Comment migrer en HTTPS sans perdre son SEO ?

Si vous comptez réaliser une refonte de votre site, la question de le passer en HTTPS ou pas devrait forcément se poser, surtout à partir de janvier 2017. Une migration de site est déjà une étape délicate du point de vue SEO, et il est pas rare de voir des catastrophes lorsque la question du référencement n’est pas correctement maîtrisée. Et si on rajoute à cela une migration du site HTTP vers une version sécurisée (HTTPS), il faut être doublement prudent sous peine de perdre son SEO.

A travers ce guide, je vais vous donner les étapes indispensables pour bien migrer un site HTTP en HTTPS de manière SEO friendly. Mais avant d’aller tout de suite au « comment », faisons un petit point sur la définition du HTTPS et sur pourquoi le HTTPS est important pour Google et pour votre référencement naturel.

Définition du HTTPS, SSL et TLS

cadenas-vet-https-et-certificat-ssl-tls
Le protocole HTTPS est le même protocole de communication que le HTTP à la différence prêt que l’information circule sur une couche de transport sécurisée (TLS: Transport Layer Security). Vous avez peut-être déjà entendu parler de certificats SSL, et bien le TLS (en version 1.2 actuellement) remplace le SSL (SSL 3.0 étant la dernière version) car ce dernier comporte des vulnérabilités et a été désapprouvé dernièrement en 2015 par l’IETF . Actuellement, L’utilisation de l’expression « certificat SSL » est souvent un abus de langage.

D’ailleurs, Les navigateurs récents affichent dans la barre d’url, un cadenas ou le HTTPS barré avec un avertissements de sécurité lorsque le site web utilise ces anciens protocoles SSL.
cadenas https et url barré
On verra aussi par la suite comment désactiver le SSL au niveau serveur.

Le cadenas vert d’un site en HTTPS indique que l’information n’est pas altérée entre le serveur et le navigateur et que le certificat TLS du site est validé par un tiers de confiance. Un clic droit sur le cadenas permet d’avoir plus détails sur l’autorité qui a délivré le certificat et sur la sécurité de la connexion. La plupart des autorités délivrant des certificats de sécurité sont payantes mais il existe un projet open source Let’s Encrypt qui délivre des certificats gratuits. Depuis son lancement en 2015, il a déjà délivré plus de 5 millions de certificats grâce notamment au déploiement massif par des grosses boites comme WordPress ou Akamai.

Pourquoi le HTTPS est si important pour Google ?

A la conférence annuelle Google i/o en juin 2014, Google encourageait les webmasters à passer leur site en HTTPS. Ils ont commencé par leurs propres services comme Gmail, Google agenda afin de sécuriser leurs données. Il suffit de se rendre sur Google Dashboard afin de se rendre compte des données confidentielles dont ils disposent et de la nécessité de bien sécuriser ces données.

Mais il veulent aller plus loin, et sécuriser l’accès aux sites du web mondial depuis leur moteur de recherche.  Ainsi, en août 2014, Google annonce que le HTTPS représente un signal de positionnement, et depuis il n’a cessé d’encourager les webmasters à migrer leur site en HTTPS.

Les effets de ce boost HTTPS, jusqu’à maintenant, sont peu visibles, mais ce qui est sûr, c’est que la campagne de Google à fonctionner puisque plus de 30% des résultats en page 1 de Google sont en HTTPS . (voir l’étude de moz )
pourcentage d'urls en https en page 1 de google

De plus,  60% des pages chargées sur les navigateurs sont en HTTPS (voir l’étude sur l’utilisation du protocole https):
pourcentage de pages chargees via https

Continuons dans les études, Gary Illyes de Google cite une étude qui conclue que 80% des sites HTTPS ne sont pas éligibles à l’indexation car mal configurés:

Mais le meilleur est à venir, Google à annoncé qu’à partir de janvier 2017, le navigateur chrome allait signalé les sites non sécurisés en plusieurs étapes:

  • Dans un premier temps, les sites non-HTTPS qui transmettent des mots de passe ou des cartes de crédits, seront signalés comme « non sécurisé » dans la barre d’adresse.
    Nouveauté sur le HTTPS en janvier 2017, les sites non sécurisés seront signalés
  • Ensuite, il veut pénaliser tous les sites lorsqu’on navigue en mode « navigation privée », partant du principe que les utilisateurs qui naviguent dans ce mode incognito sont plus exigeants en terme de confidentialité
  • Et plus tard, il veut marquer tous les sites HTTP, sans exception.

De quoi pousser de plus en plus les sites à passer en HTTPS, ils sont malins chez google quand même 😉 .

