11 conseils pour migrer votre site en HTTPS

Si vous vous intéressez au SEO, c'est à dire au référencement de votre site internet, de votre blog, de votre boutique en ligne, vous avez sans doute eu écho de la nécessité de migrer vers HTTPS. Ce dernier est un protocole qui permet de sécuriser les échanges entre l'internaute et le site internet visité en chiffrant la transmission des données. Il se révèle être indispensable lors d'une transaction bancaire afin d'éviter de se faire voler les informations de sa CB lors d'une transaction. Mais aussi lorsque vous vous identifiez sur un site internet avec votre login et votre mot de passe. Sans HTTPS, ces informations transitent en clair entre vous et le serveur et peuvent être interceptées par un pirate.

Il y a quelques années, une bonne pratique était de se servir d'HTTPS pour les échanges sécurisés uniquement : transactions bancaires, accès à un espace sécurisé, consultation de données confidentielles, authentification par exemple. Aujourd'hui, la donne a changé, c'est devenu un critère de référencement. Les sites accessibles en HTTPS peuvent gagner quelques positions mais même si c'est assez faible en pratique, Google compte bien continuer d'inciter le maximum de webmaster à migrer vers HTTPS.

Google étant un acteur majeur sur la toile, il a suffisamment d'influence pour faire évoluer les méthodes et les technologies sur le Web. D'ailleurs, une annonce a été faite, depuis peu par le géant américain, indiquant que le navigateur Chrome affichera un indicateur "Non sécurisé" ou "Not secure" à côté de la barre d'adresse des sites internet non sécurisés, c'est à dire ceux encore accessibles tapant http:// au lieu de https:// et lorsque les pages présenteront des formulaires de saisie. Cela à compter de la version 62 diffusée à compter du 1er octobre.

Chrome - Not secure  HTTP
Affichage "not secure" d'une page HTTP

Ce changement n'a pas un impact direct sur le référencement mais cela peut avoir un effet sur le jugement des internautes et les inciter à quitter votre site web par risque de sécurité.

Pour ces raisons et étant donné que l'avenir est orientée vers un web plus sécurisé, il est aujourd'hui indispensable de migrer vers HTTPS vos sites internet. Ayant passé le cap depuis sur lecoindunet, je vous donne mes conseils dans ce tutoriel et vous partage les étapes nécessaires pour réaliser une bonne migration vers HTTPS.

Bien entendu, un minimum de connaissances techniques est indispensable. Vous pouvez réagir et poser vos questions dans les commentaires en bas de cet article.

Les 11 conseils à suivre pour une migration HTTPS réussie de son site web

Le type d'hébergement, les technologies utilisées ont bien entendu leur importance. Chaque projet est différent, je vous décris ci-dessous les grandes lignes. Posez vos questions ou creusez un peu plus en cherchant sur internet si besoin pour les cas spécifiques.

Ce tutoriel vous liste toutes les étapes pour réussir votre migration HTTP vers HTTPS. Notez bien que ce tutoriel décrit une migration totale vers HTTPS car c'est ce vers quoi vous devrez aller pour l'avenir.

1. Pas de changement majeur avant et après

Mon premier conseil est le suivant : ne faites pas de changement important sur votre site web avant, pendant et après la migration. Au moins le temps de vous assurer que tout s'est bien passé côté SEO. L'objectif n'étant pas de constater une perte de référencement mais bel et bien un gain !

Je dirais qu'il faut compter un mois après votre migration pour vous permettre de faire des changements de design, de structure, des redirections massives d'URL. Sachez qu'une migration HTTPS est considérée comme un déplacement de site avec modification d'URL pour Google https://support.google.com/webmasters/answer/6033049.

2. Installez un certificat HTTPS

Pour utiliser le protocole HTTPS sur votre site internet, vous devez avoir un certificat. Ce dernier, délivré par une autorité de certification, prouve que vous êtes bien le propriétaire d'un nom de domaine et/ou d'une entreprise associée à celui-ci et non pas un charlatan ! Quoique, vous pouvez être charlatan et disposer d'un certificat mais bon.

Un certificat se compose d'une clé secrète (que seul vous devez connaître) et d'une clé publique. Grâce à ces clés, les échanges peuvent être chiffrés entre le visiteur et le serveur.

Dans bien des cas, il peut être fourni par l'hébergeur (OVH, 1and1, .. ) et vous n'aviez rien à faire au niveau du paramétrage. Mais si vous êtes sur un serveur dédié ou VPS, vous avez la main sur la configuration, c'est à vous de le paramétrer. En général, un niveau de signature de type SHA2 est conseillé et suffisant.

