Le HTTPS bientôt obligatoire pour tous ?

Depuis quelques années le HTTPS était surtout associé aux échanges d’emails et au e-commerce avec son besoin évident de garantir la sécurité des transactions financières (paiements en ligne). En 2014 déjà, l’équipe en charge de la sécurité de Google Chrome avait soumis l’idée de rendre le protocole sécurisé obligatoire, puis Google l’annonçait officiellement sur son Blog dédié à la sécurité en septembre 2016. Alors qu’en est-il vraiment aujourd’hui ?

 

 

Qu’est-ce que le HTTPS ?

Le HTTPS ou Hypertext Transport Protocol Secure est la version sécurisée du HTTP que nous connaissons depuis toujours. Il s’agit donc d’ajouter une couche de sécurité par-dessus ce protocole à l’aide d’une connexion encryptée via TLS (Transport Layer Security) ou SSL (Secure Sockets Layer).

Le « S » de HTTPS assure donc la sécurité des échanges entre un client (votre navigateur) et le serveur qui héberge le site. Ainsi, toutes les données qui transitent depuis le serveur, ou depuis votre ordinateur sont encryptées par le biais d’un certificat lié au nom de domaine du site que vous consultez.

 

Qu’est ce qui va changer ?

En janvier 2017, Google a annoncé que la version 56 de son navigateur Chrome (sortie prévue aujourd’hui, le 31 Janvier 2017) allait apporter des changements majeurs sur la manière d’afficher les sites qui n’utilisent pas encore HTTPS.

En effet, comme le montre bien l’image ci-dessus, les sites non certifiés afficheront maintenant au niveau de la barre d’adresse la mention « Non sécurisé » lorsque l’utilisateur sera sur une page de paiement en ligne ou sur une page lui demandant de s’authentifier.

A priori, ce changement n’est pas si important (ni grave) puisqu’il s’agit simplement d’une indication présente dans la barre d’adresse sur le navigateur Chrome (version à jour) et que cela ne change en rien les SERP – résultats de recherche – sur le moteur d’indexation Google et les autres.

Là où les choses deviennent plus embêtantes, c’est que ce premier « petit changement » est en fait inscrit dans une stratégie plus ambitieuse. Le souhait de Google – à court terme – est d’afficher ce message en rouge sur toutes les pages des sites n’utilisant pas le TLS/SSL.

 

 

Ce qu’il faut retenir de ce(s) changement(s).

Vous l’aurez compris, ce message quelque peu anxiogène affiché en rouge dans votre barre d’adresse risque de vous être préjudiciable puisqu’il sera visible de vos clients, prospects ou simples lecteurs.

Alors que les plus « technophiles » – et donc au courant de ces changements – ne seront probablement pas inquiétés par ce message, les autres, eux, risquent de prendre peur à la lecture de ce message rouge et quitteront votre site.

C’est donc un réel problème pour tous ceux dont le web est un pilier de leur activité commerciale et d’autant plus si c’est un levier de croissance et/ou un canal d’acquisition primordial.  N’écartons pas non plus le préjudice potentiel que cela peut porter à l’image de votre entreprise et de sa marque.

Google, même s’il est incontestablement un acteur majeur du numérique qui a su apporter bon nombre d’innovations et d’outils incontournables, n’a pas pour habitude de ménager l’écosystème du web. L’entreprise use parfois (souvent) de son monopole pour imposer des aménagements conséquents à tous ses usagers et particulièrement aux acteurs du web.

Pour rappel, Google Chrome représentait plus de 62% de PDM en décembre 2016 suivi par Firefox avec près de 15% et Internet Explorer avec un peu de moins de 10%. (Sources StatCounter).

 

On notera donc que tous ces changements ne sont aujourd’hui valables que pour Google Chrome, que la non utilisation du HTTPS sur votre site n’entrainera aucun problème technique particulier (il sera toujours consultable évidemment) et que cela n’a pas d’impact négatif non plus sur votre référencement.

Enfin, sur ce dernier aspect, Google et potentiellement les autres moteurs de recherche, devraient à court terme pénaliser les sites non sécurisés. A ce jour, le facteur « sécurité » n’est pas officiellement reconnu comme un des critères qui servent à donner une note (ranking) à vos pages. En revanche, compte tenu de la stratégie préparée par Google depuis quelques années et mise à exécution en ce début 2017, il y a de fortes chances que cela le devienne dans les mois à venir. Certains bruits laissent en tout cas entendre que les sites en HTTPS seraient tout même légèrement favorisés…

 

Est-ce compliqué de passer en HTTPS ?

Lors de l’apparition du HTTPS, l’achat d’un certificat SSL avait un coût relativement important et on ne voyait que trop peu l’utilité de le mettre en place sur des sites non sensibles tels que des blogs, des sites vitrine, etc. Cela nécessitait également de nombreux ajustements au niveau des sites Internet, selon les cas et notamment selon le CMS utilisé, pour les rendre pleinement compatibles et éviter notamment les erreurs de « mixed contents ».

Avec le HTTPS, une page doit impérativement appeler des ressources (images, fichiers js ou css, etc.) via des URLs en HTTPS, sinon vous aurez des erreurs et la connexion ne sera alors pas sécurisé ou les contenus en questions seront bloqués. Le nom de l’erreur « mixed contents » fait référence à une page chargée via HTTPS qui  appellerait à la fois des ressources en HTTPS et d’autres en HTTP classique, donc non sécurisés.

