Rumeur persistante courant 2016, elle a été officialisée un peu partout comme trend majeure du référencement pour l’année 2017. Le HTTPS est désormais un élément à prendre en compte lors de vos stratégies SEO, (quasiment) tous sites confondus. Comment se mettre aux normes HTTPS pour 2017 ?

Qu’est-ce que le HTTPS ?

Si le protocole HTTP n’est plus à présenter et est rentré dans les mœurs, compagnon des internautes quasiment depuis sa création (ou du moins sa domestication), le HTTPS, pour HyperText Transfer Protocol Secure, permet de sécuriser le transfert de données des informations entre client et serveur. Concrètement, et sans entrer en profondeur dans les détails, le HTTPS assure un chiffrement des données sensibles, notamment celles entrées dans les formulaires par lesquels mots de passe et codes de carte bancaire peuvent transiter. Sur le web, on ne partage pas que des licornes et des liens vers le dernier meme du moment.

Le HTTPS n’est pas qu’une affaire de données : la sécurité passe également par la vérification de l’identité de site internet visité, via un certificat d’authentification. Autant dire que certains types de site, comme les sites gouvernementaux, institutionnels, banquiers ou les sites e-commerce se sont rapidement pliés aux normes de l’HTTPS. Pour les autres catégories de site internet, toutefois, la démarche traîne : la mise en place du protocole HTTPS nécessite quelques manipulations (authentification serveur, mise en place de redirections, compatibilités) que les webmestres outrepassent souvent. Résultat : aujourd’hui, seulement 16 % de l’ensemble de la galaxie internet française est sécurisée en HTTPS.

Le HTTPS rendu quasiment obligatoire par Google ?

Le grand changement de 2017, c’est donc l’intime motivation de passer tous les sites en HTTPS. Pourquoi ? Pour des raisons de référencement. Qui dit référencement, dit forcément directives de Google, la maison-mère des bonnes pratiques, qu’on le veuille ou non. La première estocade vient de Chrome. Le navigateur signale dans sa barre de navigation les sites n’utilisant que HTTP d’un vilain « Non Sécurisé ».

À cette menace de forme suit une injection de fond. Plus qu’un appel de phares, Google a annoncé dès la fin de l’été dernier un plan « HTTPS Everywhere » en interne, soit « HTTPS Partout ». Plutôt explicite, comme nom de code. Dans leur déclaration officielle en août, les gourous de la Silicon Valley se montrent tendres envers les pauvres propriétaires de site et agences déjà assez débordées comme cela :

« On laisse du temps aux webmasters pour faire la transition vers le HTTPS. Mais sur le temps long, nous pourrons décider de renforcer nos mesures. »

Soit la sempiternelle méthode de communication de Google, à base de « C’est pour votre bien et le bien de l’internet mondial, mais vous n’avez pas intérêt à tarder car nous sommes toujours aux manettes ». La rhétorique est connue du milieu. On ne sait que trop bien que, dans ce genre de cas, la marche au pas doit vite filer derrière la politesse.

Comment passer de HTTP à HTTPS ?

6 mois après la communication, la mécanique se met en marche. D’autres géants du marché du web suivent, comme WordPress, qui intime selon son fondateur Matt Mullenweg de passer au HTTPS pour 2017. La raison ? « Certaines fonctionnalités de WordPress pourront n’être accessibles qu’aux sites en HTTPS ». C’est déjà le cas d’options avancées de l’AMP, mise en place par… Google. Tout se recoupe.

La première étape pour sécuriser son site et obtenir le protocole HTTPS est d’obtenir un Certificat SSL de la part d’un organisme de tierce-partie. On respire : rien de bien complexe dans ce lexique là. Auparavant plutôt onéreuse, la démarche est désormais proposée gratuitement par des sites fiables, comme Let’s Encrypt, avec un mode d’emploi. Dans le cas d’un nouveau site, pas de problème : il suffit d’anticiper et de vous mettre en HTTPS avant une quelconque mise en productions. Pour les sites existants, toutefois, la procédure peut rapidement devenir, à défaut d’être véritablement complexe, extrêmement chronophage.

Voici un petit pense-bête loin d’être exhaustif quant aux modifications à effectuer pour une transition entre HTTP et HTTPS sur un site existant :

• Sauvegarder l’intégralité de son site

• Changer ses liens internes

• Créer un fichier de redirections 301

• Mettre à jour ses URLs sur les outils d’analyse de Google

• Mettre à jour ses URLs sur les pages de réseau sociaux

• Dans le cas de CMS, vérifier la compatibilité de ses plugins

• Rediriger, si besoin, ses chiffres de partages sur les réseaux sociaux.

Bien sûr, rien ne vous oblige à adopter le HTTPS. La communauté SEO, comme avec l’AMP, débat grandement autour de l’utilité réelle du HTTPS et du diktat de Google. Quoiqu’il en soit, gardez en tête que les directives de Google restent de bons courants à suivre. En bonus, le protocole HTTPS est réputé pour charger bien plus rapidement ses pages que le HTTP, et Google récompense les sites sécurisés depuis 2014 maintenant.

Besoin d’une agence experte pour vous accompagner dans le référencement de votre site ou pour créer votre identité visuelle ou vos axes de communications digitales ? Faites appel à Pimlicom !