HTTPS : qu'est-ce que c'est et comment migrer ?

La sécurité en ligne devient un domaine de plus en plus important pour les entreprises de toutes tailles. Et l’une des formes les plus élémentaires de sécurité en ligne consiste à passer à l’ hébergement HTTPS .

Bien sûr, de nombreux facteurs doivent être pris en compte , mais outre les avantages de présenter un site Web sûr et sécurisé à vos visiteurs, le passage à un hébergement HTTPS sécurisé (par opposition à HTTP) est bon pour les affaires. En plus de la réassurance qu’il donne à vos visiteurs, HTTPS est en fait un facteur de classement Google déclaré.

Si aujourd’hui, votre site n’est pas en HTTPS, il est temps d’y passer.

Mais si vous n’y êtes pas préparé ou si vous n’êtes pas familier avec cette technologie, il vous suffit de suivre les étapes suivantes pour vous assurer que votre site est migré en toute sécurité, en toute sécurité et avec un minimum d’impact.

Voyons comment migrer son site vers le HTTPS.

Table des matières

Qu'est ce que le HTTPS ?
Pourquoi rediriger HTTP vers HTTPS ?
Comment migrer son site de HTTP vers HTTPS
Conclusion

Qu’est ce que le HTTPS ?

Qu’est-ce que le HTTPS ?

HTTP signifie Hyper Text Transfer Protocol (c’est en fait Hypertext Transfer Protocol, mais cela ne devrait être que HTP, n’est-ce pas ?). Ce que vous devez savoir, c’est qu’il s’agit d’un protocole utilisé par les serveurs Web, les centres de données et les navigateurs pour transférer des informations sur le Web.

Le S à la fin de HTTPS signifie simplement Secure.

La sécurité passe par l’utilisation de SSL (Secure Sockets Layer). Parfois, il peut également être appelé TLS (Transport Layer Security). C’est une méthode de sécurisation des données qui doivent être transportées.

La méthode par laquelle les données sont sécurisées s’appelle la cryptographie. En chiffrant un message, seuls ceux qui connaissent la clé de déchiffrement pourront le lire. Par exemple, si nous décidions tous les deux à l’avance que A = 1, B = 2, C = 3 et ainsi de suite, je pourrais vous envoyer le message 8 5 12 12 15 et vous le lirez comme Hello . C’est ce qu’on appelle la cryptographie symétrique.

Le problème avec la cryptographie symétrique est le fait que les deux parties doivent connaître la clé de chiffrement/déchiffrement à l’avance afin de communiquer correctement, donc au moins une réunion secrète doit être organisée avant la messagerie. Assez difficile à faire lorsque vous voulez discuter avec quelqu’un à travers le monde.

Ainsi, pour surmonter ce problème, nous pouvons utiliser la cryptographie asymétrique. Ce type de cryptographie utilise 2 clés. Un privé et un public. Ils peuvent tous les deux se déchiffrer. Cela signifie que tout message chiffré avec la clé publique peut être lu à l’aide de la clé privée et vice versa.

Si je veux m’assurer que personne ne publie d’informations sous mon nom, je peux utiliser la cryptographie asymétrique. Je génère à la fois une clé privée et une clé publique. La clé publique que j’envoie pour que tout le monde la sache. Si je publie quelque chose en ligne et que je le chiffre avec ma clé privée, vous ne pourrez le déchiffrer qu’avec ma clé publique. De cette façon, les gens sauront que l’œuvre est originale. Si vous souhaitez m’envoyer un message privé, il vous suffira de le chiffrer à l’aide de la clé publique. Je serai le seul à pouvoir le lire.

Cela est pratique de nos jours lorsque la communication se fait sur de très grandes distances. Les gens peuvent désormais partager des informations en toute sécurité sans que les deux parties aient besoin de connaître les clés de l’autre.

Qu’est-ce que SSL et que sont les certificats SSL ?

SSL signifie Secure Sockets Layer. Disons que c’est lié au S dans HTTPS. Cependant, nous entendons généralement parler de SSL en relation avec les certificats. Que sont donc les certificats SSL ?

Eh bien, les certificats SSL ne sont utilisés que pour confirmer l’identité d’un site Web. Ces certificats sont émis et signés par des autorités de certification avec leurs clés privées. Avant d’obtenir un certificat de leur part, vous devez en quelque sorte confirmer votre identité et prouver que vous êtes l’organisation et le propriétaire du site Web.

