HTTPS continue de faire couler beaucoup d’encre. Nombreuses sont les informations qui ont circulées sur le sujet : certaines sont vraies, d’autres moins. Voici un “top 7” des choses à savoir sur HTTPS :
Votre migration vers HTTPS ne va pas forcément ralentir votre site
Certes, une connexion sécurisée (HTTPS) peut prendre plus de temps qu’une connexion en clair (HTTP) et ainsi impacter négativement l’expérience utilisateur.
Mais il existe des solutions pour optimiser les connexions HTTPS. À ce propos, je vous invite à lire notre article “4 optimisations clés pour accélérer l’HTTPS”.
Note : L’établissement de la connexion TLS (anciennement SSL), appelée « handshake TLS », peut nécessiter plusieurs aller-retours entre le serveur et le navigateur. Fasterize a optimisé la configuration de ses serveurs afin de ne nécessiter qu’un seul aller-retour pour établir une connexion TLS : une optimisation dont bénéficient l’ensemble de nos clients.
Les certificats et leur installation ne sont pas toujours hors de prix
Différentes gammes de certificats SSL existent et vont du simple certificat aux certificats à Validation Étendue (« Extended Validation »), conformes au processus de validation le plus strict. Parmi les différents certificats existants, vous trouverez notamment :
-
-
- les certificats dits “simples” (single domain) qui sécurisent un seul domaine (adapté pour les sites n’ayant pas de sous domaines de type “sousdomaine.votresite.com’)
- les certificats “multi-domaines” qui sécurisent plusieurs domaines. Le coût de celui-ci varie généralement en fonction du nombre de domaines que vous souhaitez sécuriser.
- les certificats “wildcards” qui sécurisent tous les domaines liés à un domaine donné (adapté pour les sites ayant plusieurs sous domaines, par exemple *.monsite.com)
-
L’arrivée de Let’s Encrypt a permis de rendre plus accessible les certificats SSL, tant du point de vue du coût que de sa facilité à déployer.
Voici de l’aide pour bien choisir votre certificat.
Le gain SEO est limité
Google avait annoncé en 2014 (oui, déjà !) que les sites en HTTPS bénéficieraient d’un “bonus SEO” minime.
Reading "HTTPS as a ranking signal": http://t.co/nEjcGhm8bJ
— Matt Cutts (@mattcutts) August 7, 2014
Depuis, plusieurs études ont été menées pour déterminer l’impact de HTTPS sur le SEO et elles se rejoignent toutes pour confirmer l’aspect minime du gain (telle que l’analyse de searchmetrics ou le témoignage de Madeline Pinthon, consultante SEO dans le JDN.
Le HTTPS n’est donc pas (pour l’instant) le grand-nouveau-critère-sauveur-SEO-de-Google ! Cela pourrait même avoir l’effet inverse dans le cas où le site web serait mal configuré.
Des bénéfices au niveau technique et de l’image de marque
Il y a malgré tout d’autres raisons qui devraient finir de vous convaincre de passer à HTTPS.
L’image de marque
Depuis fin janvier 2017, les sites en HTTP sont pointés du doigt par Google Chrome et Firefox :
Google Chrome
par Firefox
Alors évidemment :
« le petit cadenas vert qui s’affiche lorsque des pages sont en HTTPS sera toujours plus rassurants pour l’internaute. Surtout s’il s’agit d’un site d’e-commerce »
Aymeric Bouillat
consultant SEO chez Résonéo
« le petit cadenas vert qui s’affiche lorsque des pages sont en HTTPS sera toujours plus rassurants pour l’internaute. Surtout s’il s’agit d’un site d’e-commerce »
Aymeric Bouillat
consultant SEO chez Résonéo
« le petit cadenas vert qui s’affiche lorsque des pages sont en HTTPS sera toujours plus rassurants pour l’internaute. Surtout s’il s’agit d’un site d’e-commerce »
Aymeric Bouillat
consultant SEO chez Résonéo
Les nouveautés techniques
Le passage à HTTPS permet d’exploiter les dernières nouveautés des navigateurs (telle que la compression Brotli, HTTP/2 et les service workers). Un point particulièrement utile pour les progressive web app.
Les mots-clés “(not provided)” de Google Analytics restent “(not provided)”
Nous avons tous subi le passage au “(not provided)” de Google Analytics (et la frustration qui accompagne cette expression).
Alors qu’on aurait pu croire qu’en passant un site en HTTPS, le pourcentage de “(not provided)” aurait baissé*, il n’en est rien. En effet, le referer, permettant aux outils de web analytics d’indiquer la source d’une visite est transmis d’une page HTTPS à une page HTTPS (mais pas d’une page HTTPS à une page HTTP). Toutefois Google a fait le choix de faire transiter les internautes par une page intermédiaire.
Ainsi, seul le trafic issu d’une campagne AdWords contient ces informations. Les sites pratiquant exclusivement le SEO continueront, eux, de se contenter du “(not provided)”.
Les annonces AdSense peuvent générer moins de revenus sur HTTPS que sur HTTP
Google a mis à jour le code d’annonce AdSense afin que les sites HTTPS puissent, eux aussi, diffuser des annonces conformes à la norme SSL/TLS.
Mais voilà, il y a un revers de la médaille : les sites HTTPS nécessitent que tout le contenu de la page, y compris les annonces, soit sécurisé. C’est pourquoi les annonces non conformes à SSL/TLS ne pourront plus participer à la mise en concurrence sur AdSense. La pression sur les enchères sera donc plus faible, ce qui peut générer une baisse des revenus AdSense.
Le HTTPS ne vous protège pas de tous les problèmes de sécurité
En migrant vers HTTPS, vous protégez la connexion entre votre navigateur et votre serveur, ce qui est déjà un élément important. Mais cela ne signifie pas que vous êtes protégés de tous les problèmes de sécurité.
FREAK (2015) et DROWN (2016), des vulnérabilités dans le chiffrement des connexions SSL/TLS, en sont la preuve. a d’ailleurs été rendue publique en ce début de mois.
Vous devez donc continuer à être vigilant.
Si la migration vers HTTPS n’est pas (encore) une obligation, elle reste malgré tout vivement conseillée par tous les professionnels du web, particulièrement pour les sites qui échangent des données confidentielles (cartes bancaires, mots de passe, espace membre,…).
HTTPS est en effet largement plébiscité par les acteurs du web tels que Let’s Encrypt, Google, Firefox ou encore WordPress.
Vous souhaitez migrer vers HTTPS ?