensibles.
Si tu ne passes pas au HTTP, tu exposes ton site Web et tes utilisateurs. Et les visiteurs peuvent hésiter à partager des informations ou à acheter des produits sur ton site sans cela.
La bonne nouvelle, c'est qu'il n'a jamais été aussi facile de passer au HTTPS.
Si tu veux en savoir plus sur la bonne façon de passer de HTTP à HTTPS, consulte notre guide :
Ou utilise l'outil d'audit de site de Semrush pour vérifier instantanément si ton site est en HTTPS et identifier d'autres problèmes HTTP.