Google Chrome marque les pages HTTP comme « not secure »

67 % des internautes dans le monde utilisent Google Chrome comme navigateur de bureau principal. Ce changement aura donc un impact majeur pour beaucoup, d’où l’importance de savoir pourquoi le géant californien effectue cette mise à jour. Cet article présente par ailleurs les conseils nécessaires pour vous préparer au changement si votre site Web se compose encore de pages en http.

Comment les navigateurs affichent des sites HTTP et HTTPS

Tous les navigateurs marquent actuellement les pages HTTPS (c’est-à-dire les URL commençant avec https://) comme sûres. Cela est symbolisé à l’aide d’une icône de cadenas comme dans l’exemple ci-dessous :

Actuellement, Google Chrome et Mozilla Firefox marquent en outre les sites HTTP (les URL commençant avec http://) comme "not secure", mais uniquement si le site collecte des mots de passe, des données relatives à des moyens de paiement ou autres informations confidentielles. À l'exemple de la page de connexion ESPN :

Lorsque la page HTTP ne requiert pas de données confidentielles, Google Chrome et Mozilla Firefox n'affichent aucun marquage de sécurité :

Ce qui va changer chez Google Chrome

À partir de juillet 2018, Google Chrome affichera sur toutes pages HTTP le message explicite « not secure », qu'elles requièrent des données confidentielles ou non. Les pages HTTP s'afficheront alors comme suit :

Seul environ un quart des petits sites Web utilisent d’ordinaire le protocole HTTPS, de sorte que les utilisateurs pourront voir dès juillet un message "not secure" sur la plupart des sites Web. La majorité des utilisateurs ignorera probablement cette étiquette "not secure", en particulier lorsqu'ils ne devront pas entrer des informations de paiement. On peut aussi ajouter que depuis un certain temps, la page de connexion ESPN affiche "not secure" sur Chrome et Firefox, mais que des millions de gens continuent de consulter le site chaque mois. Néanmoins, on peut se douter que certains utilisateurs seront aussi préoccupés et/ou commenceront à éviter les sites Web marqués par cette étiquette "not secure".

Google a clairement fait savoir qu'il entreprend ce changement pour démontrer une fois de plus aux webmasters l'importance du passage au protocole HTTPS. Heureusement, ce n'est pas trop difficile de débuter avec HTTPS.

Pourquoi Google fait-il ce changement ?

Google indique que cette modification vise à « rendre le Web plus sûr ». En ce sens, le HTTPS offre les possibilités suivantes pour améliorer la sécurité sur Internet :

• L’utilisation du HTTPS aide à rendre les sites Web plus sûrs en protégeant les mots de passe contre toute interception par les pirates informatiques.
• Un Web HTTPS améliore aussi la vie privée, car il sera plus difficile pour les entreprises de suivre les activités Web des utilisateurs.

Il existe ensuite une autre raison importante pour laquelle Google entreprend ce changement : le passage de l'ensemble du Web à HTTPS empêche les FAI (Fournisseur d'Accès à Internet, en anglais ISP, Internet Service Provider) de modifier les annonces que les utilisateurs voient sur les pages Web. (Certains fournisseurs d'accès à Internet mettent leurs propres annonces comme source supplémentaire de revenus à la disposition de leurs clients.) Par exemple, Google a réalisé en 2017 plus de 95 milliards de dollars de revenus publicitaires. Un Web chiffré empêchera les FAI d'écumer les octets des revenus publicitaires de Google.

Pourquoi HTTPS est juste la première étape

Il est important de savoir que le protocole HTTPS ne sert qu'à sécuriser la connexion entre l'utilisateur et le site Web. Beaucoup d'usagers partent du principe que tous les aspects sécuritaires ont été pris en compte avec l'étiquette « secure ». Pourtant, ce n’est pas tout à fait le cas. Le HTTPS ne protège pas les utilisateurs contre les pirates ou les maliciels (malware) qui espionnent leurs ordinateurs et il ne protège pas non plus le site contre les pirates, les pertes de données et autres menaces. Pour les utilisateurs et les webmasters, le protocole HTTPS ne constitue donc que la première étape vers une sécurité satisfaisante sur le Web.

Ce que les propriétaires de sites Web doivent faire pour se préparer

Ce changement est une grande occasion pour faire passer tout votre site Web au protocole HTTPS. Votre site Web obtient plusieurs avantages du fait du changement :

1. Le HTTPS est un facteur de classement, les pages HTTPS ont par conséquent de meilleures opportunités d'obtenir de bonnes positions dans les résultats des moteurs de recherche.

2. Le HTTPS sécurise les mots de passe contre toute surveillance par des tiers

3. Les visiteurs de votre site Web voient que votre site est caractérisé comme « secure », ce qui contribue à l’augmentation de la confiance envers votre offre.

Maintenant que vous êtes convaincus de passer toutes vos pages au protocole HTTPS, il vous faut installer ce qu’on appelle un certificat SSL sur votre site Web, puis changer toutes vos URL du HTTP au HTTPS.

