Le https facile et gratuit, mais une obligation bientôt ?

Web
Affichages : 1024
Le https facile et gratuit, mais une obligation bientôt ?

Si on en croit Google, oui !
À partir de janvier 2017, la version de chrome 56 indiquera dans la barre d’adresse, un message signalant un danger sur les sites non-accessibles en https. Cette alerte n'épargnera aucun site resté en http, mais les sites les plus touchés seront bien entendu ceux qui échangent des données confidentielles, comme les sites e-commerce. L’impact direct pour ces sites sera une baisse de fréquentation et donc, une baisse des ventes.

Si on en croit Google, le web de demain sera plus sûr. D'ailleurs, Google nous laisse-t-il le choix ? En effet, si tantôt Google laissait entendre que les sites en https profiteraient d’un léger avantage de positionnement dans les Serp de Google, aujourd’hui le moteur de recherche passe la vitesse supérieure et cherche clairement à dissuader un internaute de rester sur votre site si celui-ci n'est pas sécurisé.

: : :  Pourquoi passer au https ?

Le https est sécurisé. Avec le protocole http, une personne mal intentionnée peut intercepter voire modifier les informations avant qu’elles vous soient parvenues. Avec le https, un certificat SSL crypte ces informations. Vous avez donc une connexion sécurisée entre le serveur et votre navigateur.

: : :  Passer au https facilement et gratuitement

La plupart des hébergeurs mettent aujourd'hui à la disposition de leurs clients les fameux nouveaux certificats de sécurité open source de Let’s Encrypt, même pour les hébergements mutualisés. Le but d’un tel certificat est de sécuriser la communication entre l’utilisateur et le serveur.

: : :  Par où commencer ?

La première chose à faire, si votre hébergeur vous le propose, est d'activer Let’s Encrypt dans le panel ou le manager de gestion de votre site. Cela fait, je vous conseille de vérifier si le certificat est bien installé, en vous servant de ce site :

https://www.sslshopper.com/ssl-checker.html

Si cela fonctionne, votre site répond à ce stade aussi bien au http comme avant, qu'au https. Mais d'avoir installé le certificat ne suffit en effet pas à « forcer le cadenas » dans la barre d'adresse du navigateur. Il y a 2 manières de forcer le https, soit par le panneau d'administration de votre CMS, soit en rajoutant quelques lignes dans le fichier .htaccess du répertoire www de votre site.

: : :  Bingo, le cadenas est là !

Ça y est, après avoir d’une part effectué l’installation du certificat et d’autre part activé l’utilisation du SSL sur votre site, celui-ci apparaît enfin avec le cadenas voulu dans votre navigateur !

: : :  Contenu mixte, kesako ?

Parfois, le cadenas affiché dans le navigateur n’est pas un cadenas entièrement vert, souvent parce qu’il indique qu’il y a un problème de « contenu mixte » dans les pages de votre site. Ce lien vous explique de quoi il s’agit et les différents cas de figure dans le cas de Firefox.

: : :  Contenu mixte, que faire ?

Le site ci-dessous permet de rapidement identifier les éléments de votre site qui ne sont pas sécurisés et qui provoque donc un contenu mixte :

https://www.jitbit.com/sslcheck/

En gros, l'opération va consister à remplacer tous les http par des https en éditant les différents fichiers. Petite précision, le "https//" peut être écrit "//". Quelques infos bien utiles sur cette page (en anglais).

N'oubliez pas également de corriger :

  • le fichier robots.txt
  • le fichier .htaccess
  • le sitemap du site (qu'il soit automatique via une extension ou manuel) afin de contrôler que tous les liens qui y sont mentionnés pointent bien sur du https.


ATTENTION PASSER VOTRE SITE EN HTTPS ÉQUIVAUT À UNE MIGRATION DE NOM DE DOMAINE !

Il faut bien préparer cette étape lors de l’installation de votre certificat SSL sur votre nom de domaine. Et oui, passer en https équivaut à changer son nom de domaine ! Une mauvaise gestion de cette étape peut entrainer une chute vertigineuse de votre site dans les résultats de recherche, voire même une disparition. Et croyez moi, cela peut s’avérer dramatique pour une société, surtout si tout votre business se réalise en ligne.

À noter que pour l'instant, Google Search Console (Google Webmaster Tools) ne gère pas automatiquement le basculement vers https, si bien qu'il vous faudra à nouveau déclarer votre site et y appeler le nouveau sitemap.


Sources de l’article : Agence stylitek et Cinnk

 

Ajouter un Commentaire