Le 17 avril dernier, Chrome a classé comme “non sûrs” des milliers de domaines utilisant des certificats SSL délivrés par Symantec et cela va devenir encore plus important après le 23 Octobre. Vous devriez vérifier si votre domaine n’a pas été également blessé !

Qu’est-ce qu’un SSL et pourquoi cela compte en SEO

SSL (Secure Socket Layer en anglais) est la technologie de sécurité standard pour établir un lien crypté entre un serveur web et un navigateur. Vous avez besoin d’un certificat SSL si vous voulez que vos URLs apparaissent dans le protocole HTTP.
Voici quelques désavantages dus à l’utilisation du HTTP :

  • Votre site ne sera pas marqué en tant que “sécurisé” dans les navigateurs ;

secure-website

  • Chrome note les sites HTTP comme non sécurisé avec une balise depuis Octobre 2017 ;
  • Google va éventuellement marquer tous les domaines non-https comme non sûrs ;

unsecure-website

  • Vous ne pourrez pas faire de PWA (Progressive Web Apps).

Vous pouvez consulter le guide SEO étape par étape d’OnCrawl si vous n’avez toujours pas migré en HTTPS.

Les problèmes liés aux certificats Symantec

Tout a commencé en Janvier 2017 sur un post sur le forum du site mozilla.dev.security.policy. Celui-ci a montré que certains des certificats Symantec enfreignaient les exigences de base du CAB.
Quelques mois plus tard (le 11 Septembre 2017), Google a décidé de “définitivement retiré” toute la confiance qu’il avait placée dans les infrastructures Symantec (y compris Thawte, VeriSign, Equifax, GeoTrust et RapidSSL) d’ici au 23 Octobre (lors de la sortie de Chrome 70).
Malheureusement, vous pourriez ne pas avoir autant de temps… Tous les certificats délivrés par Symantec CA avant le 1er Juin 2016 ne sont plus considérés comme sûrs depuis la sortie de Chrome 66. Une version stabilisée a été sortie le 17 avril 2018.

De quelle échelle parlons-nous ?

Scott Helme a écrit un script pour vérifier les certificats des domaines basé sur sa propre base de données (Top 1 Million d’Alexa) et il a trouvé que 1 321 domaines allaient perdre la confiance de Google en M66 et 6 882 en M70 (le nombre est en baisse).
Vous pouvez aussi construire votre propre base de données avec n’importe quel site web qui propose ce type de données et la récupérer en utilisant un scraper de custom field.
Par exemple, commencez d’abord par réaliser une liste des URLs :

  • https://decoder.link/sslchecker/oncrawl.com/443 || https://*********/oncrawl.com/443
  • https://decoder.link/sslchecker/example.com/443 || https://*********/example.com/443
  • https://decoder.link/sslchecker/example.net/443 || https://*********/example.net/443

Puis, trouvez votre XPATH ou REGEX, par exemple :
//*[@id=”containerTop”]/div/div/div[2]/div/div[2]/table/tbody/tr[3]/th/p
Et profitez de vos données !
Découvrez ici comment vous pouvez récupérer n’importe quel type de données depuis un site web

Comment vérifier si je vais perdre la confiance de Google ?

Pressez la touche F12 dans Google Chrome et lancez la console sur votre domaine. Vous verrez un avertissement en haut :

console

“Le certificat SSL utilisé pour télécharger des ressources depuis https://EXAMPLE.COM ne sera plus jugé comme étant sûr en M66. Une fois classé en tant que site douteux, les utilisateurs seront prévenus lorsqu’ils téléchargeront ces ressources. Voir https://g.co/chrome/symantecpkicerts pour plus d’information”.

D’autre part, vous pouvez voir quelque chose comme cela si votre certificat a été délivré après le 1 Juin 2016 :

console-certificate

“Le certificat SSL utilisé pour télécharger des ressources depuis https://example.com ne sera plus jugé comme étant sûr en M70. Une fois classé en tant que site douteux, les utilisateurs seront prévenus lorsqu’ils téléchargeront ces ressources. Voir https://g.co/chrome/symantecpkicerts pour plus d’information”.

Que va-t-il arriver si j’ignore ce message ?

“Rien de grave”, tous vos visiteurs utilisant Chrome verront quelque chose comme ça :

notsecure-website
Et cela :

unsecure-website

OMG Qu’est-ce que je devrais faire ?

Vous devriez contacter votre fournisseur SSL et mettre à jour votre certificat ou simplement suivre étape par étape la procédure de mise à jour sur la page de Symantec.
Rappelez-vous que tous les domaines de ressources de votre site web (comme les CDN, CSS et d’autres) peuvent aussi être jugés douteux.
Gardez en tête que Chrome 66 a été sorti le 17 avril et que Chrome 70 sera lancé le 23 Octobre.