Comment passer son site en HTTPS ?

Passer un site web de HTTP à HTTPS est primordial pour renforcer la sécurité, la confidentialité des données, et améliorer le référencement sur les moteurs de recherche. Cette transition implique l’adoption du protocole HTTPS (Hypertext Transfer Protocol Secure), qui assure un chiffrement robuste des données échangées entre l’utilisateur et le site. Ce processus, bien que technique, est essentiel pour toute présence en ligne soucieuse de protéger ses utilisateurs et de renforcer sa crédibilité.

À RETENIR : 

• ÉTAPE 1 : Acheter un Certificat SSL
• ÉTAPE 2 : Vérifier la Compatibilité du Site
• ÉTAPE 3 : Préparer la Migration
• ÉTAPE 4 : Activer HTTPS
• ÉTAPE 5 : Mise à Jour des Fonctionnalités
• ÉTAPE 6 : Ajout du Site à Google Search Console
• ÉTAPE 7 : Activer HSTS – Facultatif
• ÉTAPE 8 : Redirection de HTTP vers HTTPS

Qu’est-ce que le HTTPS ?

Le HTTPS (HyperText Transfer Protocol Secure) est une extension sécurisée du HTTP. Il s’agit d’un protocole de communication utilisé sur Internet pour sécuriser les échanges de données entre un utilisateur et un site web. Comme vous l’avez sûrement compris, le « S » signifie « Sécurisé ». Le HTTPS utilise le protocole de sécurité SSL pour sécuriser les données.

Comment savoir si mon site web est en HTTPS ?

Pour savoir si un site est sécurisé, vérifiez la barre d’adresse de votre navigateur : un site sécurisé utilisera un protocole HTTPS plutôt que HTTP. Vous y verrez également un cadenas, souvent à gauche de l’URL, indiquant une connexion sécurisée. De plus, les navigateurs modernes affichent des avertissements pour les sites non sécurisés ou ceux avec des problèmes de certificat.

Qu’est-ce que le SSL ?

Le SSL (Secure Sockets Layer) est un protocole de sécurité utilisé sur Internet pour protéger les informations que vous envoyez et recevez. Il n’est pas utilisé dans le protocole HTTP standard.
Le SSL entre en jeu lorsqu’il s’agit de HTTPS (la version sécurisée de HTTP), où il crée une connexion cryptée entre le navigateur web et le serveur d’hébergement associé au nom de domaine. Cela garantie la sécurité et la confidentialité des données échangées. 

Note : Dans le cadre d’un forfait maintenance site web, la personne chargée de l’entretien du site web peut vous notifier du statut non sécurisé de votre site. Le passage en HTTPS peut entrer dans le cadre d’une maintenance web corrective. 

Quelles sont les différences entre le HTTP et le HTTPS ?

	HTTP	HTTPS
Sécurité	Transmet les données en texte clair, sans sécurité	Chiffre les données, assurant une transmission sécurisée
Chiffrement	N’utilise pas de chiffrement	Utilise le SSL/TLS pour chiffrer les données.
Port	Utilise le port 80 par défaut	Utilise le port 443
Certificats	Ne requiert pas de certificats SSL/TLS	Nécessite un certificat SSL/TLS pour authentifier le serveur.
Usage	Est désormais très peu utilisé, ou pour des sites non-sensibles	Est essentiel pour les transactions sécurisées et la protection des données.
Impact sur le référencement	Souvent moins bien classés dans les moteurs de recherche	Est favorisé pour un meilleur référencement SEO

Comment passer de HTTP à HTTPS ?

ÉTAPE 1 : Acheter un Certificat SSL

Choix du Certificat 

Selon les besoins de votre site, il existe divers types de certificats :

• Domain Validation (DV) : Convient pour les blogs ou les sites personnels. Vérification rapide et coût faible.
• Organization Validation (OV) : Idéal pour les entreprises et les organisations, car il valide l’entité derrière le site web.
• Extended Validation (EV) : Fournit le niveau de sécurité le plus élevé avec une validation approfondie, idéal pour les sites de commerce électronique et ceux collectant des informations sensibles.

Achat et Validation 

Achetez le certificat auprès d’une autorité de certification reconnue comme Sectigo ou RapidSSL, obtenez-en un gratuitement via Let’s Encrypt SSL ou passez par un comparateur comme SSL2BUY, et suivez le processus de validation.