 

De fait, il faut veiller, lors de la création ou plus spécifiquement lors de la bascule d’un site existant, à vérifier vos contenus et faire les mises à jour nécessaires pour que toutes vos ressources soient correctement appelées.

D’une manière générale, les CMS et autre Framework ou librairies en tout genre ont bien intégré ce nouveau protocole et la problématique des erreurs « mixed contents ». Il est aujourd’hui beaucoup plus simple de basculer un site existant vers le HTTPS grâce à toutes ces ressources déjà optimisées.

Attention également, lorsque vous basculez un site existant vers le HTTPS, veillez à bien rediriger les anciennes URLs en HTTP vers les nouvelles en HTTPS, sinon vous vous retrouverez avec des pages identiques accessibles à 2 adresses différentes. Pourquoi est-ce un problème ? Tout simplement parce que cela s’appelle du « Duplicate content » (contenu dupliqué) et que c’est fortement pénalisé en référencement naturel (SEO). Pour rappel, un contenu à forte valeur ajouté, et donc bien référencé, doit être totalement unique. Cela signifie qu’il doit être accessible via une seule adresse URL. Si vous oubliez ou faites mal cette redirection, vos « super contenus » ne seront plus uniques car accessibles via http://monsite.fr/mon-contenu et  https://monsite.fr/mon-contenu. Vigilance !

Pour conclure sur ce point, il n’est donc pas foncièrement compliqué de passé en HTTPS. Techniquement, tout se gère relativement bien, et de nombreux changement sont transparents. Il faut néanmoins avoir les bases techniques nécessaires et le temps nécessaire ou se faire accompagner par des professionnels (votre hébergeur et/ou le prestataire en charge de la maintenance de votre site).

 

Comment obtenir un certificat ?

Le plus simple est évidemment de vous rapprocher de votre hébergeur. C’est lui qui sera le plus à même de vous guider sur son obtention et son coût. En revanche, faites-vous accompagner par votre prestataire web habituel pour effectuer la bascule et éviter les éventuels soucis évoqués précédemment.

Sachez par ailleurs que le coût moyen des certificats signés ne cesse de baisser – il vous en coûtera de quelques dizaines à quelques centaines d’euros selon le type. Il peut même être totalement gratuit pour un certificat auto-signé, c’est ce que nous allons voir tout de suite.

Il existe 3 sortes de certificats :

1. Les certificats auto-signés fournis par Let’s Encrypt – Gratuit

Domain Validation (DV) SSL Certificates

Il est donc gratuit et accessible à tous. Notez cependant qu’il doit être renouvelé tous les 3 mois, mais que de plus en plus d’hébergeurs l’intègrent à leurs offres avec un renouvellement automatisé. C’est un véritable certificat, vous êtes donc « sécurisés », mais il n’apporte rien de plus qu’un certificat auto-signé que tout le monde peut obtenir. En termes d’image et de sérieux, ça n’apporte rien. Ce type certificat est parfait pour les sites personnels (type blog par exemple).

 

2. Les certificats « classiques » – 30€ HT/an chez Genious Interactive

Domain Validation (DV) SSL Certificates

Ce certificat est peu cher et est délivré par un organisme de certification. C’est donc un plus pour votre image et pour rassurer le consommateur. En cliquant sur le seau de site sécurisé (le cadenas), vous verrez apparaître les informations vérifiées par l’Autorité de certification (AC). Vous profitez donc de la sécurité du SSL et rassurez vos consommateurs à moindre coût.

 

3. Les certificats « premium » – 560€ HT/an chez Genious Interactive et bientôt 2X moins cher

Les certificats SSL à validation étendue (EV) – inclus la validation de l’organisation (OV)

Il indique que votre nom de domaine est certifié (comme le ferait Let’s Encrypt ou le certificat classique), mais il précisé également que la société éditrice du site Web concerné a été vérifiée. Le nom de la société est également affiché à côté du petit cadenas, c’est donc un excellent gage de sécurité et de confiance pour vos visiteurs. C’est le certificat incontournable si vous avez une plateforme de e-commerce par exemple.

 

 

Alors, faut-il impérativement passer en HTTPS ?

Quoi qu’il arrive, votre site sera toujours accessible et vous ne devriez pas être impacté au niveau du référencement. Vous l’aurez compris, c’est plus au niveau de votre « image » que tout va se jouer.

Si votre site héberge des données sensibles, que vous avez un système de paiement en ligne, ou tout simplement que la confiance est un facteur important dans votre stratégie, il semble essentiel de passer tout de suite en HTTPS.

Si une refonte est en cours ou à venir, vous pouvez surement encore attendre quelques mois, mais ne tardez pas car nous ne sommes jamais sûrs de ce que Google peut nous réserver…

Avant de basculer vers le HTTPS, vous devez savoir une dernière chose. L’utilisation de ce certificat de sécurité entraîne une latence supplémentaire lors des requêtes. Cela signifie que vos pages seront sensiblement plus longues à charger. Il faudra donc veiller à optimiser encore un peu plus votre site pour palier à ce ralentissement supplémentaire et donc ne pas pénaliser votre SEO.

 

Cette problématique, bien connue, devrait être solutionnée à court terme. Facebook travaille d’ailleurs sur cet aspect depuis plus d’un an comme nous l’apprend NexImpact dans ce billet du 30 janvier 2017.

Dans tous les cas, il semble essentiel de considérer une bascule à court terme. Prenez contact avec votre prestataire pour en parler avec lui.

 

Recent Posts

Laisser un commentaire