En quoi consiste le certificat SSL et le protocole HTTPS ?

Le 30 octobre 2017  SEO

Avant tout, qu’est-ce que le protocole http ? Le protocole HTTP (HyperText Transfer Protocol) permet le transfert de données entre un navigateur et un serveur Web. La communication entre le client (navigateur) et le serveur se fait sous le principe de « requête-réponse » http. Fonctionnement du protocole HTTP On a d’un côté, le navigateur web, qui envoie […]

Avant tout, qu’est-ce que le protocole http ?

Le protocole HTTP (HyperText Transfer Protocol) permet le transfert de données entre un navigateur et un serveur Web. La communication entre le client (navigateur) et le serveur se fait sous le principe de « requête-réponse » http.

Fonctionnement du protocole HTTP

On a d’un côté, le navigateur web, qui envoie une requête http au serveur. Elle comporte plusieurs lignes qui visent à définir des éléments tel que le type de document utilisé, la version du protocole utilisé par le client, la méthode devant être appliquée, ainsi que diverses informations liées à la requête.
D’autre part, le serveur web, formule la réponse HTTP qui sera transmise au navigateur. La réponse présente elle aussi plusieurs lignes comportant évidemment le document demandé dans le corps de la réponse, mais aussi des informations sur la version du protocole utilisé, le code de statut, la signification du code, etc.

Les limites du protocole HTTP

L’inconvénient de ce type de connexion, c’est qu’elle n’est pas sécurisée, aucun chiffrement des données utilisateurs n’est opéré (les données transitent en clair sur le réseau). Ainsi, un utilisateur qui entrerait des informations confidentielles, telles que des coordonnées bancaires ou un mot de passe, prendrait le risque de voir une personne mal intentionnée se procurer les informations.
Aujourd’hui, la vulnérabilité des données utilisateurs est un réel problème : personne ne veut voir ses informations personnelles interceptées. Migrer vers un protocole HTTPS pour garantir la confidentialité des données s’avère donc primordial pour assurer la sécurité des clients … et pour répondre aux attentes de Google.

Qu’est-ce que le protocole HTTPS et que change-t-il ?

Le protocole HTTPS (HyperText Transfer Protocol Secure) se base sur le protocole http, mais vient s’ajouter un autre protocole : Le TLS (Transport Layer Security), anciennement nommé SSL (Secure Socket Layer). Ce second protocole permet de chiffrer les données utilisateurs via un processus de chiffrement asymétrique (clé privée et clé publique).

L’utilisation du protocole TLS/SSL

La mise en place du protocole HTTPS passe par l’obtention d’un certificat d’authentification du site : le certificat TLS/SSL, délivré par une autorité de certification ou de façon auto signé (non recommandé pour le SEO et les sites en production).

À noter que ce protocole ne vous rendra pas « anonyme », il permet simplement de garantir la sécurité des informations personnelles que vous partagez sur les différents sites visités.

Pourquoi passer son site en HTTPS ?

Comme nous l’avons mentionné précédemment, le protocole permet le chiffrement des données utilisateurs : l’internaute naviguant sur un site pourra donc renseigner ses informations confidentielles sans risque de les voir intercepter par un tiers.
Fournir une connexion TLS/SSL sur votre site donne aussi un signal de confiance au navigateur de recherche tel que Google Chrome et Mozilla Firefox.

Comment savoir si un site est protégé ?

Pour savoir si le protocole HTTPS est utilisé sur un site, il suffit de vérifier la présence de l’indicateur en forme de cadenas vert placé tout à gauche de la barre d’adresse, à côté du nom de domaine. Si le sigle n’est pas présent, cela veut tout simplement dire que la connexion n’est pas sécurisée.

Message alerte connexion non sécurisée Mozilla Firefox Message alerte connexion non sécurisée Google Chrome

Comme on peut le constater ci-dessus, Google Chrome et Mozilla Firefox affichent désormais des messages d’avertissement lorsque la connexion n’est pas sécurisée. Un message pouvant troubler l’internaute, d’autant plus s’il s’apprête à passer à l’achat et donc à communiquer des données sensibles.
Dans certains cas, l’HTTPS a bien été mis en place, mais du « mixed content » subsiste.
Alerte mixed contentMigrer vers un protocole HTTPS nécessite de suivre un processus bien établi, afin d’éviter ce type d’erreur.

Vous pouvez également vérifier la bonne implémentation du protocole HTTPS sur un site en utilisant l’outil SSL Lab.

Pourquoi Google accélère la mise en place du HTTPS ?

Depuis 2014, Google a annoncé vouloir mettre en avant (sur le plan SEO/visibilité) les sites ayant une connexion sécurisée pour « forcer » le passage en HTTPS.
Depuis le mois d’octobre 2017, Google affiche un label « non sécurisé » sur les pages HTTP contenant des input text (commentaire, formulaire de contact)

Le souhait des navigateurs web est clairement affiché : un web davantage sécurisé pour l’internaute.

