SEO : Le HTTPS, un impact positif ou négatif sur le référencement ?
Les HTTPS pris en compte par Google
Google a annoncé que le HTTPS est un critère pris en compte positivement dans le classement des résultats de son moteur de recherche.
John Mueller (porte-parole SEO de Google), a d’ailleurs expliqué dans une vidéo, comment Google intégrait le HTTPS dans son algorithme.
Il est pris en compte en temps réel par le moteur de recherche et évalué page par page. En clair, vous pourrez profiter du bonus SEO sur une page indépendamment d’une autre. Néanmoins il est fortement conseillé de basculer l’ensemble de votre site en SSL.
Son collègue Gary Illyes (Trends Analyst chez Google) a confirmé qu’un avantage de positionnement SEO était progressivement implémenté et qu’ils réfléchissaient même à indiquer dans l’affichage des résultats les sites sécurisés, par l’ajout d’un badge de couleur.
Cette introduction dans l’algorithme de la première source de trafic au monde dés 2014, avait pour objectif de laisser le temps aux webmasters de passer au SSL / TLS de chiffrer leurs échanges de données. Le poids du HTTPS dans le calcul du ranking était resté jusqu’à présent modéré.
En 2017, le moment est venu !
En début d’année, de nombreux experts en SEO ont constaté que l’impact du HTTPS dans le classement de Google était bel et bien réel.
- Brian Dean (expert SEO reconnu outre Atlantique, fondateur de BackLinko), a analysé plus d’un million de résultats de Google afin d’en déterminer les critères. Il en a déduit qu’il y avait une corrélation forte entre le HTTPS et les résultats qui apparaissant en première page.
- La firme MOZ (leader mondial du SEO) a determiné dans son étude annuelle des facteurs clés du référencement, que le HTTPS était devenu « un élément décisif ».
- En France, Olivier Andrieu, (pape du SEO français, auteur du best-seller « Réussir son référencement Web »), annonce en début d’année dans une vidéo qu’il a constaté dès novembre 2016, que les sites qui avaient migré vers le HTTPS avaient amélioré leur classement dans les résultats sur Google.
Ajoutons à cela, la confiance que les visiteurs accorderont à un site HTTPS au détriment d’un site HTTP. En effet, les équipes de développement des navigateurs comme Chrome ou Firefox, ont annoncé qu’elles avaient ajouté dans leurs nouvelles versions des messages d’avertissement (du type « non sécurisé ») pour les sites restés en HTTP. Ces messages sont de plus en plus dissuasifs (code couleur rouge et notifications) et risquent donc de faire fuir les utilisateurs.
➔ Pour en savoir plus, lire notre article « Chrome et HTTPS : Les nouveaux messages d’avertissement »
Gare à la concurrence
Chaque jour de plus en plus d’entreprises prennent conscience de l’importance de leur présence en ligne et de leur positionnement dans les résultats des moteurs de recherche. Elles mettent en œuvre des stratégies avancées de création de contenu et de netlinking afin d’améliorer ou maintenir leur positionnement.
Désormais la sécurité, matérialisée par l’installation d’un certificat SSL pour crypter ses échanges de données, est devenu un avantage concurrentiel. En clair, les sites qui tarderont à passer au HTTPS verront à moyen terme le classement se dégrader.
Peut-on conserver son SEO en migrant vers le HTTPS ?
Nous l’avons vu le passage au HTTPS comporte des avantages indéniables. Cependant, une migration d’un site existant du HTTP vers le HTTPS n’est pas sans danger sur le référencement. Du moins si on ne fait ce qu’il faut pour le conserver…
D’u point de vue SEO, passer au HTTPS équivaut à un changement de nom de domaine. Vous allez me dire : « Oui mais je ne change pas d’adresse, j’ajoute simplement HTTPS devant ?! ». Malheureusement ce n’est pas si simple, la majorité des outils et services du web ne reconnaitront pas votre adresse. Voici une liste non exhaustive des services impactés :
- Au premier rang les moteurs de recherche : Google, Bing, Yahoo, Qwant, Ecosia…
- Les outils pour Webmaster : Google Search Console, Bing Webmaster Tools, Google Analytics…
- Les compteurs de réseaux sociaux : Nombre de likes, tweets, shares…
- Les backlinks, sites partenaires ou média intégrant un lien vers votre site.
