Passez de http à https et améliorez votre référencement

Sven mars 6, 2015
77
shares

httpsFR

Google a récemment déclaré que le web doit être un endroit sécurisé. “Sécurisé par défaut» est le slogan de leur campagne pour promouvoir l’utilisation du HTTPS. Dans une longue, mais interessante vidéo (45 minutes) Google soutien pourquoi cela est important et explique étape par étape comment un site web peut être tranformé de l’HTTP au HTTPS.

Pour vous éviter la vision complète du video, avons résumeré ici tous les arguments, les questions et nous vous donnerons un guide pratique basé sur cette vidéo, en trois différents chapitres :

  1. A propos d’HTTPS
  2. Comment puis-je convertir mon site internet d’HTTP à HTTPS?
  3. Comment rendre le site Web compatible HTTPS: Pour le simple utilisateur ou pour le moteur de recherche
  4. Enfin

1. A propos d’HTTPS

Pourquoi le protocole HTTPS est-il important?

SEO et HTTPS partout: Parce que la sécurité est une priorité importante pour Google, l’utilisation de HTTPS est encouragée et utilisée comme un signal de positionnement (En ce moment c’est un signal moins important qui influence moins que 1% des requêtes de recherches).

La nécessité d’utiliser HTTPS pour sécuriser les échanges pour les transactions financières est évidente. Mais pourquoi est-il aussi important pour les autres échanges sur le web ? Google soutient qu’un beaucoup de données apparemment innocentes peuvent dévoiler beaucoup de d’informations au sujet de quelqu’un. Ensemble, ces données forment une image qui peut être hautement compromettante pour la vie privée de l’internaute. Le protocole HTTPS protège l’utilisateur et le site d’attaques actives ou passives.

https3

Quel type de sécurité assure l’HTTPS?

Comme utilisateur du web posez-vous trois questions:

  • Est ce que les personnes auxquelles je parle, sont vraiment celles qu’elles disent être?
  • Est ce que quelqu’un à altéré les données?
  • Est ce que quelqu’un peut voir ma conversation?

HTTPS veut dire un moyen de communication sûr à travers le web

  • L’authentification
    Les hackers, pirates du web ne peuvent pas se faire passer pour des personnes avec qui vous désirez parler.
  • L’intégrité des données
    Les hackers, pirates du web ne peuvent pas modifier les données.
  • Le chiffrement
    Les hackers ne peuvent pas écouter vos conversations.

2. Comment puis-je convertir mon site internet d’HTTP à HTTPS?

La condition préalable pour un site internet HTTPS est la configuration TLS (Transport Layer Security). Google est conscient des craintes et des incertitudes qui se créent avec l’altération des sites internet d’une manière profonde, c’est pour cela qu’il donne de nombreux conseils et astuces pour faire des sites internet sécurisés avec HTTPS sans aucun problèmes. Nous nous occuperons ici des questions fréquentes, en y répondant une par une.

HTTPS en TLS:

HTTPS (Hypertext Transfer Protocol Secure) est une combinaison de deux protocoles. A savoir l’utilisation de l’HTTP sur SSL ou TLS. Cela rend une communication HTTP non-sécurisée plus sûre car elle est effectuée sur une couche cryptée. TLS est une versions améliorée de SSL.

FAQ

Mise en oeuvre rapide de TLS

  1. Combien coûte le certificat TLS?
  2. Est ce qu’il ralentira mon serveur et mon site internet?
  3. Quelles sont les meilleures pratiques pour faire la configuration?

Rendre un site internet HTTPS “friendly”

  1. Comment déplacer le contenu existant?
  2. Que faire pour qu’il soit indexé par les moteurs de recherche?
  3. Comment éviter les erreurs les plus courantes?

Mise en oeuvre TLS

https6

Google fournit la liste de contrôle suivante et conseille de ne manquer aucune étape.

