Le point sur le HTTPS (le cadenas sécurisé)
Pourquoi et comment passer son site en https ?
Présentation du HTTPS
Qu’est-ce que le HTTPS ?
Le HTTPS est l’acronyme correspondant à « HyperText Transfer Protocol Secure » ou « protocole de transfert hypertexte sécurisé ». C’est un protocole de communication client-serveur qui a été conçu pour pallier les problèmes de sécurité de son ainé le HTTP. Le HTTPS va venir crypter (chiffrer) les données échangées entre un visiteur et un site web. La connexion est ainsi sécurisée et les données confidentielles protégées.
Quelle est la différence entre HTTP et HTTPS ?
La différence entre le HTTP et le HTTPS se situe au niveau du protocole de communication entre le navigateur web (Client) et le serveur web. Un site HTTPS propose un protocole de communication chiffré. Le chiffrement fait appel à un certificat TLS (Transport Layer Security). Le TLS est le successeur du protocole SSL (Secure Sockets Layer), il est délivré par une autorité tierce. L’autorité de certification vient garantir la confidentialité et l’intégrité des données envoyées par l’utilisateur, notamment les informations entrées dans les formulaires comme un code de carte bancaire par exemple.
Comment identifier un site HTTPS ?
Les sites en HTTPS sont très simples à identifier. Lorsqu’un site est en HTTPS sont URL l’indique automatiquement. Les sites en HTTPS se distinguent également par la présence d’un cadenas fermé précédant l’URL dans votre barre de navigation. En fonction de votre navigateur Web (Google Chrome, Mozilla Firefox, Internet Explorer, Opera, Safari, etc.) celui-ci peut être coloré en vert ou non.
Site en HTTPS sur Google Chrome
Site en HTTPS sur Mozilla Firefox
Certificats TLS
Le principe des certificats
Pour proposer votre site en HTTPS il vous faut obligatoirement un certificat électronique TLS. Le TLS pour « Transport Layer Security » est un protocole de sécurité qui assure la protection de l’échange des données à l’aide d’une clé de cryptage asymétrique.
Vous pouvez également retrouver la désignation SSL pour « Secure Socket Layers » rattaché à la notion de HTTPS. Le SSL est en réalité l’ancêtre du TLS. Le TLS étant plus sécurisé celui-ci est venu remplacer le SSL. On utilise encore fréquemment la désignation certificats SSL, par abus de langage, pour parler en réalité de certificats TLS. Le protocole SSL ayant été abandonné seul subsiste désormais le protocole TLS.
Les Autorités de Certification
Les Autorités de Certification (Certificate Authority) sont les seuls organismes habilités à délivrer des certificats. Vous pouvez retrouver la liste des prestataires de certification électronique sur le site du gouvernement dédié aux entreprises.
Exemples d’Autorités référantes de Certification
- CertEurope
- Digicert
- Certinomis
- GlobalSign
- RapidSSL
- Let’s Encrypt
- TrustProvider
Les différents certificats
Il existe différents certificats permettant de garantir la protection des données et de rendre votre site internet sécurisé. Le prix de cette sécurisation peut varier du tout au tout. Il dépendra de l’Autorité de Certification retenue, du type de certificat et des normes de contrôle appliquées. Il existe des certificats TLS gratuits, c’est notamment le cas des certificats proposés par Let’s Encrypt, d’autres peuvent coûter plusieurs centaines d’euros à l’instar des certificats proposés par DigiCert qui équipent des sites comme Facebook ou IBM.
Principaux certificats
- Certificat TLS gratuit (ex: Let’s Encrypt)
- Certificat EV (Extended Validation) ou à validation étendue
- Certificat à validation d’organisation
- Certificat à validation de domaine
- Certificat WildCard (multi-domaines et sous domaines)
L’importance du HTTPS
Pourquoi passer son site en HTTPS ?
Sécuriser et rassurer les visiteurs
Le cadenas HTTPS est aujourd’hui assimilé à un gage de qualité, de fiabilité et d’intégrité pour vos visiteurs. Il instaure un climat de confiance et ajoute de la crédibilité à votre site Web. Vous assurez une connexion sécurisée ce qui est également une démarche webresponsable. Le HTTPS est actuellement le meilleur moyen de sécuriser la Toile. Il évite que des données personnelles (comme des numéros de cartes bancaires) ne soient interceptées par des pirates informatiques.
Indispensable pour le Ecommerce
Le HTTPS est indispensable si vous envisagez de créer une boutique en ligne ou un site Ecommerce. Les systèmes de paiement intégrés aux solutions e-commerce exigent désormais le protocole HTTPS pour pouvoir être activés. Pas de boutique en ligne ou de site e-commerce sans avoir au préalable installé ce protocole de sécurité.
HTTPS et SEO
Google a pris la décision de privilégier les sites sécurisés dans ses résultats de recherches. Les pages HTTPS sont mieux positionnées dans les résultats de recherche organique et les sites en HTTP vont être de plus en plus pénalisés au fil du temps. Tous les sites web vont devoir désormais afficher fièrement le sigle HTTPS s’ils souhaitent encore avoir une chance d’être indexés sur le premier moteur de recherche.