Il existe différents types de certificats SSL, mais les plus courants sont les certificats vérifiés par domaine. Ces certificats peuvent même être obtenus gratuitement de nos jours. Le processus de vérification est assez simple et très similaire à celui de Google Search Console. Vous téléchargez un fichier HTML sur votre serveur, prouvant que vous êtes l’entité.

Bien sûr, lorsque vous voulez prouver que vous êtes une personne ou une entreprise entière, vous devez fournir une sorte de preuve. Pour cela, il existe d’autres types de certificats SSL, comme les certificats Organization Validated (OV) ou Extended Validation (EV). Ils sont plus chers et nécessitent une vérification supplémentaire, comme des documents d’entreprise ou des pièces d’identité. Le processus de vérification peut prendre un certain temps. Il existe également toutes sortes de marques SSL, telles que RapidSSL, Symantec, GeoTrust ou Comodo SSL Certificate .

Cependant, aujourd’hui, vous devrez cliquer sur l’icône de verrouillage pour voir si un site Web possède un certificat SSL standard ou une entité validée.

Compte tenu de ce qui précède, il n’y a pas beaucoup de différence entre les certificats SSL gratuits et réguliers et les certificats premium, du moins plus maintenant. Très peu d’utilisateurs vérifieront le certificat, le cas échéant (tant que le cadenas est vert). Cependant, si votre entreprise repose sur la sécurité et la confiance, vous devriez envisager d’acheter un certificat SSL premium. Cela garantira qu’aucune erreur ne se produira.

Les navigateurs Web sont livrés avec un tas de clés publiques des autorités de certification. Ils vérifient si les certificats ont été signés avec les bonnes clés privées, confirmant ainsi que leur identité a été vérifiée par une autorité de confiance et non par un générateur de certificats aléatoire. Si le certificat est expiré ou non valide, un avertissement rouge s’affichera.

connexion non privée certificat ssl expiré rouge avertissement

Cela va certainement refuser l’utilisateur, alors assurez-vous que si vous utilisez HTTPS, votre certificat est valide et fonctionne correctement !

Il est préférable de passer par HTTP que de passer par HTTPS avec un certificat SSL expiré !

Une fois que l’identité du site Web a été confirmée par le navigateur, le serveur Web et le client établissent alors un canal de communication sécurisé. La cryptographie asymétrique est utilisée pour envoyer une clé symétrique que seuls le serveur et le client connaissent. Ensuite, le canal de communication est sécurisé et toute tentative de lecture des informations qui transitent entre le serveur et le client nécessitera la clé de déchiffrement.

Pourquoi rediriger HTTP vers HTTPS ?

Comme vous le savez, Google fait pression pour HTTPS partout afin que le Web soit un endroit plus sûr. Bien qu’il soit toujours important d’être plus sécurisé, il existe d’autres raisons pour lesquelles vous pourriez envisager de passer au HTTPS.

1. Performances et HTTP/2

Les réseaux de diffusion de contenu et les fournisseurs d’hébergement Web commencent à déployer HTTP/2. Lors d’une session à Velocity, Load Impact et Mozilla ont rapporté que les internautes peuvent s’attendre à ce que les sites Web optimisés et livrés sur HTTP/2 fonctionnent de 50 à 70 % mieux que les sites sur HTTP/1.1 . Pour tirer parti des avantages de performances HTTP/2, vous devez exécuter HTTPS en raison de la prise en charge du navigateur.

2. SEO et classements

En 2014, Matt Cutts a annoncé que HTTPS est désormais un signal de classement léger et qu’au fil du temps, Google pourrait renforcer ce signal. Ainsi, l’exécution de HTTPS peut aider à améliorer votre classement SEO .

Lire « HTTPS comme signal de classement »: http://t.co/nEjcGhm8bJ
– Matt Cutts (@mattcutts) 7 août 2014

Selon les dernières données de BuiltWith, environ 6,3 % des 100 000 sites Web les plus importants utilisent SSL par défaut, contre 4,3 % en novembre 2014.

3. De meilleures données de référence

Une troisième raison pour laquelle il est bon de migrer est que les données de référence HTTPS vers HTTP sont bloquées dans Google Analytics . Ainsi, par exemple, disons que votre site Web est toujours sur HTTP et que vous êtes devenu viral sur Reddit et YCombinator. Ces deux sites fonctionnent sur HTTPS. Les données de référence sont complètement perdues et le trafic de ces deux sites pourrait se retrouver sous le trafic direct, ce qui n’est pas très utile. Si quelqu’un passe de HTTPS à HTTPS, le référent est toujours transmis.

