Importance du HTTPS pour la sécurité internet
Il est fondamental qu’au moment d’une connexion, le client se sente protégé et en sécurité. Ce sentiment de confiance poussera le visiteur (ici votre cible), à passer à l’action plus facilement.
Pour comprendre un peu la nécessité de migrer au protocole HTTPS, il faut revenir un peu en arrière pour voir les limites du protocole http en termes de confidentialité. Ainsi, le visiteur ne risque pas de trouver ses opérations interceptées. Il peut s’agir d’opérations bancaires ou de données confidentielles. D’ailleurs, les premières institutions qui sont passées en HTTPS sont les organismes bancaires et financiers, ainsi que les sites du e-commerce. Les réseaux sociaux, quant à eux viennent de migrer vers ce protocole durant les 3 dernières années.
Voyons maintenant de plus près la différence entre un protocole HTTP et un protocole HTTPS.
Sommaire
● HTTP et HTTPS : qu’est-ce que c’est ?
○ Vue de plus près sur le protocole HTTP
○ Principe et fonctionnement du HTTPS
● Comment passer en HTTPS ?
○ Quel type de certificat SSL acheter ?
○ Mise en place du HTTPS sur un site déjà existant
○○ Conseil pratique dans le cas d’utilisation d’un serveur Apache
● Quel impact aura la migration vers HTTPS sur le SEO ?
HTTP et HTTPS : qu’est-ce que c’est ?
Il s'agit brièvement des protocoles qui définissent la communication entre le navigateur (ici le client) et le serveur. Tout cela en envoyant des requêtes/réponses contenant le contenu demandé à travers des entêtes de protocoles de transfert hypertexte.
Vue de plus près sur le protocole HTTP
Crée par Berners-Lee, même inventeur du World Wide Web, durant les années 90. Il s'agit du protocole de transmission permettant à l'internaute d'accéder à des pages web à travers un navigateur. Ce dernier permet d’envoyer et de recevoir des informations des serveurs. Ces échanges se font sans cryptages. L'internaute peut donc mettre ses codes d’accès bancaires et ce message sera envoyé en contenu textuel sur internet. Tout pirate ou personne mal intentionnée, pourra avoir vos accès et nous savons tous quels pourraient être les damages d’une intrusion pareille.
Voici en image, une petite représentation afin de simplifier.
Principe et fonctionnement du HTTPS
Passer en HTTPS, mais pourquoi ? Qu'est-ce que c'est ?
Il s'agit en effet, d’une combinaison des protocoles http et SSL. Puisque nous savons en gros ce que c’est qu’un protocole http, allons découvrir ensemble le principe du protocole SSL.
SSL est l'acronyme de Secure Socket Layer, il est donc question d’une couche de sécurité supplémentaire, conçue afin de créer un canal sécurisé entre le client et le serveur. Puisqu’il ne faut pas que les données secrètes tombent dans les mains d’une mauvaise partie (un pirate par exemple), les informations nécessitent un cryptage et un chiffrement.
C'est pourquoi les entreprises passent en HTTPS, qui est le protocole de transfert hypertexte sécurisé. Il remplit la même fonction de base du HTTP, schématisée ci-dessus sauf que cette fois, il y aura un échange de clés entre le client/navigateur et le serveur. Ces derniers vont établir une connexion chiffrée et eux seuls pourront voir le contenu. Nous illustrons par une image pour mieux vous expliquer l’opération.
Une question peut vous passer à l’esprit. Si le pirate arrive à accéder aux données textuelles, comment se fait-il qu’il n’arrive pas à avoir accès aux clés ? Pour vous répondre, nous allons plonger un peu plus dans le technique. En effet, le serveur commence par envoyer au client une clé publique, puis à travers une clé personnelle, il procède au décryptage des données qui lui sont envoyés par le client, comme destinataire unique. Et donc, nous retrouvons un pirate bredouille, qui n’est pas arrivé à déchiffré le message sans la clé.
Pour résumer, passer en HTTPS est une nécessite puisque ce protocole est venu résoudre les défauts de son prédécesseur en remédiant à la possibilité d’interception.
Comment passer en HTTPS ?
La migration reste délicate puisqu'il y a certaines étapes primordiales à effectuer afin d’éviter le risque de trouver ses informations cassées. Cependant nous parlerons de deux étapes. La première étant celle où on choisit et achète le certificat et la deuxième qui est plus générale et concerne la mise en place effective du protocole.
Quel type de certificat SSL acheter ?
Le certificat est délivré par une autorité de certification. Certains fournisseurs de nom de domaines peuvent disposer de ces certificats. Vérifiez le vôtre.
Les trois sortes de certificats sont les suivantes :
- Certificat de validation de domaine : Le moins cher. Il permet le chiffrement de base et est le plus communément utilisé. Sa délivrance est rapide puisqu’il nécessite juste une vérification pour la propriété du domaine.
- Certificat de validation étendue : Il s'agit d’un certificat SSL qui procure un haut niveau de sécurité. Au moment de la demande de ce type de certificat, l'organisme de certification effectuera un examen profond de l’entreprise en question.
- Certificat de validation entreprise : Il contient également l'authentification du propriétaire du domaine, procurant ainsi la confiance pour les clients.
Passons maintenant aux étapes de mise en place.
Mise en place du HTTPS sur un site déjà existant
- Commencez par vérifier au préalable si les liens internes contiennent des URLs relatives.
- Choisir et acheter le certificat SSL nécessaire. Le choix se fera selon le besoin et le budget.
- Procédez à l’installation du certificat généré par le serveur web.
- Vérifiez si la navigation en mode HTTPS est possible ou pas.
- Checker les redirections URL existantes en HTTP et mettre en place leurs semblables en HTTPS.
- Contrôler si les backlinks sont correctement redirigés.
- À l’aide des crawlers de site, vérifiez l’indexation du site HTTPS.
Conseil pratique dans le cas d’utilisation d’un serveur Apache
C'est un cas récurrent et donc nous tenons à vous passer l'information. Si le module « rewrite » est installé sur votre site alors, vous pouvez rediriger automatiquement les URLs HTTP et les faire passer en HTTPS en installant une seule règle sur le domaine HTTP :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}ù{request_URI}
NB : à ne pas utiliser si votre URL contient des arguments dynamiques (?arg1=v1&arg2=v2)
Quel impact aura la migration vers HTTPS sur le SEO ?
Google avait affirmé à maintes reprises que le HTTPS influe visiblement sur les performances de référencement d’une entreprise. Le géant américain le prend vivement en considération lors du développement de ses algorithmes. De ce fait, depuis l’année 2017, WordPress rejoint Google pour exiger le protocole HTTPS.
La migration vers ce protocole de sécurité internet agira sur la sécurité de l’internaute vis-à-vis du spot. Mais, encore faut-il que le site en lui-même soit un site de confiance. La sécurité d’un site peut se manifester par le HTTPS qui précède l'URL, mais il y a un autre indicateur qu’est le petit cadenas qui se trouve à côté de celle-là.
Si le cadenas est fermé, votre site est authentique. Si le cadenas est ouvert ou cassé, la sécurité n’est pas assurée. Vous pouvez toutefois accéder au site mais évitez d’y intégrer des informations délicates.
Nous réitérons l’importance de la maîtrise technique du processus afin de préserver les données existantes dans le site. Puisque dans certains cas, quelques liens de Backlinks peuvent se casser et des redirections peuvent se trouver faussées.