Google & HTTPS : ce que vous devez maintenant savoir

Contexte et faits

Google encourage l’utilisation du HTTPS dans le monde entier, et ce depuis des années. La raison pour cela est que Google veut rendre la toile plus sûre, plus sécurisée. L’importance de cette utilisation pour Google est devenue plus que claire lorsqu'en août 2014, le moteur de recherche a fait savoir que le HTTPS était un facteur de positionnement. En décembre 2015, Google a de plus annoncé sur le Google Webmaster Central Blog que la version HTTPS d’un site web serait favorisée dans son index.

Le mail envoyé dans la soirée du 17 août est donc juste une autre étape pour Google sur le chemin du chiffrement complet de la toile.

Illustration 1 : capture d’écran du mail d’avertissement

Qu’est-ce qu’il faut maintenant faire

Le plus important dans un premier temps est de rester calme : les changements annoncés seront mis en place en octobre. Cependant, il est recommandé de changer pour une version HTTPS dès maintenant, car cette conversion de HTTP à HTTPS peut prendre un certain temps pour être enregistrée dans l’index de Google. Comme beaucoup de sites web connaissent une petite chute d’été dans leurs valeurs de trafic, ce peut être encore maintenant le meilleur moment pour entreprendre une telle rénovation.

Si les opérateurs de sites web ne se convertissent pas au HTTPS d’ici octobre, l’indication illustrée par la figure 2 ci-dessous apparaîtra dans le navigateur Chrome de Google dans le cas où, sur une page, les données peuvent être saisies via un formulaire ou si un site web non chiffré est recherché en mode incognito.

Illustration 2 : l’avertissement non sécurisé

C’est déjà partiellement le cas aujourd’hui, par exemple sur les pages de connexion. Sur ces pages, Chrome affiche déjà un avertissement non sécurisé depuis un certain temps.

Comment je convertis mon site web au HTTPS ?

La première étape consiste à obtenir un certificat SSL. Il existe de nombreux types de certificats différents : le CA Security Council vous présente un aperçu utile dans cette infographie. Un certificat “de base” sera suffisant pour éviter l’avertissement dans Chrome. Ce type de certificat confirmera également le propriétaire du domaine ainsi que le chiffrement des données. Il est connu sous le nom de DV (Domain-validated) Certificate et vous pouvez l’obtenir en ligne gratuitement sur https://letsencrypt.org. Vous trouverez également un guide détaillé sur la façon de mettre en œuvre ce certificat. Par exemple, si vous utilisez WordPress, vous pouvez utilisez le plug-in Really Simple SSL pour installer le certificat, de plus recommandé par de nombreux professionnels du référencement.

Après avoir installé le certificat sur votre serveur, vous devez vérifier si toutes les URL de votre site web sont disponibles dans la version HTTPS. Si c’est le cas, l’étape suivante consiste à rediriger les URL HTTP vers HTTPS. Grâce à cette redirection, vous assurez que l’utilisateur et le moteur de recherche ne peuvent accéder qu’à la version sécurisée de votre site web, ce qui donne à Google un signal important que votre contenu n’est accessible que sous HTTPS. Pour ce faire, vous devez effectuer un ajustement au fichier .htaccess sur votre serveur :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301, L]

Idéalement, avant de réaliser la conversion, vous devriez lister toutes les URL HTTP de votre site web afin de vérifier si toutes les URL sont correctement redirigées. Vous pouvez le faire gratuitement pour les sites web de moins de 100 URL avec le logiciel Ryte sous le compte FREE.

L’étape suivante consiste à vérifier les liens internes de votre site. Si vous utilisez des liens relatifs, cela ne devrait pas poser de problème. Toutefois, si vous utilisez des liens absolus, vous devez convertir chaque lien en HTTPS pour empêcher la redirection interne. Faites attention aux références qui ne sont pas visibles sur votre site, par exemple les balises canoniques. Dans le cas où votre CMS ne met pas automatiquement à jour le sitemap.xml, vous devez vous assurer que les URL HTTP sont bien remplacées par la variante HTTPS.

N'oubliez pas d’aussi convertir les liens externes sur votre site, par exemple les liens de Facebook ou Google AdWords. Vous ne pouvez pas convertir les liens d'autres sites vers votre site web, mais ça vaut la peine de demander aux propriétaires de ces sites de le faire pour vous.

Étant donné que Google considère les versions chiffrées et non chiffrées d'un site web comme deux sites distincts, vous devez créer et vérifier une version HTTPS de votre site dans Google Search Console. Dans le même temps, vous devriez également soumettre votre nouveau sitemap dans GSC. Il peut être tentant de demander un changement d'adresse dans Google Search Console pour la conversion de HTTP vers HTTPS, mais comme ce n’est pas le but initial de cette fonction, il est préférable de ne pas l'utiliser de cette façon.

Vous devriez également vérifier si votre implémentation Google Analytics fonctionne correctement sur la version HTTPS de votre site.

Aleyda Solis fournit de plus une check-list détaillée pour la conversion de HTTP vers HTTPS.

Conclusion

L’importance du HTTPS pour les opérateurs de sites web augmente, notamment via la promotion du SSL par Google. La dernière annonce sur Google Search Console doit être essentiellement vue comme une étape supplémentaire dans le développement que Google a commencé il y a des années. Afin de rester compétitif dans les moteurs de recherche, les webmasters devraient passer au HTTPS dès maintenant. Comme il existe de nombreux aspects techniques à considérer, la conversion se doit d’être préparée et testée à fond afin d'éviter tout dommage au classement ou à l'accessibilité.