Avertissement Google pour HTTPS
Google vient d’envoyer à nouveau des avertissements pour les sites qui fonctionnent en http et qui collectent des informations via un formulaire. Il y avait déjà eu une première vague d’information de la part de Google en avril 2017. L’avertissement concerne une prochaine version du navigateur Chrome. Google semble insister de plus en plus pour que les sites migrent en HTTPS. Et quand le « Dieu Google » recommande quelque chose, il vaut mieux regarder cela de près… Cependant, ce type de changement n’est pas toujours une décision facile et sans conséquences.
Voici la teneur du message de Google :
Chrome affichera des avertissements de sécurité sur http://www.xxx.com
À : Propriétaire de http://www.xxx.com,
À compter d’octobre 2017, Chrome (version 62) signalera les pages HTTP comportant des formulaires de saisie de texte comme non sécurisées. Il fera de même pour toutes les pages HTTP en mode navigation privée.
Les URL suivantes de votre site contiennent des champs de saisie de texte (comme < input type= »text » > ou < input type= »email » >) qui déclencheront l’affichage du nouvel avertissement de Chrome. Passez en revue ces exemples pour savoir où ces avertissements s’afficheront, et pour prendre des mesures afin d’aider à protéger les données des utilisateurs. Cette liste n’est pas exhaustive.
http://www.xxx.com/Ce nouvel avertissement s’inscrit dans un objectif à long terme consistant à signaler toutes les pages utilisant le protocole HTTP comme n’étant pas sécurisées.
Pour résoudre ce problème :
Passez à HTTPS
Pour éviter que votre site soit signalé comme n’étant pas sécurisé lorsque des internautes le consultent sur Chrome, recueillez seulement les données des internautes saisies sur des pages utilisant le protocole HTTPS.
Analyse de la recommandation de Google
Pourquoi Google recommande t-il de passer votre site en HTTPS ?
Premier point important, cela veut dire que votre site collecte des données via un ou plusieurs formulaires. En effet, dans ce cas les données saisies dans le formulaire et envoyées au site, transitent en clair sur le réseau. Une personne malveillante et compétente pourrait en effet « sniffer » ces informations. Il est aussi possible à un pirate de récupérer des cookies de session. Le risque est d’autant plus important lorsque vous vous connectez depuis une borne Wifi. Il est donc évident que ce critère SEO va devenir un élément de classement de votre site à terme.
On pourrait se dire alors, « je vais passer uniquement les pages de formulaire en HTTPS ». Une vraie fausse bonne idée 🙁
- Vous allez avoir du contenu en HTTPS et une autre partie en HTTP, ce qui pour Google correspond à 2 sites
- Vous risquez en fonction de votre CMS ou Framework d’avoir du contenu de la page qui ne sera pas en HTTP et provoquera une alerte du navigateur (contenu non sécurisé)
- Les sessions vont être en double, une pour le HTTP une pour le HTTPS
Faut-il passer tout le site en HTTPS ?
Oui assurément, pour toutes raisons indiquées ci-dessus. Cela est très simple à gérer dans les CMS (généralement il suffit de configurer le site en HTTPS).
Lorsque vous allez basculer votre site en HTTPS, vous devez vous assurer que toutes les pages et tous les liens de votre site sont en HTTPS ! Nous voyons souvent dans nos audits SEO des sites où il y a des contenus mixtes HTTP et HTTPS. Il est très important de veiller à ce que, peu importe la façon dont l’internaute accède à votre site, ils doit toujours arriver sur la version HTTPS.
Si votre site utilise un système de cache (genre Prestashop), pensez bien à recompiler les templates et vider le cache afin que le logiciel reconstruise tous les liens en HTTPS.
Si votre site ne gère pas les redirections en HTTPS automatiquement, voici le code à mettre dans votre .htaccess pour forcer le HTTPS :
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L,R=301]
Quel impact SEO du passage du site en HTTPS ?
Même si Google indique que le passage en HTTPS est un critère peu impactant en terme de classement pour le SEO (ce que nous avons pu constater sur les sites de nos clients qui ont migré) , on peut se dire vu l’insistance de Google, que ce critère risque de prendre plus d’importance dans l’avenir. Alors autant le faire maintenant.
Cependant pour ne pas risquer de perdre de place dans le classement, respectez bien les consignes suivantes :
- Achetez un vrai certificat SSL (pas de certificat auto généré)
- Vérifiez que tous vos liens internes sont en HTTPS
- Regénérez votre sitemap et vérifiez que les url sont en HTTPS
- Vérifiez que toutes vos ressources sont accessibles en HTTPS, images, scripts, css, pdf, font, vidéos… (contenu mixte)
- Vérifiez que les redirections pour les versions avec et sans www sont en HTTPS
- Si vous avez un fichier de désaveu, mettez le à jour avec les url HTTPS