4. Plus sécurisé

Une quatrième raison pour laquelle il est important de fonctionner sur HTTPS est bien sûr la sécurité ! Pour les sites de commerce électronique, la raison pour laquelle vous avez besoin d’un certificat SSL est qu’ils traitent des données de carte de crédit sensibles. Pour les autres sites, la principale raison en est votre page de connexion WordPress. Si vous n’utilisez pas une connexion HTTPS, votre nom d’utilisateur et votre mot de passe sont envoyés en texte clair sur Internet .

Vous pouvez voir un exemple dans cet article sur la façon de renifler et de capturer les connexions WordPress via des connexions non sécurisées à l’aide de ces outils gratuits. Beaucoup de gens diront que les blogs et les sites d’information n’ont pas besoin de fonctionner sur HTTPS, mais quelle est l’importance de vos identifiants de connexion ?

5. SSL renforce la confiance et la crédibilité

Une cinquième raison pour laquelle SSL est important est due au renforcement de la confiance et de la crédibilité auprès de vos visiteurs. Selon une enquête européenne de GlobalSign, 77 % des visiteurs de sites Web craignent que leurs données soient interceptées ou utilisées à mauvais escient en ligne.

28,9 % recherchent la barre d’adresse verte.
– Global Sign

En ajoutant un certificat SSL et en affichant le cadenas vert, cela ajoute instantanément de la crédibilité et ce que nous aimons appeler la » confiance SSL « . Il est important de faire savoir à vos visiteurs que vous êtes en sécurité et que leurs informations seront protégées.

Suivez les étapes ci-dessous pour rediriger votre site HTTP vers HTTPS.

Comment migrer son site de HTTP vers HTTPS

Étape 1. Acheter un certificat SSL

Le premier point est d’acheter le bon certificat SSL pour vous. Sans devenir trop technique, le fonctionnement d’un certificat SSL est qu’il crée un lien crypté et impénétrable entre la fenêtre du navigateur et le serveur Web.

Il existe toutes sortes de certificats SSL différents , et leur coût varie. Le point important est que fondamentalement, ils fonctionnent tous selon le même principe. Vous n’obtenez pas « plus de sécurité » simplement parce que vous payez pour un certificat plus cher.

Ce qu’ils offriront, ce sont différents ensembles de fonctionnalités.

Les SSL d’entrée de gamme sont des SSL de domaine. Ceux-ci sont émis instantanément et ne nécessitent qu’une vérification par e-mail. Ils offrent une navigation HTTPS avec un cadenas mais il n’y a pas de processus de vérification approfondi, juste une vérification de la propriété du domaine. Ils sont idéaux pour les petites entreprises à petit budget qui n’acceptent pas les paiements en ligne.

Viennent ensuite les certificats SSL d’organisation, qui nécessitent un degré de vérification plus élevé, notamment la vérification de la propriété de l’entreprise. Par conséquent, leur émission prend plus de temps, généralement deux à trois jours ouvrables. Avec ce type de certificat, le nom de l’entreprise et le nom de domaine apparaissent dans la barre du navigateur.

Enfin, il existe des SSL à validation étendue, qui vous permettent d’utiliser une barre « navigateur vert ». Ceux-ci sont plus chers que les SSL de domaine ou d’organisation et impliquent un processus de vérification pour vérifier l’entreprise plus en détail ; ce processus comprend une vérification juridique, opérationnelle et physique.

C’est pour cette raison que ces SSL peuvent prendre entre trois et cinq jours pour être délivrés, et ils nécessiteront la production de divers documents juridiques.

Étape 2. Acquérir une installation de certificat SSL.

Une fois que vous avez acheté votre certificat SSL, vous devrez l’approuver. Comme le montre le graphique, il existe différents niveaux de vérification avant la délivrance du certificat ; mais si nous utilisons l’exemple d’un SSL de domaine, celui-ci peut être émis instantanément une fois que le propriétaire du domaine a vérifié son adresse e-mail.

Ceci est fait par l’émetteur SSL ; l’émetteur envoie un e-mail automatisé à l’une des adresses e-mail prédéterminées telles que webmaster@TheDomainName.

Si vous utilisez un hébergement mutualisé , votre société d’hébergement vous assistera dans l’administration du serveur. Il mettra tout en place pour vous une fois que vous aurez approuvé le certificat.

Étape 3. Effectuez une sauvegarde complète.

Chaque fois que vous apportez des modifications majeures à votre site Web, il est toujours utile d’effectuer une sauvegarde complète de tous les fichiers de votre site Web. Si vous utilisez l’ hébergement cPanel , par exemple, il existe une fonction de sauvegarde cpanel intégrée que vous pouvez utiliser, qui est facile à configurer.