Sys-admin checklist (voir 9:40 du video)

  1. Obtenir un 2048-bit certificat
  2. Configurer TLS sur votre ou vos web-server(s)
  3. Vérifier la configuration TLS sur votre ou vos serveur(s)
  4. Limiter l’influence de TLS sur la performance du site internet
  5. Serveur hardware et les paramètres spéciaux
  6. Utiliser SPDY & HTTP/2

1. Obtenir le certificat 2048-bit TLS

On pense souvent qu’un certificat est cher mais cela dépend du site internet et peut être très variable du certificat gratuit à quelques dizaines de dollars pour les cas d’utilisation les plus communs.

Selon l’utilisation il existe les possibilités suivantes:

  • Un certificat gratuit non commercial en provenance de Start SSL
  • Certificat gratuit pour les projets open-source GlobalSign
  • Certificat multi-domaine commercial à partir de 30 €
  • Certificat Wiltcard à partir de 100 €

Si vous utilisez encore le certificat 1024-bit vous devez le changer, prendre un certificat 2048-bit car le certificat 1024-bit est desormais dépassé.

2. Configurer TLS sur le serveur web(s)

Il y a beaucoup de différentes sources sur Internet qui (souvent partiellement) expliquent comment configurer TLS sur votre serveur web. Pour éviter les erreurs, Google conseille de ne pas reconstituer la configuration de différentes sources, mais d’utiliser une source cohérente. A savoir, Mozilla Server Side TLS. Ici les configurations et les meilleures pratiques décrites clairement et pleinement pour les serveurs web les plus populaires tels que Apache, Nginx et d’autres.

[Apache: mod_ssl doit être installé. mod_ssl supporte SSL et TLS utilisant la bibliothèque OpenSSL. TLS1.1 et TLS1.2 ne sont disponibles qu’à partir de OpenSSL 1.0.1. Information importante: 1.0.1g OpenSSL doit être utilisé, les versions précédentes sont vulnérables à cause du bug Heartbleed!]

3. Vérifiez la configuration TLS sur votre serveur(s)

Lorsque la configuration est effectuée et TLS a été activé, vous pouvez avoir la mise en œuvre vérifiée par un outil externe. Qualis SSL Labs analyse votre site et fournit un feedback immédiat. Cet outil est précieux et à utiliser chaque fois que vous modifiez la configuration TLS. Qualys SSL Labs donne un score et des instructions pratiques pour l’amélioration.

4. Minimiser l’impact de TLS sur la performance

La mise en place d’un tunnel TLS se fait en deux étapes, ce qui influence l’usage CPU

  1. La cryptographie asymétrique:
    1. la vérification du certificat
    2. échange de clé de cryptographie symétrique
  2. La cryptographie symétrique:
    1. échange de données d’application (cad. les données elle mêmes)

Uniquement la cryptographie asymétrique utilise beaucoup de CPU. L’utilisation du CPU peut être réduite de différentes manières:

  • L’activation keep-alive: la même connexion est utilisée pour plusieurs requêtes. Par conséquence, le tunnel TLS ne doit pas être remis en place à chaque fois, et la connexion cryptographiée asymétrique ne doit être effectué qu’une seule fois pour plusieurs connexions.
  • L’utilisation “session resumption”: lorsque le visiteur a déjà mis en place une session avec le serveur, les paramètres TLS peuvent être réutilisés pour la mise en place de la nouvelle session.

⇒ De l’hardware dédié au handshakes? Aujourd’hui, il n’est plus nécessaire. Même les sites populaires comme Twitter, Google et Facebook n’utilisent plus de hardware spécial, mais juste une mise en œuvre “informatique” du TLS.

5. Le serveur et les paramètres spéciaux

Google affirme que de nombreux administrateurs s’inquiètent encore de la performance et sont partiellement influencés par les articles de revues spécialisées mais aussi par les revendeurs d’hardware qui pensent que le matériel spécialisé est nécessaire pour utiliser efficacement HTTPS.