ÉTAPE 2 : Vérifier la Compatibilité du Site

• Compatibilité des Fonctionnalités : Assurez-vous que tous les éléments intégrés au site (widgets de réseaux sociaux, publicités Google AdSense, plugins) sont compatibles avec HTTPS. Tous les services externes doivent être vérifiés et vous devez confirmer leur bon fonctionnement.
• Résolution des Problèmes  : Si des éléments ne sont pas compatibles, cherchez des alternatives ou des mises à jour pour assurer la compatibilité avec HTTPS.

ÉTAPE 3 : Préparer la Migration

• Planification : Pour les grands sites, planifiez la migration par sections ou sous-domaines pour minimiser les perturbations.
• Backup : Avant de commencer, effectuez une sauvegarde complète de votre site et de votre serveur pour prévenir toute perte de données.

ÉTAPE 4 : Activer HTTPS

• Installation du Certificat SSL : Installez le certificat sur votre serveur web. Cela implique souvent de modifier la configuration du serveur et d’installer le certificat et la clé privée correspondante.
• Test du site : Après l’installation, testez le site en HTTPS pour vérifier que tout fonctionne correctement, en parallèle avec la version HTTP.

ÉTAPE 5 : Mise à Jour des Fonctionnalités

• Mise à Jour des Liens Internes : Changez tous les liens internes (et ceux des ressources comme les images et les scripts) pour qu’ils utilisent HTTPS au lieu de HTTP.
• Redirections : Mettez en place des redirections 301 de HTTP vers HTTPS pour toutes les URL, afin de diriger les utilisateurs et les moteurs de recherche vers la version sécurisée du site.

Note : Il faut également prêter attention à la redirection de la version www vers non-www (ou inversement) et ainsi de ces dernières vers le HTTPS.

ÉTAPE 6 :  Ajout du Site à Google Search Console

• Nouvelle Propriété HTTPS : Ajoutez la version HTTPS de votre site à Google Search Console comme une nouvelle propriété. Si vous êtes passé par l’ajout de votre site par une propriété « Domaine », vous ne devrez pas avoir besoin de cette étape. Le cas échéant, ajoutez votre nouvelle propriété.
• Soumission du Sitemap : Soumettez un plan de site XML mis à jour pour la version HTTPS pour aider Google à indexer rapidement votre site sécurisé.
• Suivi : Surveillez les performances de votre site en HTTPS dans la Search Console pour identifier et résoudre rapidement les problèmes potentiels.

ÉTAPE 7 : Activer HSTS (Facultatif)

Qu’est-ce que le HSTS ? 

HSTS est un mécanisme de sécurité qui force les navigateurs à se connecter à votre site uniquement via HTTPS. Cela empêche certains types d’attaques, comme le détournement de protocole et les attaques de l’homme du milieu.

Astuce : Il est possible de pré-charger votre site HSTS pour les utilisateurs Google Chrome

Configuration du HSTS

Pour activer HSTS, vous devez ajouter une directive spéciale dans les en-têtes HTTP de votre serveur. Cette directive indique aux navigateurs de communiquer avec votre site uniquement via des connexions sécurisées pendant une période spécifiée.

Attention : Si votre site n’est pas entièrement prêt pour HTTPS, activer HSTS peut rendre certaines parties de votre site inaccessibles aux utilisateurs.

ÉTAPE 8 : Configurer les Redirections de HTTP vers HTTPS

Configurez des redirections 301 sur votre serveur pour que toute demande HTTP soit automatiquement redirigée vers la version HTTPS correspondante.
Cela garantit que même si quelqu’un saisit une URL HTTP ou clique sur un ancien lien, il sera sécurisé.

Conseil : Quelque soit la méthode utilisée, faites une sauvegarde votre site web et/ou des fichiers modifiés pour éviter une mauvaise surprise.

Fichier .htaccess sur Apache

Si votre site est hébergé sur un serveur Apache, vous pouvez mettre en place ces redirections en modifiant le fichier .htaccess. Il s’agit d’ajouter des règles qui redirigent toutes les requêtes HTTP vers HTTPS :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Fichier de configuration sur Nginx

Pour les serveurs Nginx, les redirections sont configurées dans le fichier de configuration du serveur. Voici le code à ajouter :

server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://domain.com$request_uri;
}

Test des Redirections

Après avoir configuré les redirections, testez différentes URL HTTP, avec des outils comme Redirection-Web, HTTPStatus et Redirect-Checker, pour vous assurer qu’elles redirigent correctement vers leurs homologues HTTPS. Vérifiez également que les redirections n’entraînent pas de boucles de redirection, ce qui peut arriver si elles sont mal configurées.