Rassurez-vous ceci n’est pas irrémédiable, des solutions existent pour conserver votre capital SEO si difficilement acquis. Cela demande un travail de préparation important mais faisable. Il consiste à :
- Identifier l’ensemble des liens pointant vers du contenu
- Référencer tous les liens internes au site codés en dur
- Vérifier l’intégration des modules externes (widgets, scripts JS, modules AdWords…)
- Mettre en place des redirections 301 pour tous les liens au niveau du serveur
- Mettre à jour les liens internes et les modules externes
- Créer ou mettre à jour les outils de webmastering (Analytics, Search Console…)
- Demander autant que possible la mise à jour de backlinks (Partenaires, réseaux sociaux…)
Conclusion
Même s’il parait évident aujourd’hui que le HTTPS est incontournable pour tout site qui souhaite maintenir son positionnement et rassurer ses visiteurs, la migration d’un site existant ne doit pas être prise à la légère, au risque de voir chuter son trafic provenant des moteurs de recherche.
Chez BlueSecure nous avons conçu une méthodologie, s’appuyant sur des dizaines de migrations HTTPS, permettant d’utiliser la technologie SSL sans impacter le SEO. Nous vous proposons aujourd’hui de bénéficier de notre expérience en vous offrant un accompagnement de bout en bout pour une migration réussie.
DECOUVRIR NOTRE OFFRE HTTPS
Qu’est-ce que le SSL ou TLS ?
Le protocole SSL à l’origine
Le protocole SSL (Secure Socket Layer) a été créé en 1994 par NestScape (le leader des navigateurs Internet de l’époque) pour répondre à la préoccupation croissante quant à la sécurité du web. L’objectif de la firme était de créer un nouveau standard de communication sécurisé, consistant à chiffrer les données qui transitent entre un site et son visiteur. Il a été très vite adopté par les e-commerçants pour sécuriser les paiements en ligne et rapidement identifié par les acheteurs comme un gage de confiance avant de saisir leurs numéros de carte bancaire.
La norme SSL 2.0 a été utilisée à partir de 1995 et a été progressivement remplacée par le SSL 3.0, utilisé jusqu’en 2015. Cette dernière version a grandement inspiré son successeur la norme TLS.
La nouvelle norme TLS
A la dissolution de la société NestScape, le groupe IETF (Internet Engineering Task Force) à l’origine de la plupart des standards Internet, a repris le flambeau et amélioré le SSL le rebaptisant au passage TLS (Transport Security Layer). Cette nouvelle version a repris les caractéristiques du SSL 3.0 en améliorant les fonctions de hachage utilisées pour authentifier la signature électronique des certificats.
Le TLS est donc une évolution du SSL, mais ce dernier étant plus connu, l’ancien sigle reste largement utilisé dans le langage courant pour désigner un certificat TLS. Ce qui n’est pas complétement faux en soit, le TLS étant une évolution du SSL.
Quelle différence entre HTTPS et SSL ?
Connaissez-vous le modèle OSI (Open Systems Interconnection) ? Il s’agit du standard mondial de communication qui régit les communications entre les systèmes informatiques. Le modèle est structuré en 7 couches divisées en deux catégories, les couches basses (matérielles) et le couches hautes (logicielles). Voici comment la norme se décompose :
Modèle OSI Protocoles
7 – couche application HTTP, HTTPS, SMTP, FTP…
6 – couche de présentation TLS, SSL…
5 – couche de session TLS, SSL, SSH-user…
4 – couche de transport TCP, UDP…
3 – couche réseau IPv4, IPv6…
2 – couche de liaison Ethernet, 802.11 WiFi…
1 – couche physique Câble, fibre optique, ondes radio…
Le SSL se situe donc entre les couches transport et application, c’est-à-dire qu’il gère :
- La synchronisation des communications et la gestion des transactions : couche n°5 Session
- Le chiffrement et déchiffrement des données pour les rendre exploitables : couche n°6 Présentation
Le HTTPS quant à lui se situe au niveau de la couche n°7 Application. Il combine la sécurité du protocole SSL / TLS et le bien connu HTTP qui est LE protocole de communication du World Wide Web. C’est lui qui gère par exemple les adresses web (appelées URL), les envois et réceptions de données entre le visiteur et le site (GET et POST) et l’authentification par mot de passe. Il renvoie des informations au format HTML qui sont interprétées par le navigateur.
Le certificat SSL / TLS
Pour établir une connexion sécurisée de type TLS, le visiteur doit authentifier le site auquel il se connecte. Pour ce faire, le serveur doit héberger un certificat numérique, ce dernier peut être vu comme une carte d’identité électronique qui est utilisée pour authentifier le site et pour chiffrer les échanges de données.
Dans le cas qui nous occupe il doit répondre à la norme X.509 et être délivré par une autorité de certification qui fait office de tiers de confiance en attestant de l’identité du site.
Les autorités de certification sont des organismes référencés par les autorités de l’internet qui garantissent leur fiabilité. Ces organismes diffusent des clés publiques qui sont directement intégrées aux navigateurs.