Les processeurs modernes sont conçus pour pouvoir traiter rapidement ce genre de calculs. Les grands joueurs comme Twitter, Facebook et Google n’utilisent plus de hardware spécial pour HTTPS.

6. Utilisation de SPDY & HTTP/2

SPDY est un protocole conçu pour rendre le Web plus rapide. Il est conçu pour mettre fin à des problèmes de performance du HTTP/1. SPDY est déjà supporté par la plupart des navigateurs (Chrome, Opera, Firefox et Internet Explorer) et les serveurs Web. Techniquement, il est nécessaire d’activer TLS SPDY, mais une fois que vous avez mis en place TLS, c’est simplement une question d’activation sur le serveur Web.

Google a publié ici quelques chiffres sur les accélérations (temps de chargement) en utilisant SPDY, en comparaison à une connexion HTTPS sans SPDY. Comme serveur utilise moins de ressources, il y a un gain de performance à la fois pour le visiteur et pour le serveur.

Google News Google Sites Google Drive Google Maps
Médiane -43% -27% -23% -24%
5ème percentile

(connexions rapides)

-32% -30% -15% -20%
95ème percentile

(connexions lentes)

-44% -33% -36% -28%

Mise en place avec TLS a SPDY, Google à l’appuis, il y aura même une réduction des ressources par conséquence.

Sur IsTLSfastyet.com vous trouvez des liens vers des sites contenant des informations pour la configuration des serveurs.

Résumé

  • Les certificats sont moins coûteux que ce que l’on croit généralement
  • Il y a de bons outils en ligne pour vérifier votre configuration
  • En faisant un bon usage de la connexion TLS, l’utilisation du processeur peut être diminuée
  • Les processeurs modernes peuvent bien gérer les opérations cryptographiques
  • Si TLS est mis en place, SPDY est facile à activer, ce qui engendre une améliration des performances.

3. Comment rendre le site Web compatible HTTPS: pour l’utilisateur et pour les moteurs de recherche

https4

La meilleure manière de procéder et d’éviter les erreurs

Les sites Web qui sont entièrement en HTTPS sont évalués par Google exactement de la même façon que les autres sites. Ils sont indexés de la même manière et le classement des mot-clés n’est pas différent des sites qui utilisent HTTP. (Nb: sur cette page Google stipule qu’il y a un léger avantage. Mais pour être certain que votre site sera entièrement indexé en tant que site sécurisé, tous les signaux d’indexation doivent être cohérents.

C’est pourquoi Google vous conseille la checklist suivante.

Webmaster checklist (voir 20:50 du video)

  1. Configurer HTTPS sur vôtre serveur Web
  2. Toutes les parties de la page Web doivent être demandées par HTTPS
  3. Dirigez les liens internes vers les pages HTTPS, redirigez les liens externes (301)
  4. Vérifiez robot.txt, rel=canonical et autres signaux
  5. Checkez le rapport Webmaster Tools

1. Configurez HTTPS sur le serveur

Mis à part la configuration décrite plus haut, d’autres choses peuvent être en dysfonctionnement:

  • Le nom du serveur n’est pas le même que le nom du certificat
  • Le certificat n’a pas une chaîne de confiance complète
  • Le certificat est expiré

Les plus courantes de ces erreurs sont aussi montrées dans Google Web Master Tools ( GWT) et Qualys SSL Labs trouvera aussi ces problèmes.

2. Toutes les parties de la page Web doivent être demandées par HTTPS

Évitez à tous prix l’utilisation des protocole HTTP et HTTPS sur la même page. Certains navigateurs ne chargeront pas les parties demandées par HTTP. Si elles sont chargées malgré tout, la page sera chargée en HTTP et le site ne sera pas sécurisée à 100%. La combinaison de HTTP et HTTPS est un des signaux qui peut empêcher le site d’être indexé de façon optimale par Google.