Passer en HTTPS
Comment créer son site en HTTPS ?
Passer du HTTP au HTTPS peut s’avérer laborieux quand votre site est déjà en ligne, par contre créer dès le départ son site en HTTPS est extrêmement simple. La majorité des hébergeurs Web propose une option de certification gratuite. L’installation varie en fonction de votre hébergeur. En règle générale une simple recherche sur Google vous fournira la démarche à suivre. L’hébergeur O2switch propose par exemple d’installer gratuitement une certification Let’s Encrypt depuis le Cpanel et met à disposition un tutoriel explicatif pour une installation simplifiée .
Comment passer un site existant en HTTPS ?
Passer un site existant du HTTP au HTTPS est équivalent à réaliser une migration de site, car les URL seront modifiées. Il vous faudra donc rediriger toutes les anciennes URL vers les nouvelles en HTTPS. En cas d’oublie votre site présentera un risque de contenu dupliqué (pénalisé par les moteurs de recherche). Google préconise un ensemble de bonnes pratiques pour une migration réussite et référencement préservé.
Les étapes pour migrer un site en HTTPS
- Rattacher un certificat SSL
- Remplacer les URL en HTTP par HTTPS
- Rediriger les URL vers le site en HTTPS (redirection 301)
- Redéfinir l’URL canonique (Signaler l’original)
- Activer le mécanisme HSTS (Strict Transport Security)
- Vérifier l’absence d’erreur
- Actualiser Google Analytics et Google Search Console
WordPress en HTTPS
Remplacer les URL d’un site WordPress
Si votre site n’est pas encore créé dans ce cas vous n’avez pas de réécriture à réaliser. Il vous reviendra simplement à indiquer lors de l’installation de WordPress d’écrire vos URL en HTTPS.
Pour un site existant nécessitant une migration en HTTPS il va falloir remplacer l’ensemble des URL. Le plus simple est dans ce cas de faire appel à un plugin WordPress. L’extension gratuite Search and Replace vous permettra de transformer toutes les URL en quelques clics.
Rediriger les URL d’un site WordPress
Pour éviter le risque de contenu dupliqué, il va vous falloir forcer la redirection de toutes les URL du HTTP au HTTPS. C’est ce que l’on appelle une redirection 301. Pour se faire vous pouvez insérer le code suivant dans votre fichier .htaccess situé à la racine de votre site Web. Pensez à modifier l’URL par le nom de votre site Web.
Site avec www.
Pour les sites ayant fait le choix de conserver www dans leur URL, c’est le cas de capdecom.
# Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://www.capdecom.fr/$1 [R=301,L]
# Redirection du non-www vers www en HTTPS
RewriteCond %{HTTP_HOST} ^capdecom.fr [NC]
RewriteRule ^(.*)$ https://www.capdecom.fr/$1 [R=301,L]
Site sans www.
Pour les sites ayant fait le choix de ne pas conserver le www. dans leur URL.
# Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://capdecom.fr/$1 [R=301,L]
# Redirection du non-www vers www en HTTPS
RewriteCond %{HTTP_HOST} ^www\.capdecom\.fr [NC]
RewriteRule ^(.*)$ https://capdecom.fr/$1 [R=301,L]
Forcer le HTTPS, mécanisme HSTS (Strict Transport Security)
Le Strict Transport Security (HSTS) va venir forcer les connexions en HTTPS avec chiffrement. Il va obliger le serveur Web de votre site, les utilisateurs et les navigateurs Web à communiquer en HTTPS. Cela rend plus compliquée la tâche des pirates informatiques qui essayeront d’utiliser des scripts pour charger des ressources en HTTP sur votre domaine. Pour intégrer le HSTS rendez-vous une nouvelle fois dans votre fichier .htaccess afin d’y insérer la commande suivante :
# HTTP Strict Transport Security - Oblige les connexions HTTPSHeader always set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
Vérifier l’absence d’erreur
Pour vérifier que vous n’avez pas commis d’erreur le plus simple et d’utiliser un site externe. Nous vous conseillons d’utiliser Why No Padlock. Rentrez l’URL de votre site et assurez-vous que tout est au vert.
Actualiser Google Analytics
Google Analytics est un outil statistique incontournable pour suivre le trafic de votre site. Il est donc important d’actualiser votre compte. Pour se faire rendez-vous dans l’onglet Administration (La roue dentée) > Sélectionnez Paramètres de la propriété et modifiez le champ URL par défaut.
Actualiser Google Search Console
Google Search Console est un outil incontournable pour suivre votre référencement naturel sur Google. Le changement de votre site en HTTPS va induire la création d’une nouvelle propriété. Pour créer une nouvelle propriété il vous suffit de vous rendre sur le menu en haut à gauche de la Search Console et de sélectionner Ajouter la propriété. N’oubliez d’ajouter l’URL de votre site map, afin d’aide Google à comprendre le passage en HTTPS.