Un certificat contient deux clés :
- Une clé publique ou certificat racine, qui permet d’authentifier l’autorité et de valider le certificat.
- Une clé privée qui est masquée et servira au chiffrement des échanges de données.
Il existe de nombreux types de certificats (gratuits ou payants) proposant différents types de services et garanties. Pour en savoir plus, lisez notre article « Les différents types de certificats SSL ».
Pour aller plus loin, voyons concrètement comment tout cela fonctionne.
Fonctionnement d’une connexion SSL / TLS dans les navigateurs en HTTPS
Voici les différentes étapes d’une connexion sécurisée en SSL / TLS entre un site web et un visiteur :
- Le navigateur envoie au site HTTPS une requête d’établissement d’une connexion sécurisée par TLS.
- Le site renvoie au navigateur son certificat, ce dernier contient sa clé publique, ses informations (nom de la société, adresse…) et une signature électronique chiffrée.
- Le navigateur essaye de déchiffrer la signature du certificat à l’aide des clés publiques des autorités de certifications connues enregistrées par défaut dans le navigateur.
- Si cela fonctionne, le navigateur identifie donc le nom de l’autorité de certification correspondant, vérifie que le certificat n’est pas expiré et envoie une demande à l’autorité afin de savoir si le certificat est toujours valide.
- Si aucune des clés publiques ne fonctionne, le navigateur utilise la clé publique contenue dans le certificat du site. Ce qui signifie que le site à lui-même signe son certificat. Un message d’avertissement peut donc apparaître afin de prévenir l’utilisateur que l’identité du site n’est pas certifiée par une autorité et qu’il court un risque potentiel
- Si le certificat est invalide, la connexion ne peut s’établir et un message d’erreur apparaît.
- Si la connexion est validée, le navigateur génère alors une clé de chiffrement symétrique à partir de la clé publique qui permet d’établir une session avec le serveur.
- Le serveur déchiffre alors cette clé de session grâce à sa clé privée. La connexion TLS est considérée comme établie et les donnes chiffrées peuvent commencer à transiter.
- Une fois la connexion interrompue ou expirée, le serveur révoque la clé de session.
Conclusion
Le succès du SSL réside dans sa grande simplicité d’utilisation pour l’utilisateur final. En effet tous les navigateurs sont compatibles et la communication se fait sans action préalable du visiteur, il est simplement informé par l’affichage d’un cadenas (généralement vert) situé dans la barre d’adresse. Cette indication est un gage de confiance identifié depuis longtemps par les visiteurs qui lui accordent beaucoup de crédit. Une étude anglaise réalisée par TNS PLC a révélé que 75% des visiteurs quittaient une boutique en ligne si elle n’était pas sécurisée.
Les méthode de chiffrement utilisées sont réputées comme solides et apportent une sécurité des échanges de données protégeant les mots de passe, les données d’un formulaire ou les coordonnées bancaires.
Cependant, bien que le SSL existe depuis les débuts de l’Internet, il est resté trop souvent cantonné aux plateformes de paiement alors que quantités de données personnelles transitent aujourd’hui sur les sites. Des géants comme Google l’ont bien compris et ont décidé de frapper fort, en avertissant les utilisateurs des navigateurs du danger qu’ils courent sur un site non sécurisé en SSL et en accordant un bonus de référencement aux sites HTTPS. Désormais le SSL a vocation à devenir la principale norme d’échange sur la toile.
Formulaire crypté en SSL : Pourquoi est-ce indispensable ?
Quel site aujourd’hui n’a pas de formulaire dans ses pages ? Que ce soit un simple formulaire de contact ou une inscription à un service, le formulaire en ligne est devenu un moyen courant d’échange d’informations.
Le point faible de cet outil réside dans sa sécurité. Des données personnelles tel que des adresses, numéros de téléphone ou encore logins et mots de passe, circulent en clair sur les réseaux de sites non sécurisés en HTTP.
Du coup le site est vulnérable à un piratage du type « Man in the middle ». Concrètement, cette attaque de « l’Homme du milieu », consiste à s’immiscer entre le visiteur et le serveur web du site pour intercepter les données personnelles, voire même les modifier à la volée (pour détourner un compte par exemple).
La solution la plus courante aujourd’hui pour se prémunir de cette faille de sécurité, consiste à mettre en place un cryptage de type SSL / TLS.
L’installation d’un certificat SSL permet de garantir l’identité du site qui est consulté, tout en établissant une connexion chiffrée à l’aide d’une clé de 2048 bits.
Les données qui transitent par les réseaux seront donc indéchiffrables par les pirates et donc préservées de tout détournement.
DECOUVRIR NOTRE OFFRE HTTPS