Sinon, vérifiez auprès de votre hébergeur pour voir s’il propose un service de sauvegarde géré, et utilisez-le.

Quoi qu’il en soit, faire un back-up est une approche ceinture et bretelles.

Étape 4. Modifiez vos liens HTTP en HTTPS.

Avant de passer au HTTPS, vous devez mettre à jour tous les liens internes de votre site Web. Plus tard, nous examinerons un moyen d’y parvenir globalement, mais il est toujours recommandé de parcourir votre site Web et de remplacer tous les liens pointant vers des pages HTTP à l’intérieur de votre site par les nouveaux liens HTTPS.

La façon dont vous procédez dépend de la taille de votre site Web. Si vous n’avez que quelques pages, il s’agit simplement d’un processus manuel. Si vous avez des centaines, voire des milliers de pages, il existe des outils qui peuvent automatiser ce processus pour vous ( surtout si vous utilisez WordPress ).

Étape 5. Vérifiez les bibliothèques de code.

Il s’agit d’une étape facultative qui ne s’applique vraiment qu’aux sites plus complexes qui utilisent des logiciels supplémentaires, comme JavaScript ou Ajax, dans les coulisses. Si vous suivez cette étape, vous devrez probablement vérifier auprès de votre développeur pour vous assurer qu’il met à jour tout logiciel qui fait référence à ou génère des pages HTTP – et les changer en HTTPS.

Étape 6. Mettez à jour tous les liens externes que vous contrôlez.

Tous les liens pointant vers votre site depuis vos comptes de médias sociaux et les listes des annuaires des autorités doivent être mis à jour. Concentrez-vous uniquement sur ceux que vous avez sous votre contrôle.

Vous allez bientôt rediriger le trafic HTTP vers la page HTTPS équivalente, vous n’avez donc pas à vous soucier de les mettre à jour à 100 % – concentrez-vous simplement sur les principales.

Étape 7. Créez une redirection 301.

Cela semble compliqué, mais c’est assez simple, vraiment. Une redirection 301 est une méthode de redirection du trafic d’une page Web (URL) vers une autre. Il s’agit en fait d’une redirection « permanente » car votre site Web passe en permanence de HTTP à HTTPS.

C’est un point vraiment important car si votre site Web a des dizaines, des centaines voire des milliers de backlinks pointant vers lui depuis d’autres sites Web, ils seront configurés pour pointer vers les pages HTTP. Si votre classement dans les moteurs de recherche dépend du nombre et de la qualité des backlinks, vous ne voulez pas perdre la puissance qu’ils vous donnent.

Par conséquent, une redirection 301 signifie que vous n’avez pas à aller modifier tous ces liens, ce qui serait souvent peu pratique, voire pratiquement impossible.

La configuration d’une redirection 301 dépend du type de serveur Web que vous utilisez. Les types de serveurs Web les plus populaires sont Apache , NGinx et LiteSpeed et Windows. Avec Apache et LiteSpeed, vous devez mettre à jour le fichier htaccess . Avec NGinx, vous devez mettre à jour le fichier de configuration NGinx . Avec Windows, vous devez mettre à jour le fichier web.config.

Étape 8 (facultatif). Mettre à jour CDN SSL.

Si vous utilisez un réseau de distribution de contenu (CDN) comme CloudFlare , vous devrez également synchroniser votre SSL avec ce système. Un CDN est un réseau de serveurs répartis dans le monde entier qui stocke des copies de vos pages Web sur ses serveurs afin que vos pages soient présentées par le serveur le plus proche de la personne qui parcourt vos fichiers.

Cela offre des avantages non seulement en termes de vitesse mais aussi de sécurité, car il peut reconnaître divers modèles de logiciels malveillants et empêcher le piratage de votre site. Il vous suffit de vérifier auprès de votre hébergeur ou développeur si vous êtes hébergé sur un CDN. Si tel est le cas, vous devrez vérifier auprès de l’équipe technique du CDN ses instructions.

La plupart des sites Web n’utilisent pas de CDN, mais cette étape est donc incluse dans un but d’exhaustivité.

Étape 9. Mettez à jour tous les autres outils et e-mails transactionnels.

De nos jours, de nombreuses entreprises utilisent toute une pléthore d’outils supplémentaires autour de leurs sites Web, tels que le marketing par e-mail, l’automatisation du marketing et les générateurs de pages de destination.

Vous devrez préparer une liste de ces logiciels et rechercher toute mention de pages Web faisant référence à HTTP ; puis mettez-les à jour en HTTPS.