Comment migrer vers HTTPS sans perdre le trafic des données

On le conçoit bien : en changeant l’URL de son site Web, on a toujours une certaine peur de commettre des erreurs qui pourraient résulter en une chute du nombre de visiteurs et des classements organiques. Il est pourtant possible de réduire considérablement le risque d'effets négatifs en suivant les étapes suivantes :

1.  Lorsque vous employez des URL absolues pour insérer des images, des feuilles de style CSS, Javascript ou autres fichiers dans votre code HTML, n'oubliez pas d'actualiser également les URL « cachées » dans HTTPS.

Changez par exemple :

<“http://en.ryte.com/_themes/default/imgs/magazine/ryte_mgzn_wg.svg“ alt=“RYTE Magazine“ id=“mgzn_logo“>

en

<“https://en.ryte.com/_themes/default/imgs/magazine/ryte_mgzn_wg.svg“ alt=“RYTE Magazine“ id=“mgzn_logo“>

Si vous n'entreprenez pas ce changement dans tous les fichiers se trouvant sur votre site, les visiteurs recevront ici une mise en garde contre des contenus non sûrs. Ryte peut vous aider à identifier le reste de vos pages HTTP. Dans le rapport sur l'indexabilité dans l’outil Website Success, par exemple, les pages HTTP sont marquées par le symbole explicite du cadenas rouge barré.

Illustration 1 : Rapport sur l’indexabilité dans l’outil Ryte Website Success

2. Configurez votre site Web de sorte qu'il utilise automatiquement le protocole HTTPS. La plupart des CMS (comme WordPress) vous permettent de changer vos URL standards de HTTP en HTTPS en seulement quelques clics.

3. Installez des redirections de type 301 pour toutes les URL HTTP existantes. Si vous disposez de plusieurs URL en http qui se positionnent très bien, il est conseillé d’utiliser une redirection permanente (301 Redirect) vers la variante HTTPS correspondante. En règle générale, il est possible d'utiliser une règle redirect (par exemple dans votre fichier .htaccess) pour rediriger toutes les URL HTTP vers leurs pendants HTTPS, ce qui vous évitera de devoir installer une redirection indépendante pour chaque page. 

Conseil: Vérifiez la qualité de vos redirections grâce au rapport dédié de Ryte Website Success.

4. Actualisez toutes les balises méta. Vérifiez les balises canoniques et hreflang afin de vous assurer qu'elles renvoient toutes aux bonnes URL en HTTPS.

5. Actualisez tous les liens se trouvant sur l'ensemble du site Web. Actualisez tous vos liens internes (ainsi que tous les autres liens en dehors de votre site Web tels que ceux qui sont dans vos profils sur les réseaux sociaux) pour renvoyer directement vers la version HTTPS de votre site. Avec Ryte, il vous est possible de rechercher en quelques secondes des liens internes qui sont restés au HTTP. Pour cela, utilisez le rapport sur les liens dans Ryte Website Success et placez un filtre HTTP afin de trouver tous les liens internes qui renvoient encore à HTTP.

Illustration 2 : Liste de tous les liens dans Ryte Website Success

6. Créez-vous un compte Google Search Console pour la version HTTPS de votre site Web. Créez une nouvelle propriété de Google Search Console pour l'URL de votre site HTTPS. Vous pouvez aussi effectuer un changement d'adresse (de HTTP à HTTPS), mais ça reste facultatif.

7. Soumettez un nouveau plan du site HTTPS. Dès que votre nouvelle propriété de Google Search Console est installée, vous devez transmettre la version HTTPS de votre plan du site XML (vérifiez en plus si chaque URL dans le plan du site fonctionne avec HTTPS). Avec Ryte Website Success, vous pouvez vérifier votre plan du site XML afin de voir toutes les URL qui n'ont pas été redirigées.

8. Vérifiez régulièrement si votre site Web présente des problèmes. Utilisez Google Analytics pour contrôler votre site Web contre toute baisse ou changement de trafic ainsi que Google Search Console pour contrôler la présence d'erreurs.

 

Conseil: Ryte peut vous aider à surveiller facilement la performance de votre site Web. Ryte Website Success contrôle continuellement la performance de recherche, de sorte que vous recevez automatiquement une notification par email en cas de problème, comme par exemple une diminution significative du trafic.

Conclusion : prêts pour Google Chrome 68 ?

Ce qui est sûr, c’est que Google a accordé beaucoup de temps aux webmasters pour qu'ils se préparent à cette mise à jour. Les changements requis pour le passage au protocole HTTPS ne nécessitent par ailleurs pas énormément d’efforts. Saisissez donc votre chance et mettez en application nos conseils pour faire en sorte que Google Chrome 68 ne vous pose aucun problème !

Cet article a été écrit par Adam Thompson et publié dans le Ryte Magazine en anglais le 11/05/2018