Pour résumer, si vous avez une solution hébergée, je vous invite à vous rapprocher de votre hébergeur pour obtenir les informations quant à la mise en place du certificat. Sinon, vous pouvez utiliser la solution Let's Encrypt, simple à installer et gratuite. Si cela vous intéresse, je pourrai décrire dans un autre tutoriel comment installer un certificat Let's Encrypt sur Debian. En attendant, je vous invite à consulter cette page https://letsencrypt.org/getting-started/ pour obtenir des informations sur Let's Encrypt et celle-ci pour l'installer avec l'aide de Cerbot https://certbot.eff.org/

Pour des solutions plus élaborées, avec le nom de l'entreprise vérifiée par exemple ou un niveau de sécurité encore plus élevée, il existe Comodo, GlobalDesign et d'autres autorités de certification.

Pour installer un certificat sur Apache 2, pensez à installer puis à activer le module mod_ssl puis à ajouter ces lignes dans votre Virtual Host :

<VirtualHost *:443>
        ServerName www.example.com
        DocumentRoot /var/www/example.com

        # exemple Let's Encrypt
        SSLEngine On
        SSLCertificateFile      /chemin_de_votre_certificat/fullchain.pem
        SSLCertificateKeyFile   /chemin_de_votre_cle_prive/privkey.pem

Enfin, testez le certificat de votre installation avec ce site : https://www.ssllabs.com/ssltest/

 

3. Montez un environnement de test

Avant de passer à l'action, je vous recommande vivement d'installer un environnement de test sur un sous-domaine, comme test.example.com par exemple, pour vos essais. En effet, si vous faites des bidouilles directement sur votre site en production et qu'il y a des erreurs de redirections, de contenu, Google pourrait perdre les pédales et pénaliser votre référencement. Et comme on a toujours des surprises sur ce genre d'opération, mieux vaut tester tranquillement plutôt que de se précipiter. Prenez des notes de chaque étape que vous réaliserez puis vous pourrez facilement les reproduire lors du passage en HTTPS de votre site.

 

4. Paramétrez vos redirections 301 HTTPS

Pour renvoyer vos anciennes adresses vers HTTPS, vous devez utiliser des redirections 301 de type permanente. Google conseille d'effectuer ces redirections coté serveur, c'est à dire directement dans le Vhost. Si vous n'avez pas la main sur le serveur, ce n'est pas la fin du monde, vous pouvez vous servir d'un fichier .htaccess.

Example dans le Virtual Host d'Apache :

<VirtualHost *:80>
        ServerName www.example.com
        Redirect Permanent "/" "https://www.example.com/"
...
</VirtualHost>

Example avec un fichier .htaccess :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Toutes vos adresses doivent être redirigées sous peine de détection de contenu dupliqué par les moteurs de recherche.

 

5. Redirigez HTTP vers HTTPS dans vos contenus

Une fois que vos adresses HTTP sont redirigés HTTPS, je vous invite à consulter les pages de votre sites pour voir si tous les éléments de vos contenus, les images, les liens internes, sont bien accessibles via HTTPS. Auquel cas, le navigateur vous indiquera un chargement de contenu mixte.

Pour le voir c'est assez simple, accédez à vos pages en tapant https://www.example.com/mapage.html puis voyez ce que vous indique l'icône d'état. Si vous obtenez un message "Connexion non sécurisée" comme l'illustre l'image ci-dessous, un cadenas avec un triangle jaune, c'est que des éléments non sécurisés existent sur la page.

Eléments non sécurisé HTTPS
Eléments non sécurisé HTTPS détectés avec Firefox

Pour voir quels sont les éléments concernés, ouvrez la console développeur de votre navigateur préféré (idéalement Firefox ou Chrome) en appuyant sur F12 puis allez dans l'onglet Réseaux.

Elements non sécurisés HTTPS console développeur Firefox

Vous y verrez les éléments encore chargés en http et donc détectés comme non sécurisé.

Très important : veillez également à ce que vos URL canoniques, adresses qui permettent d'identifier de façon unique vos contenus, soient redirigées également et commencent bien par https://.

Sur Drupal, le module Pathologic peut vous aider à rediriger vers liens en https dans vos contenus: https://www.drupal.org/project/pathologic

Sur Wordpress, vous pouvez vous aider de l'extension Really Simple SSL : https://wordpress.org/plugins/really-simple-ssl/

6. Notez vos landings pages les plus performantes

Les landings pages sont les pages les plus visitées de votre site internet, les points d'entrés censés faire votre succès. Pour cela, il est très important de noter quelles sont les pages qui vous apportent le plus de trafic et d'examiner avec soin leur performance avant et après votre migration.

Si votre site est suivi par Google Analytics,  vous pouvez aller dans le menu Comportement puis Toutes les pages. Vous y verrez la liste des pages de votre site, triées par fréquentation, de la plus élevée à la moins élevée.