Quels sont les problèmes habituels lors de la conversion vers HTTPS ?

La conversion d’un site web de HTTP à HTTPS peut soulever plusieurs défis, dont certains sont spécifiquement mentionnés dans votre demande. Voici une exploration approfondie de ces défis ainsi que d’autres considérations importantes :

Problèmes	Impact	Solution
Suppression du Certificat SSL	Le site ne peut pas établir une connexion sécurisée.	Régénérez, réactivez ou renouvellez le certificat sécurisé.
Demande de Suppression d’URL (Google Search Console)	Retirer des URLs HTTP/HTTPS des résultats de recherche nuit à la visibilité car les liens sont supprimés pour les deux protocoles.	Évitez d’utiliser l’outil de suppression d’URL de Google.
Redirections 301 et Balises Canoniques	Conflits de contenu et problèmes d’indexation sans balises canoniques. Le SEO du site peut être impacté.	Mettez à jour les balises canoniques pour pointer vers la nouvelle URL HTTPS.
Liens internes en HTTP	Des liens internes en HTTP peuvent causer des problèmes de sécurité et de référencement.	Mettez à jour tous les liens internes pour utiliser le protocole HTTPS.
Contenu mixte (HTTP et HTTPS)	Le contenu mixte sur une page (éléments en HTTP sur une page HTTPS) peut entraîner des avertissements de sécurité dans les navigateurs.	Assurez-vous que tout le contenu (scripts, CSS, images) est servi en HTTPS.
Mauvaise configuration du serveur	Des erreurs de certificat SSL peuvent se produire, affectant l’accès au site.	Vérifiez et corrigez la configuration du serveur pour garantir une installation correcte du SSL.
Absence de HSTS (HTTP Strict Transport Security)	Risque accru d’attaques de type « man-in-the-middle ».	Implémentez HSTS pour forcer la communication via HTTPS.

Quels autres changements et mises à jour devez-vous prendre en compte ?

Mise à Jour de Google Analytics et autres outils de suivi

Google Analytics traite les versions HTTP et HTTPS de votre site comme deux entités distinctes. La mise à jour est essentielle pour assurer une surveillance continue et précise du trafic sur votre site.

Comment procéder ?

• Modification de l’URL : Dans le tableau de bord de Google Analytics, accédez aux paramètres d’administration et modifiez l’URL de votre propriété pour refléter la nouvelle adresse HTTPS.
• Conservation des Données Historiques : En mettant à jour l’URL dans Google Analytics, vous préservez l’historique des données et permettez une comparaison cohérente du trafic et des performances avant et après la migration.
• Mise à Jour des Configurations : Assurez-vous que toutes les configurations, telles que les objectifs et les filtres, sont ajustées pour refléter le changement vers HTTPS.

Votre site internet est désormais sécurisé en HTTPS !

La transition de HTTP vers HTTPS va bien au-delà de l’obtention d’un simple certificat SSL. C’est un certificat qui renforce la sécurité du site, augmente la confiance des utilisateurs, assure sa conformité réglementaire et qui améliore même le référencement. Adopter le certificat avec le fameux « S » n’est pas seulement une mesure de protection; c’est une étape essentielle pour assurer une présence en ligne robuste et fiable dans un environnement numérique de plus en plus axé sur la sécurité et la confidentialité des données.

FAQ

Pourquoi HTTPS ne s’affiche pas ?

Si HTTPS ne s’affiche pas sur un site, cela peut être dû à plusieurs raisons : 

• Le site n’a pas de certificat SSL/TLS
• Le certificat est expiré, mal configuré, ou non valide
• Le site charge des ressources via HTTP (contenu mixte) sur une page HTTPS
• Problèmes avec le navigateur ou le réseau 

Comment rediriger une URL vers HTTPS ?

Vous devez configurer une redirection 301 sur votre serveur web. Cela se fait généralement en modifiant le fichier .htaccess pour les serveurs Apache ou le fichier de configuration pour les serveurs Nginx. La redirection 301 indique aux navigateurs et aux moteurs de recherche que la page a été déplacée de manière permanente vers sa version sécurisée HTTPS, assurant ainsi que les visiteurs accèdent toujours au site via une connexion sécurisée.

Qu’est-ce que le contenu mixte sur un site web ?

Le contenu mixte se produit lorsqu’un site sécurisé (HTTPS) inclut des ressources non sécurisées (HTTP), comme des images, des vidéos, des styles CSS ou des scripts. Cela peut compromettre la sécurité du site et entraîner des avertissements dans les navigateurs des utilisateurs.