Une combinaison HTTP et HTTPS advient le plus souvent à cause d’URLs codés en dur. Cela peut être évité en utilisant des URLs relatives. Lorsqu’une partie est appelée par une URL relative elle sera appelée avec le même protocole que le site même.

Comment écrire une URL relative? C’est simple: enlevez « http: » de l’URL. La page sera alors appelée avec le même protocole que la page où se trouve l’URL.

<br />
&lt;p&gt;Une image avec cette source:<br />
&lt;img src='http://www.bar.com/link-to-image' alt=''&gt;<br />
determine un protocol absolute<br />
c'est mieux ce protocol relative<br />
&lt;img src='//www.bar.com/link-to-image' alt=''&gt;<br />

3. Diriger les liens internes vers les pages HTTPS, rediriger les liens externes

Tous les liens internes doivent pointer vers la version HTTPS, c’est évident. Les requêtes externes (Backlinks) pour les pages HTTP doivent être redirigées vers la page HTTPS avec une Redirection Permanente (HTTP 301).

C’est important, parce que les backlinks restants qui pointent vers la page HTTP permetteront aux visiteurs d’obtenir la version HTTPS de cette page.

Dans tous les cas : utilisez un seul protocole pour éviter qu’il y ait deux versions de la même page. Comme est dit dans la vidéo, pas de redirection est un anti-modèle!

Sur la page HTTPS, placez un canonical (self referencing canonical), cela accentue le fait que la page utilise uniquement des URL HTTPS.

<br />
&lt;!-- sur la page https://exempledesite.com/page-a --&gt;<br />
&lt;head&gt;<br />
...<br />
&lt;link rel='canonical' href='http://exempledesite.com/page-a<br />
...<br />
&lt;/head&gt;<br />
&lt;!-- celui c'est mieux: --&gt;<br />
&lt;head&gt;<br />
&lt;link rel='canonical' href='https://exempledesite.com/page-a<br />
&lt;/head&gt;<br />

Evitez une chaîne de redirections en ayant la première redirection qui mène directement à l’URL correcte. Cela évite un temps d’attente inutile dont souffrent particulièrement les utilisateurs de portable.

Erreurs:

demande http://exempledesite.com/page-a
dirige vers http://www.exempledesite.com/page-a
dirige vers https://www.exempledesite.com/page-a

Correct:

demande http://exempledesite.com/page-a
diriges vers https://www.exempledesite.com/page-a

Le temps d’attente peut également être évité en utilisant HSTS. HSTS est un protocole de sécurité qui impose que la communication n’advienne que par HTTPS. Ce protocole peut être appliqué par un HTTP header Strict-Transport-Security. Vous indiquez dans le protocole combien de temps la règle est valable et si ça s’applique aussi aux sous-domaines.

L’HSTS header empêche la redirection de HTTP vers HTTPS. Quand l’utilisateur demande une page par HTTP le navigateur modifie cette demande et à la place apelle la page par HTTPS. Cela économise un aller-retour au serveur et rend la navigation plus sûre, ce qui diminue aussi la probabilité d’attaques. Dans le futur, l’utilisation de HSTS sera un signal qui indique à Google que le site est extrèmement sécurisé.

4. Verifier robot.txt, rel=canonical et autres signaux

robots.txt

Le point précédent parlait d’aspects qui ont un impact à l’utilisation du site. Par-contre ce point-ci parlera de modifications qui ne sont pas perceptibles par l’utilisateur, mais exclusivement par les robots (par exemple Googlebot).

Evitez de bloquer l’accès aux pages HTTP ou HTTPS à cause de règles dans le robots.txt.

Si les pages HTTPS ne peuvent pas être lues par les robots, elles ne peuvent pas non plus être indexées.

Si les URL en HTTP sont bloqués, le bot ne sera pas capable de découvrir les redirections de HTTP vers HTTPS. Vous pouvez aisément vérifier si HTTP ou HTTPS interdisent l’accès aux robots avec l’outil “Explorer comme Google” de Google Webmaster Tools.