Mais Google n’est pas le seul acteur du web à prôner la sécurisation des données, WordPress.org a affirmé sa volonté de favoriser les sites sécurisés. Certaines fonctionnalités pourraient même être exclusivement réservées aux sites ayant obtenu un certificat SSL/TLS.

« Nous sommes à un tournant : en 2017 nous allons voir des fonctionnalités dans WordPress qui exigeront des hôtes HTTPS. Tout comme JavaScript est une nécessité pour des expériences utilisateur plus lisses et l’utilisation de versions modernes de PHP est critique pour la performance, SSL sera le prochain obstacle auquel nos utilisateurs devront se confronter. » (Source : WordPress) 

Quand passer son site en HTTPS ?

Que vous soyez en pleine création d’un site e-commerce, d’un blog, d’un site vitrine ou d’une application web, prenez les devants et optez pour une connexion TLS/SSL pour sécuriser votre site dès sa phase de conception.
Si votre site internet est déjà existant, n’attendez pas que les navigateurs web durcissent leurs politiques en matière de sécurité. N’hésitez pas à profiter d’une refonte de site, par exemple, pour intégrer le protocole HTTPS à votre projet.

La migration vers le protocole HTTPS est d’autant plus importante si vous possédez un site e-commerce. Des informations sensibles étant communiquées, la mise en place du protocole doit se faire dans les plus brefs délais.

Obtenir un certificat TLS/SSL et passer en HTTPS : Quels avantages pour mon site ?

    • Evidemment, la protection des données (coordonnées bancaires, mots de passe, adresses mail …) de vos visiteurs, et de vos clients !
    • Le certificat TLS/SSL permet aussi d’authentifier le site en créant un lien entre l’entité numérique (le site) et la personne ou entreprise derrière ce même site.
    • Une forte réassurance pour vos visiteurs, la sécurité des données personnelles étant une des inquiétudes centrales pour les internautes. Savoir que leurs données sont sécurisées peut permettre de lever certaines barrières à l’achat, et de réduire votre taux de paniers abandonnés. (Selon une étude GlobalDesign « 85% des acheteurs en ligne évitent les sites non sécurisés »)
    • La compatibilité avec le protocole HTTP/2 qui va devenir le prochain standard !
    • Une mise en conformité d’un point de vue SEO avec les « recommandations » de Google, on remarque aussi une corrélation entre le HTTPS et un meilleur positionnement . Le référencement naturel de votre site serait donc positivement impacté par la mise en place du protocole Si votre site et celui d’un concurrent sont à égalité sur tous les facteurs de positionnement, l’HTTPS peut faire la différence et représente donc un avantage concurrentiel.

corrélation entre le HTTPS et un meilleur positionnement

Comment réaliser le passage en HTTPS ?

Le passage en HTTPS nécessite des connaissances étendues puisqu’il requiert des changements techniques au niveau de votre serveur web ainsi qu’un plan de migration SEO afin de sécuriser la transition. Plusieurs étapes sont nécessaires à la mise en place du protocole HTTPS :

  • Le choix du certificat TLS/SSL. Il s’occupe de chiffrer les données utilisateurs, et permet l’authentification. De nombreux hébergeurs web tel que OVH, délivrent ces certificats . Il existe :
    • Les « Domain Validation » (DV)
    • Le certificat à validation de l’organisation (OV)
    • Le certificat à validation étendue (EV), souvent adopté par de gros acteurs, e-commerce notamment, ou des sites sur lesquels des informations très sensibles sont échangés.
  • La redirection de vos pages HTTP en HTTPS, afin d’éviter les contenus dupliqués et de transmettre « l’historique/jus » des anciennes pages. Certains hébergeurs web proposent de le faire directement via leur console de gestion mais il est aussi possible d’intervenir directement dans le fichier .htaccess (pour les serveurs Apache).
    • Exemple :
      • De https://site-web-professionnel.fr, on passe à : https://site-web-professionnel.fr
    • Ce « changement de nom de domaine » doit s’effectuer pour l’ensemble des pages de votre site
  • La mise à jour de vos liens, images et ressources pour qu’ils pointent vers les bonnes pages, en https (cela va également permettre d’éviter le « mixed content »)
  • Configuration du site HTTPS sur les divers outils de web analyse (Google Search Console, Google Analytics) et génération d’un nouveau sitemap.

Search Factory vous propose une prestation SEO pour vous épauler dans votre projet web, contactez-nous !

Contactez-nous pour un devis gratuit

 

Crédit photo : https (Sean MacEntee).

Rédigé par Théo Le B.