Aujourd'hui, nous allons parler sécurité et référencement puisqu'il s'agit d'aborder le sujet de l'activation de l'HTTPS et donc la mise en place d'un certificat électronique SSL puisque l'un ne va pas sans l'autre.
Dans quels cas l'HTTPS est recommandé ?
Soyons clairs : presque tous les sites web actuels nécessitent la mise en place de l'HTTPS. Citons néanmoins tous les cas les plus prioritaires :
- Tout site proposant un formulaire de contact, chatbot, live chat, sondage ou questionnaire en ligne destiné à recueillir des données personnelles (nom, prénom, email, etc.) ;
- Tout site proposant une connexion sur un compte client / utilisateur ce qui inclut tous les sites de e-commerce, marketplace, blog, etc ;
- Tout site proposant une connexion sur un back-office de gestion des données ce qui inclut tous les sites propulsés par des CMS tels que Drupal, WordPress, Joomla, Prestashop, OSCommerce (liste non exhaustive) ;
De plus, l'activation de l'HTTPS va impacter positivement votre positionnement dans les résultats de recherche sur Google, Yahoo, Qwant et Bing : un site en HTTPS est en effet privilégié par les moteurs de recherche. Rappelons aussi que vous épargnerez à vos internautes la vue des messages d'alertes ou de "risque de sécurité" affichés par les navigateurs récents ce qui aura un effet rassurant. On rappellera aussi que dans la cadre de la mise en place de la RGPD, il est désormais obligatoire que l'HTTPS soit actif pour les sites e-commerce sur tout le parcours de vente (https://www.cnil.fr/fr/rgpd-en-pratique-communiquer-en-ligne).
Je veux mettre en place l'HTTPS sur mon site web
HTTPS, SSL ... mais en fait, de quoi parle-t-on ?
Rappelons tout d'abord qu'un certificat électronique est en quelque sorte une "carte d'identité numérique" qui va servir à identifier et authentifier une personne physique ou morale, et permettre de chiffrer tous les échanges. Ce certificat va créer un lien entre le nom de domaine / du serveur / de l'hôte et votre entreprise (nom et lieu d'implantation). Il est courant de rencontre trois types de certificats SSL :
- Certificat DV (Domain Validation) : C'est le niveau le plus élémentaire de la validation SSL. L’autorité de certification (CA) va uniquement s'assurer que vous êtes bien le propriétaire du domaine donné à l’aide des informations figurant dans la base de données WHOIS. Ce type de certificat assure le chiffrement des données sur votre site, mais il ne vérifie pas que vous êtes le propriétaire d’une entreprise légitime. Un certificat DV est parfait si la sécurité n’est pas une préoccupation.
- Certicicat OV (Organisation Validation) : Si la sécurité est essentielle pour votre site, nous vous recommandons un certificat OV. Il est en effet un peu plus complexe à obtenir puisque vous devrez prouver l'existence de votre entreprise ou de votre organisation en fournissant des documents justificatifs à l'autorité de certification (CA).
- Certificat EV (Extended Validation) : Il va certifier le nom de domaine + la société éditrice (recommandé notamment pour les sites e-commerces ou dès lors que des données personnelles confidentielles sont en jeu). C'est actuellement le certificat qui fournit le niveau de sécurité SSL le plus élevé, activant à la fois le cadenas et la barre d'adresse verte dans la majorité des navigateurs.
Si vous avez plusieurs domaines, un certificat multi-domaine sera alors nécessaire tel que le Multi-SAN.
Si vous voulez un certificat pour votre domaine et l'ensemble des sous-domaines (par ex : www.masociete.com, et blog.masociete.com) alors un certificat de type WildCard permettra de sécuriser une infinité de sous-domaines.
L'HTTPS quant à lui est la version sécurisée de l'HTTP (Hypertext Transfer Protocol) que nous connaissons tous. La couche de chiffrement apportée par le protocole HTTPS permet de garantir la confidentialité et l'intégrité des données échangées entre le client et le serveur.
A quoi reconnait-on un site web sécurisé en HTTPS ?
Un site sécurisé en HTTPS est très facilement identifiable sur la page visitée puisque votre navigateur va afficher près de la barre d'adresse (où est écrit l'URL du site) un symbole de sécurité qui prend la forme d’un cadenas. En cliquant sur cette zone, vous aurez plusieurs informations utiles qui vous permettront de vous assurer que le site que vous visitez est bien fiable.
naes_https_ssl.png
Vous n'avez pas encore de HTTPS actif ?
La mise en place s'opère en quelques étapes.
- Il va falloir déterminer le niveau de certificat SSL le plus adapté dans votre cas. Ce certificat pourra alors être payant ou gratuit ;
- Il faut installer le certificat sur votre serveur dédié ou mutualisé et réaliser toutes les configurations nécessaires ;
- Il faudra reconfigurer toutes les redirections (alias URLs) puisque l'adresse d'une page va changer (http:// devenant https://) car pour un moteur de recherche, votre site en HTTPS est un tout nouveau site. Il faut donc contourner les risques liés aux contenus dupliqués ;
- Il faudra vous accompagner dans la gestion de vos analytiques qui seront impactés par ce changement ;
- Une recette de l'ensemble de votre site ou plateforme web sera nécessaire pour vérifier que le certificat HTTPS a bien été activé partout et que le cadenas vert apparaît chaque fois ;
- Prévoyez entre 24 et 48h suivant le nombre d'actions à opérer pour que tout soit en place puisqu'il faudra répéter ces opérations si vous avez un serveur de production, de préproduction, staging, sandbox.
Je veux mettre en place l'HTTPS sur mon site web
Si votre site web propose déjà l'HTTPS, nous vous invitons à en tester la qualité via Qualys Lab tool et à vérifier les performances TLS via Is TLS fast yet.
Notre mission en tant qu'agence web est de conseiller et accompagner nos clients dans la mise en place de solutions et la réalisation d'actions concrètes pour sécuriser et améliorer leurs outils et services web.