HTTP vers HTTPS, les étapes et la check-list

Le HTTPS, quèsaco?

Définition du HTTP ‘HyperText Transfer Protocol’ : principal canal de diffusion des informations sur lequel s’appuie le web.
Définition du HTTPS ‘Hyper Text Transfert Protocol Secure’ : protocole sécurisé de cryptage de données qui s’appuie sur les protocoles SSL ou TLS.
Définition du SSL (« Secure Socket Layer ») ou TLS (« Transport Layer Security ») : deux versions de protocoles destinés à sécuriser les données et surtout les échanges sur Internet grâce à des systèmes de chiffrement et des vérifications avancées gérées à partir de clés publiques et privées.

Schéma fonctionnement certificat sécurisé ssl pour le https

Source : OVH

Le HTTPS, pourquoi ?

Il devient inconcevable à l’aube 2017 de ne pas être en HTTPS et cela doit faire partie des bonnes résolutions de vos projets digitaux, une priorité dans votre RoadMap. Ceci dit, dans la logique, on évite une migration en saison haute. Il n’est pas recommandé à un e-commerçant qui fait tout son chiffre sur la période de Noël de migrer à ce moment là mais d’attendre que l’activité redevienne plus calme pour minimiser d’éventuels impacts négatifs. Il s’agit juste d’une mesure de précaution car si la migration est parfaitement maitrisée et la mise en place correcte, il n’y aucune raison de s’inquiéter.

Pourquoi basculer en HTTPS ou dit autrement migrer en HTTPS ?

Parce qu’il s’agit de protéger les données sensibles, les informations personnelles des utilisateurs transmises et collectées via les formulaires de contact et/ou d’inscription à la NewsLetter, des tunnels d’identification et/ou de création de compte, tous les tunnels de réservation et/ou de paiement. C’est tout l’intérêt du protocole sécurisé et la raison de son existence.
Parce que Google Chrome indiquera visiblement dans la barre d’url si les pages à données sensibles sont sécurisées ou si elles ne le sont pas.
Parce qu’il s’agit d’un facteur de réassurance non négligeable pour les utilisateurs, utilisateurs avertis.
Parce qu’il s’agit d’un facteur algorithmique important pour les moteurs de recherche et cela impactera donc votre positionnement dans les résultats de recherche.
Parce que si vous avez des leviers actifs, ils peuvent être bloqués d’un moment à l’autre à cause de vos manquements aux règlements en vigueur (google shopping par exemple)
Parce que le fait de ne pas être en HTTPS peut désormais vous empêcher d’activer de nouveaux leviers tels que Bing Shopping.
Parce que le fait de migrer via des redirections 301 pouvait présager une perte du ranking, du jus SEO. Google a modifié cette règle pour inciter les annonceurs et éditeurs (des petits comme des gros sites) à migrer rapidement.

Ceci dit, c’était dans l’intérêt de Google sinon Shopping aurait fini par ne plus avoir d’annonceurs à ce rythme là, ce qui aurait induit une perte considérable de leur chiffre d’affaires et des réclamations toujours plus agressives de la part des e-commerçants. Cependant, cette facilité à migrer en HTTPS leur permet désormais de mettre la pression de manière directe ou indirecte, mise en application de tous leurs règlements, blocage des comptes etc.).

Pour aller plus loin (pièges à éviter) : sécuriser votre site avec le protocole HTTPS avec Google.

A partir de la nouvelle version de Google Chrome (56), une alerte apparaitra dans la barre d’adresse pour les pages qui permettent de collecter des informations sensibles telles que les mots de passe, les informations de carte de crédit pour informer l’utilisateur que ces pages ne sont pas sécurisées.

Alerte page non sécurisée google chrome 56 - http et https

Le HTTPS, comment migrer (en toute sécurité) ?

Si vous faîtes appel à une/votre web agency, il est impératif de vérifier auprès du chef de projet technique et/ou ASR le processus pour envisager la migration du site (tout ou partie) du HTTP vers le HTTPS.

L’agence BM Services, plus particulièrement le pôle ASR et le pôle WebMarketing ont développé une technique pour éviter une migration via des redirections 301. Ce qui s’avère un atout non négligeable lorsqu’aucune redirection n’est à prévoir sur le site à court, moyen et long terme. Dans le cadre d’une refonte de l’arborescence, la question peut se poser sur le fait de profiter des redirections 301 pour basculer le site en HTTPS.