Un autre domaine est celui des e-mails transactionnels : des choses comme les e-mails de bienvenue, les factures et les e-mails de mot de passe oublié. Tout cela doit être mis à jour. Bien sûr, la redirection 301 tiendra généralement compte de tous ces éléments, mais il semble toujours plus professionnel de présenter à vos clients la bonne URL.

Étape 10. Mettre à jour Google (Analytics et Search Console)

Enfin et surtout, vous devrez mettre à jour vos comptes Google – Analytics et Search Console. Dans Analytics, il vous suffit de changer l’URL par défaut en HTTPS. Dans la Search Console, vous devrez ajouter le nouveau site avec HTTPS.

Conclusion

Passer au HTTPS est la direction à suivre en matière de sécurité en ligne. Tu vas devoir le faire tôt ou tard.

Mais cela n’a pas besoin d’être une question complexe. Si vous n’êtes pas un technicien, vous aurez peut-être besoin de l’aide d’un professionnel du Web. Mais, tant que vous suivez les étapes décrites ici, tout ira bien.

La FAQ du SEO : les réponses à vos questions SEO

Qu’est-ce que le SEO ?
Comment améliorer le SEO de mon site WordPress ?
Pourquoi faire un audit SEO ?
Comment migrer son site HTTP vers HTTPS ?
Comment installer Google Analytics sur WordPress ?
Qu’est-ce que la rédaction SEO ?
Quels sont les outils indispensables pour le SEO ?
Pourquoi le SEO est-il important ?
Pourquoi faire du SEO ?
Qu’est-ce que le trafic SEO ?
Pourquoi utiliser Yoast SEO ?
Qu’est-ce que le SEO et le SEA ?
Qu’est-ce que Yoast SEO ?
Dois-je faire du SEO ou du SEA ?
Qu’est-ce que le SEO onpage ?
Qu’est-ce que le SEO offpage ?
Comment cumuler SEO et affiliation ?

CONTENThacks

Le ebook pour créer des contenus aimant à trafic depuis Google.

SEOhacks

La formation SEO par email. Inscription gratuite !

JE M’INSCRIS

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	Ces cookies peuvent être installés via notre site par nos partenaires publicitaires. Ils peuvent être utilisés par ces sociétés pour établir un profil de vos intérêts et vous montrer des publicités pertinentes sur d'autres sites. Ils ne stockent pas directement des informations personnelles, mais sont basés sur l'identification unique de votre navigateur et de votre appareil Internet. Si vous n'autorisez pas ces cookies, vous bénéficierez d'une publicité moins ciblée.
cookielawinfo-checkbox-functional	11 months	Ces cookies permettent au site Web de fournir des fonctionnalités et une personnalisation améliorées. Ils peuvent être définis par nous ou par des fournisseurs tiers dont nous avons ajouté les services à nos pages. Si vous n'autorisez pas ces cookies, certains ou tous ces services peuvent ne pas fonctionner correctement.
cookielawinfo-checkbox-necessary	11 months	Ces cookies sont nécessaires au fonctionnement du site Web et ne peuvent pas être désactivés dans nos systèmes. Ils ne sont généralement définis qu'en réponse à des actions de votre part qui équivalent à une demande de services, telles que la définition de vos préférences de confidentialité, la connexion ou le remplissage de formulaires. Vous pouvez paramétrer votre navigateur pour bloquer ou vous alerter sur ces cookies, mais certaines parties du site ne fonctionneront alors pas. Ces cookies ne stockent aucune information personnellement identifiable.
cookielawinfo-checkbox-others	11 months	Ces cookies sont définis par une gamme de services de médias sociaux que nous avons ajoutés au site pour vous permettre de partager notre contenu avec vos amis et vos réseaux. Ils sont capables de suivre votre navigateur sur d'autres sites et de créer un profil de vos intérêts. Cela peut avoir un impact sur le contenu et les messages que vous voyez sur les autres sites Web que vous visitez. Si vous n'autorisez pas ces cookies, vous ne pourrez peut-être pas utiliser ou voir ces outils de partage.
cookielawinfo-checkbox-performance	11 months	Ces cookies nous permettent de compter les visites et les sources de trafic afin de mesurer et d'améliorer les performances de notre site. Ils nous aident à savoir quelles pages sont les plus et les moins populaires et à voir comment les visiteurs se déplacent sur le site. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes. Si vous n'autorisez pas ces cookies, nous ne saurons pas quand vous avez visité notre site et ne serons pas en mesure de surveiller ses performances.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.