Des analyses récentes de Mozcast démontrent que les sites utilisant le protocole HTTPS occupent de plus en plus de place dans les 10 premiers résultats de Google. Au niveau de l’utilisation https, les statistiques révèlent qu’il y a eu une hausse de 25% à 40% entre janvier et octobre 2016. Les données de Builtwith ont également démontré que le nombre de sites web utilisant un SSL par défaut a plus que doublé au cours des 12 derniers mois.

Personnellement, je suis surpris que ce nombre ne soit pas plus élevé, d’autant plus que Google Chrome a commencé à avertir les utilisateurs que leur connexion peut ne pas être sécurisée (lors de la connexion à un site http au lieu de https). Sans oublier qu’en 2014, Google avait confirmé que l’ajout d’un certificat SSL à votre site web lui donnait un léger accroissement de classement.

Une augmentation de classement n’est pas le seul avantage à passer en https ; Google a clairement cité les avantages du cryptage, de l’intégrité des données et de l’authentification.

Les données envoyées via HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui fournit trois niveaux de protection principaux :

Cryptage : Cryptage des données échangées afin de les protéger contre les intrus. Cela signifie que pendant qu’un utilisateur navigue sur un site, personne ne peut «écouter» ses conversations, suivre ses activités sur les différentes pages ou encore voler ses informations.

Intégrité des données : Les données ne peuvent pas être modifiées ou endommagées pendant le transfert, que se soit de manière intentionnelle ou autrement, sans être détectées.

Authentification :  Démontre que vos utilisateurs communiquent avec le site web prévu. Il protège contre les attaques man-in-the-middle et crée une confiance pour les utilisateurs, se traduisant ensuite par d’autres avantages commerciaux.

Il est aussi important de se rappeler qu’un certificat SSL ne protège pas votre site et que vous risquez d’être vulnérable aux attaques DDoS, Brute Force, Logjam et autres.

Pourquoi si peu de sites n’ont pas migrés en https ?

Je pense que c’est parce que la migration d’un site web http en https est beaucoup plus complexe que d’allumer un interrupteur… En effet, des erreurs peuvent se produire et si ces erreurs ne sont pas repérées dès le départ, elles pourraient gravement endommager la performance SEO de votre site.

Essentiellement, toutes les migrations commencent au même endroit, avec un crawl de votre site. À partir de là, il y a un certain nombre de tâches qui doivent être complétées, cependant, quelques-unes des ces tâches sont souvent négligées. Voici lesquelles :

  • Mettre à jour votre fichier .htaccess ;
  • Vérifier le fichier robots.txt, que toutes les URLs ne soient pas bloquées et qu’elles doivent être changées en protocole https;
  • Mettre à jour le sitemap XML et s’assurer qu’il ne contient aucune URL sur l’ancien protocole http ;
  • Vérifier le code de réponse de l’en-tête et assurez-vous que votre site redirige de http vers https avec les codes 301 ;
  • Créer de nouveaux profils dans Google Analytics, Google Search Console et Bing Webmaster Tools pour le nouveau site.

Les raisons au non passage au https

La migration d’un site http en https pourrait générer une baisse temporaire dans les classements (comme Google doit crawler à nouveau le site et reconnaître les nouvelles URLs et ce même si la migration a été bien faite). Également, il semblerait que l’amélioration au niveau du classement a été reconnue comme moindre.

Passer au https si le site est actuellement sous pénalité est également une très mauvaise idée (algorithmique ou manuel), car Google pourrait voir cela comme une tentative de fuite vis à vis de la pénalité en déplaçant le domaine. Vous verrez quelques avantages à court terme suite au transfert, mais la pénalité sera bien évidemment transférée elle aussi.

L’intention de Google est de rendre le web un endroit plus sûr pour les utilisateurs. Réaliser une migration en https simplement pour être mieux référencé, c’est agir avec un point de vue limité.

En conclusion

Il n’est pas monnaie courante pour Google de publier plusieurs fois sur le même sujet sur le blog Webmaster Central ainsi que pour Google Chrome d’avertir les utilisateurs sur les sites ayant des protocoles non sécurisés. On comprend bien que la thématique HTTPS sera récurrente en 2017… et ce n’est que le début !

À savoir aussi que la migration d’un site http en https doit être traitée comme une migration complète de domaine/site web, puisque vous modifiez en réalité toutes les URLs du site en question.