Phase préparatoire :

Avant la migration, il est essentiel de faire un audit de positionnement sur les mots-clés stratégiques, le nombre de mots-clés sur lequel votre site se positionne et de porter une attention particulière aux pages les plus importantes du site en termes SEO. Vous pourriez également être amené à suivre tous les indicateurs qui vous semblerez nécessaires (par devices par exemple etc.).
Il est important de lister en amont l’ensemble des supports, des comptes et des profils qui peuvent être impactés par cette migration.
Il faut lister toutes les solutions, plateformes externes.
Il est recommandé de solliciter toutes les solutions et prestataires externes pour anticiper la bascule et s’assurer qu’aucune action spécifique n’est requise pour le maintien des leviers et la bonne remontée des données via les trackings déjà existants et/ou procéder à de nouveaux tests après la migration.
Il est nécessaire d’étudier la faisabilité technique, la méthodologie et le processus de migration.

Côté Hébergement :

Il convient d’activer le certificat SSL. Ce qui signifie que votre site sera accessible via les deux protocoles HTTP et HTTPS.

Côté Off-Site :

Mise à jour de tous les supports qui feraient apparaître ou qui renverraient vers une Url en HTTP (signature d’e-mail, mentions dans les devis, etc.).

Côté On-Site :

Faire le point sur les redirections d’Urls (côté serveur, htaccess ; attention aux PlugIns WordPress dans lesquels des ‘vieilles’ redirections interféreraient) en place pour éviter des chaines ou doubles redirections et veillez à ce que les redirections 301 soient mises en place correctement (Ancienne Url HTTP > 301 > Nouvelle redirection HTTPS). N’oubliez pas les redirections du nom de domaine sans WWW, de l’url www.monsite.fr/index.php et avec/sans slash.
Mise à jour des Urls Canoniques en version HTTPS,
Vérifier toutes les Urls absolues (liens en dur/entiers) du site qui ne seraient pas des Urls relatives et qui seraient donc concernées par la mise à jour du protocole (maillage interne).
Mise à jour du fichier Robots.txt et le Sitemap.xml,
Vérification du Plan du site html,
Vérification des Urls liées aux images (bibliothèque),
Mise à jour du CMS pour indiquer le protocole à prendre en compte par défaut (c’est le cas de WordPress : Réglages > Général).

Côté Outils de monitoring :

Mise à jour Google Analytics (changement du procole).
Création et liaison d’un nouveau compte Google Search Console et soumettre l’url du sitemap avec le protocole sécurisé.
Mise à jour des plateformes Bing WebMaster tools / Bing Merchant Center / Bing Adresses (déplacement de site).
Mise à jour de toutes les plateformes ou solutions qui pourraient être impactées par ce changement de protocole.

Côté WebMarketing :

SEO / Référencement naturel

NetLinking : Mise à jour du profil de liens/backlinks en commençant par les plus importants (cela peut s’appliquer en fonction de la méthode de migration).
Google MyBusiness / Bing Adresses : Mise à jour de la fiche.

SEA / Référencement payant

Adwords : mise à jour des urls de destination des annonces (landing page).
Bing Ads : mise à jour des urls de destination des annonces (landing page) -> fonctionnalité rechercher-remplacer.
Affiliation/Retargeting/Autre : à tester (mais normalement il n’est pas nécessaire de modifier le tracking).

SMO / Social Media

Mise à jour des FanPages (Facebook, Twitter, Youtube, Viadeo, LindekIn, Pinterest etc.)

NL / Plateforme de routage

Phase de recettage et reporting :

Après la migration, la première des actions est de tester le site, toutes ses fonctionnalités et toutes les propriétés SEO (tous les liens, les urls canoniques, les redirections 301 etc.).

La deuxième est d’établir un reporting journalier pour suivre les évolutions dans le positionnement (des variations/fluctuations sont tout à fait normales, la remontée des Urls avec le protocole HTTPS en qualité d’Urls positionnées dans les SERP), la remontée des 404 dans le Search Console & Bing Webmaster Tools, de tous les indicateurs/données définis lors de la phase préparatoire.

Ce travail doit être réalisé jusqu’à ce que le site ait basculé entièrement (ou presque) en HTTPS et que le positionnement devienne stable surtout si vous avez subi quelques variations avec des pics (à la hausse comme la baisse).

Conclusion :

Comme n’importe quel autre projet à dimension technique qu’il impacte ou non le webmarketing d’ailleurs, il est important de cadrer la mise en place opérationnelle (cahier des charges), la planification des actions (rétro-planification) avec une phase préparatoire au préalable, la réalisation de toutes les actions, une surveillance/recettage/reporting dès que la migration est effective soit les premières heures, les premiers jours, les premières semaines.

Par Aurélie VASSELIN le 30.11.2016 / Seo, Stratégie - Concept, Web

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.