Noindex

Vérifiez aussi qu’il n’y ai pas de noindex sur les pages HTTPS, parce qu’alors les pages ne seront pas indexées par le moteur de recherche. Les noindex pourraient être placés sur la page même ou dans le header HTTP. S’ils existent ils doivent être éliminés. Utilisez Google Webmaster Tools pour vérifier si ces noindex sont utilisés.

<br />
&lt;!-- éliminer ce code! --&gt;<br />
&lt;meta name='robots' content='noindex'&gt;<br />
&lt;meta name='googlebot' content='noindex'&gt;</p>
<p>&lt;!--éliminer ce header HTTP--&gt;<br />
X-Robots-Tag: noindex<br />

Canonicals

S’ils sont appliqués erronément (certains redirigent vers une page HTTP, d’autres vers une page HTTPS) cela peut avoir une influence négative sur les ranks. Si appliqués correctement, l’influence peut être positive. A partir des pages en HTTPS, utilisez un canonical vers soi-même pour souligner l’utilisation de HTTPS.

5. Consultez le rapport de Google Webmaster Tools

Google Webmaster Tools contient de nombreux rapports qui vous aident à détecter des erreurs. Utilisez cette checklist pendant que vous convertissez votre site de HTTP à HTTPS:

  1. Vérifiez toutes les variantes de votre site
  2. Vérifiez État de l’indexation
  3. Vérifiez le crawl errors
1. Vérifiez toutes les variantes de vôtre site

Dépendant de l’utilisation de HTTP, HTTPS, domain.com et www.domain.com Google voit chaque URL comme un site différent. Donc:

  • http://exempledesite.com
  • http://www.exempledesite.com
  • https://exempledesite.com
  • https://www.exempledesite.com

sont quatre différents sites pour Google. Quand vous utilisez un domaine séparé pour vôtre site sur mobile, c’est aussi un autre site pour Google.(ie https://m.examplesite.com)

Normalement toutes les demandes (à travers les différents URLs : http, https, avec ou sans www) doivent rediriger vers https://www.exempledesite.com, mais il est absolument recommandé de vérifier qu’ils soient tous inclus correctement dans Google Webmaster Tools. Vu que ce sont ces URLs sont des différents sites pour Google, ce sont aussi des différents profils sur Google Webmaster Tools.

2. Verifier l’État de l’indexation: (voir 35:30 du video)

Les pages HTTP indexées doivent diminuer jusqu’à 0 alors que les pages indexées HTTPS doivent augmenter. Si cela n’est pas le cas, il y a une faille dans la configuration. (ex. Un file de robots.txt qui empêche au robot de crawler vers la version HTTPS.)

3. Vérifiez les erreurs d’exploration

Google Webmaster tools indiquer les erreurs qui surviennent durant le crawl. Les erreurs qui sont cachées et les erreurs qui existent sur des pages spécifiques. Il est aussi indiqué si l’erreur advient en visitant la page avec un portable ou un ordinateur de bureau. Vérifiez bien ces rapports – particulièrement après une transition vers HTTPS – pour assurer que cela n’ait causé aucun problème.

En conclusion

https2

Il est clair que Google attribue une grande importance à la sécurité sur internet et il semblerait que la sécurité HTTPS influençera bientôt les positionnements classement des sites web,si ce n’est pas déjà le cas.

Pour une inclusion sans faille du HTTPS, Google et d’autres sources offrent un bon nombre d’outils utiles, mentionnés ci-dessus.

Avec cet article, nous voulions vous informer aussi de la manière la plus complète sur le “Secure by default”, sur les procédures, les conséquences et les meilleures pratiques. Nous pouvons imaginer que cette information ne répond pas seulement à des questions, mais en fait soulever d’autres. Nous serons heureux de répondre à vos questions. Laissez un commentaire ou contactez nous.