Les bonnes raisons de migrer en HTTPS

En fait, migrer en HTTPS n’est pas seulement important pour le SEO mais aussi pour ces raisons:

  • La sécurité: Et bien oui, c’est quand même la raison principale, surtout à l’heure où les attaques se font de plus en plus nombreuses, et pas seulement sur des gros sites. Même si un site n’est jamais à l’abri d’une menace de sécurité, un site HTTPS bien configuré est toujours plus sûr qu’un site HTTP et moins facilement piratable. Un site piraté c’est néfaste pour votre trafic, votre chiffre d’affaire, votre image et pour votre SEO si un malware est détecté par Google.
  • Récupérer son trafic référent: Sur votre analytics, au fur et à mesure que les sites passent en HTTPS, le trafic référent de ces sites passent en trafic direct au lieu d’être compté en trafic référent. Passer votre site en HTTPS permettra de réattribuer le trafic des sites HTTPS en trafic référent et non en trafic direct.
  • E-reputation: Si l’image de marque de votre site vous importe, le petit cadenas vert met davantage en confiance (litote) qu’un point d’exclamation ou prochainement le marquage de votre site en « non sécurisé » sur Chrome.
  • Le boost SEO de positionnement:
    L’effet direct du HTTPS sur le classement dans les pages de résultats est assez faible, de l’ordre de quelques pourcents si on en croit l’étude de searchmetrics. Du moins pour l’instant, c’est possible que le boost dans les résultats Google soit plus important à l’avenir. MAJ 15/06/2017: en fait, Gary Illyes de Google affirmé que Google mettrait un frein au boost de positionnement.
    etude sur l'impact du https d'après searchmetrics
  • l’impact indirect sur votre référencement. Imaginez le comportement du visiteur qui arrive sur votre site, qui voit un signalement du navigateur comme quoi le site est non sécurisé, il y a de fortes chances qu’il retourne sur Google. Ce type de comportement (pogosticking) est détecté par Google, et ces critères d’usage rentrent, en revanche, directement dans les critères algorithmiques de Google. (pour en savoir plus, voir cet article sur Google et l’expérience utilisateur).
    J’irais même plus loin, le visiteur risque de même plus cliquer sur votre site dès la page de résultats car il y a fort à parier que Google, à terme, signale les sites non sécurisés dès la SERP. D’ailleurs, je sais pas si vous avez remarqué, mais Google distingue déjà les urls HTTP des urls HTTPS dans ses pages de résultats :

    http-vs-https

    Un petit coucou à mes confères de htitipi 🙂

A quand la prochaine étape ? un label HTTPS ?

Les étapes SEO friendly de migration d’un site en HTTPS

Bon, on y est, après ce préambule qui me semblait indispensable, plus long que prévu mais que j’espère intéressant, on arrive enfin au sujet principal de l’article qui est « Comment migrer en HTTPS sans perdre son SEO ? » :