Exportez la liste au format Excel (à l'aide du bouton EXPORTER en haut et à droite de la page) pour conserver une trace et la consulter ultérieurement.

7. Contrôlez votre fichier sitemap.xml

Le fichier sitemap.xml contient la liste des pages de votre site et permet aux moteurs de recherche d'indexer plus rapidement vos contenus. Veiller à ce que les adresses dans celui-ci commencent bien également par HTTPS. Lorsque vous passerez en HTTPS sur votre site en production, vous devrez soumettre cette version aux moteurs de recherche. Pour Google, cela s'effectue via la propriété Search Console que nous verrons un peu plus bas.

8. Vérifiez le fichier robots.txt

Le fichier robots.txt est un fichier d'information destiné aux moteurs de recherche et contient les directives nécessaires pour autoriser ou non l'indexation de vos pages. Vérifiez simplement que le fichier soit bien accessible via l'url https://www.example.com/robots.txt et qu'il ne contienne pas de règles refusant l'indexation de contenus https.

En effet, lorsqu'un site est accessible en http et https, il est possible de demander aux moteurs de recherche de ne pas indexer les pages dédiées à des espaces sécurisés ou à des transactions bancaires. Par exemple, dans votre fichier robots.txt accessible en https, ces lignes ne doivent pas figurer, auquel cas, vos pages ne seront pas indexées :

# attention aux directives Disallow dans votre version https du fichier robots.txt
User-agent: *
Disallow: /

 

9. Demandez à Google Analytics de suivre votre site HTTPS

Il n'existe pas que Google Analytics pour le suivi d'un site internet mais c'est sans doute la solution la plus utilisée car elle est complète et gratuite. Une fois votre migration vers HTTPS effectuée, il est nécessaire que Google Analytics soit au courant afin qu'il continue à vous fournir les statistiques de visites de votre site web. Pour cela, il suffit d'aller dans les paramètres puis de définir la nouvelle adresse https de votre site. Pour cela :

  • Allez dans la partie ADMINISTRATION dans Google Analytics, en cliquant sur l'écrou en bas et à gauche de l'écran.
  • Sélectionnez https:// dans le champ URL par défaut.
  • Cliquez sur le bouton Enregistrer.

C'est tout, votre site sera désormais suivi sur son adresse HTTPS.

Google analytics indiquer passage https
Comment indiquer la version https de son site dans Google Analytics

 

10. Soumission dans Search Console

Search Console, anciennement Webmaster Tools est un outil proposé par Google pour vous aider à visualiser et contrôler les backlinks, le trafic de recherche, les erreurs d'explorations, etc. Il permet également de soumettre un fichier Sitemap. Cela tombe bien, c'est ce que nous souhaitons ! Une fois vos tests terminés, lorsque vous déciderez de passer votre site en https, il sera nécessaire d'ajouter une nouvelle propriété dans Search Console. Je vous conseille également d'envoyer dans la foulé votre fichier sitemap.xml accessible en https afin de faciliter l'indexation de vos pages.

Search Console vous permettra alors de suivre l'évolution de votre migration en https et de déceler d'éventuelles erreurs, pages non trouvées, erreurs d'explorations et de consulter l'état de l'indexation.

Pour ajouter votre version HTTPS, il suffit de cliquer sur le bouton AJOUTER UNE PROPRIETE une fois votre site validé. Puis soumettez immédiatement votre nouveau sitemap.xml en allant dans Exploration - Sitemaps.

Ajouter une propriété https dans Google Search Console
Ajouter une propriété https dans Google Search Console

11. Notez la date du changement

Et pour finir, je vous invite à noter la date de votre migration https dans un coin afin de suivre l'évolution du traffic dans Google Analytics. Vous pourrez ainsi repérer d'éventuels creux et y remédier. Il faudra également surveiller pendant quelques temps dans Search Console les éventuelles erreurs pouvant nuire à l'indexation de votre version HTTPS.

Google communique également des informations sur les bonnes pratiques de mise en oeuvre du protocole HTTPS : https://support.google.com/webmasters/answer/6073543?hl=fr

Je vous ai tout dit, pour ma part, j'ai migré lecoindunet le 20/09/2017 et je n'ai pas observé de baisse d'audience, pour le moment c'est constant, peu variable. Je vous souhaite le même résultat !

Si vous avez des questions, vous pouvez utiliser les commentaires en bas de page, je tacherai d'y répondre de mon mieux. Bonne migration !

Tags: 

Commentaires

Ajouter un commentaire

N'hésitez pas à partager vos avis ou remarques.
Pour les questions qui ne sont pas en relation avec l'article, merci d'utiliser le forum.