  1. Installez le certificat: acheter un certificat payant ou gratuit (let’s encrypt), envoyez les informations demandées (clé public,..) et installer le sur le serveur
  2. Activez HTTPS sur votre serveur: Pour configurer votre fichier vhost, il y a l’ excellent outil SSL config generator . Il vous suffit d’indiquer la version de votre serveur, la liste de cyphers désirée (je recommande la liste de cyphers intermédiaire >> voir le point suivant), et il vous donnera les lignes à copier / coller sur votre fichier host. Cette configuration donnée par l’outil permettra en plus de désactiver les protocoles SSL qui sont vulnérables comme vu plus haut.
  3. Choisissez la bonne liste de cyphers: Le cypher est une suite cryptographique qui permet d’établir un échange sécurisé entre le client (navigateur) et le serveur. Un client, en fonction du système d’exploitation, du type de navigateur (ie, firefox, chrome,..) et de sa version, supporte différents cyphers plus ou moins sécurisés. Plus le navigateur est récent et plus les cyphers supportés sont robustes. Le serveur accepte quand à lui aussi une liste de cyphers, privilégiant le plus robuste en premier jusqu’au plus faible. Il y a 3 listes de cyphers avec différents niveaux de compatibilité que vous pouvez choisir dans l’outil SSL config generator : compatibilité moderne, intermédiaire, et ancienne.
    Le niveau intermédiaire, que je recommande, permet d’avoir un bon niveau de compatibilité avec plus de 97% des navigateurs compatibles, mais ça signifie aussi que certains vieux navigateurs (<3%) ne pourront pas accéder à votre site.
    C’est une question d’équilibre entre niveau de sécurité et compatibilité. Le niveau « moderne » permet d’avoir un haut niveau de sécurité mais une compatibilité plus faible, alors que le niveau de cypher « ancien » est ultra compatible mais moins sûr, ce dernier est d’ailleurs signalé par les navigateurs récents comme « obsolete cypher » et vous n’aurez pas le cadenas vert sur les navigateurs récents. Plus de détails ici
  4. Mettez à jour vos contenus HTTP en HTTPS: Tout ce qui est en HTTP doit faire le passage en HTTPS, c’est à dire les liens internes (ou passez-les en urls relatives), vos images, vos scripts, vos CSS, vos canoniques, vos publicités (adwords, display, ..), vos services tiers, vos boutons de partage sociaux, vos balisages opengraph, schema.org, votre CDN, vos flux RSS, les liens entrants dont vous avez le contrôle (ex: liens de profils sociaux), …
  5. Activez le nouveau site HTTPS sur search console: Pour que Google prenne en compte facilement le nouveau site HTTPS, il est nécessaire d’activer une nouvelle propriété pour ce site, et qui est différent du site HTTP. Profitez en pour envoyer un éventuel fichier de désaveu de lien sur cette nouvelle propriété. Attention, n’utilisez pas l’option « changement de domaine » sur l’ancien search console, il ne s’agit pas ici d’un changement de domaine mais d’un changement de protocole, c’est différent.
  6. Envoyez le nouveau sitemap HTTPS: Sur la nouvelle propriété search console, envoyez le nouveau sitemap avec les urls en HTTPS. Vous pouvez laisser pendant un mois l’ancien sitemap d’urls HTTP sur l’ancienne propriété search console, cela permettra de faciliter la prise en compte des redirections par Google.
  7. Redirigez les urls HTTP vers les urls HTTPS: Indispensable pour que les urls HTTPS prennent la place des urls HTTP dans l’index de Google. Voici la doc pour le faire sur apache ou encore ce lien pour les règles de redirections HTTPS .htacess les plus courantes . Pour une indexation plus rapide, vous pouvez aussi forcer l’indexation de vos pages les plus importantes en allant sur search console / explorer comme google / demander une indexation.
  8. Testez votre nouveau site HTTPS: Il faut lancer un crawl du site pour s’assurer que toutes les ressources sont bien en https, et même le faire avant la migration idéalement. Il faut aussi lancer un crawl des anciennes urls et vérifier qu’elles sont bien redirigées, sans chaines redirections idéalement (ex: 301 > 301 > 301 > 200). C’est d’autant plus important pour les urls qui font des visites, et on s’assure ainsi de ne pas perdre de trafic.
    Testez également la validité de votre certificat avec cet outil de SSL labs, par exemple. A ce stade, le risque est d’avoir des urls qui ont le https barré dans la barre d’adresse, cela signifie le plus souvent que vous avez encore des ressources http qui sont appelés sur vos pages.
  9. Configurez analytics en HTTPS: Une fois le site HTTPS migré et en production, sur google analytics, allez dans ADMIN / propriétés de la vue et changez pour le protocole HTTPS. De cette manière google analytics prendra bien en compte les nouvelles visites sans perdre l’historique des visites HTTP. Changez aussi l’association search console par la bonne propriété HTTPS. Sur GTM, mettez à jour tous les services tiers (facebook, criteo,..) en indiquant la bonne url HTTPS.
  10. Réalisez un suivi après migration: Sur search console, vous pouvez suivre le rapport d’indexation, le rapport d’erreurs et vérifier ainsi que tout se passe bien. Suivez votre trafic sur votre outil analytics, si vous avez bien travaillé, vous ne devriez pas voir de baisse de trafic et même espérer une hausse, à terme.

Conclusion

J’espère que ce guide de migration HTTPS avec ces bonnes pratiques SEO vous a plu. Si vous êtes en train de réaliser une refonte de site ou vous voulez changer de domaine, le passage en HTTPS me parait indispensable. Dans les autres cas, vous devriez y songer rapidement car les sites non sécurisés seront de plus en plus désavantagés.

De plus, le passage en HTTPS est un pré-requis indispensable pour passer votre serveur en protocole HTTP2. C’est un « nouveau protocole » qui améliore grandement les performances du site et sur lequel je ferai surement un article.

Et vous, vous êtes prêts à migrer en HTTPS ?

Mon top 10 des astuces SEO avant de lancer un site >

    A propos de Serge Esteves

    Consultant SEO / Webmarketing : Techniques avancées en référencement combinées aux leviers du marketing entrant (SMO, content marketing, UX, ereputation, ..).
    Vous souhaitez vous joindre à la discussion ?