Vous l’avez peut-être vu passer sur le web pendant le mois de décembre, 2017 sera l’année du Https. En effet, la nouvelle lubie de Google est d’augmenter la sécurité de tous les sites grâce au Https. Sachez que si vous n’avez pas l’intention de faire le nécessaire, vous risquez de vous en mordre les doigts !

Pour vous convaincre de suivre le mouvement, le moteur de recherche fera apparaître un joli message d’accueil sur votre site dès l’arrivée de l’internaute pour le prévenir qu’il navigue sur un site non sécurisé. Sympa. Et surtout, diablement efficace pour faire fuir les potentiels clients…

Bien qu’aucune date ne soit connue, les rumeurs évoquent une arrivée de cette mesure dans le début d’année. Et comme on aime bien vous donner de bons tuyaux, on s’est dit que vous aimeriez notre check-list pour un passage réussi en Http :

Voici notre Check-list pour un passage en HTTPS

1) Critères de choix d’un certificat

Un certificat SSL (ou Secure Socket Layer dans la langue de shakespeare) est un procédé qui permet de sécuriser l’échange de données entre le serveur et le terminal (dit client) utilisé. Il est notamment utilisé dans la sécurisation des sites internet via le https. On en profite pour vous lister les différents types de certificats HTTPS :

  • DomaineSSL : accessible aussi bien aux professionnels qu’aux particuliers, c’est la solution privilégier en raison de sa simplicité et de son prix plus attractif. Vous permettant d’accéder au Https et au cadenas, DomaineSSL ne demande aucune formalité papier et la mise en place se fait en règle générale assez rapidement.
  • OrganizationSSL : Ce dernier est quant à lui réservé aux professionnels car le certificat est émis au nom de l’entreprise. Quelques jours sont nécessaires pour assurer la mise en place de cette solution.
  • ExtendedSSL : Ce certificat est celui qui est le plus reconnu. Grâce à un rectangle vert incluant le nom de votre société, c’est le certificat qui vous apportera la plus grande plus valus, en particulier si vous êtes un site e-commerce.

Alors quels éléments sont à prendre en compte pour choisir son certificat ? Voici quelques éléments de réponse :

  • Opter pour la bonne taille de clés : Google recommande des clés d’une longueur 2048 bits
  • Choisir de préférence un certificat utilisant une encryption SHA-2 (il faut que le certificat soit encrypté dans ce format).
  • Choisir un certificat que vous pourrez étendre à tous vos domaines,

2) Les étapes obligatoires

Une fois votre certificat choisi, il faudra respecter quelques étapes obligatoires pour assurer la mise en place de ce dernier :

– Installation du/des certificat(s) Voir OVH

– Mettre à jour des urls /ressources (aucune url ni ressource ne doit être appelés en HTTP) :          

  • Utiliser des urls relatives     
  • Mise à jour des requêtes SQL       
  • Mettre à jour les liens interne en durs
  • Mise à jour de l’appel des ressources CSS, JS, JSON, Images, …Sur votre version https, vous appelez des URLs et ou des ressources en http (donc non sécurisés) la version https ne marchera pas. Il y aura une erreur https.

– Activer le support SSL/TLS du serveur web

– Mise en place redirection 301 de HTTP vers HTTPS

– Mettre à jour le fichier Robots.txt

Créer un compte Search Console HTTPS (Bing également si utilisé)

Mise à jour du Sitemap :         

  • Créer un nouveau sitemap https, le charger dans le nouveau compte GWT         
  • Conserver l’ancien sitemap HTTP pendant 30j.

– Mettre à jour les balises canonicals pour qu’elles pointent la version HTTPS

– Mettre à jour les instructions de mise en cache dans les headers

– (Optionnel) Si vous possédez un fichier de désaveux de liens il doit être mis à jour.

– Tag analytics : si une vieille version est utilisée il faut mettre à jour le code. Pas de problème sur les dernières versions de tag analytics

– Forcer les cookies à être déposés sur les versions HTTPS grâce à “Secure Flag”

NB : Sur des vieilles versions de CMS et/ou de plugins, l’HTTPS peut poser problème, il faudra commencer par une mise à jour.

3) Les outils de contrôle

Ces outils sont utilisés pour analyser et vérifier le niveau de réglage sur votre serveur ainsi que son niveau de sécurité. S’ils détectent des soucis de réglages, alors ils vous conseilleront afin que vous puissiez effectuer les modifications nécessaires.

4) Les inconvénients et résolutions pour l’HTTPS (optionnel)

Le cryptage crée un délai de chargement supplémentaire, cependant on parle de seulement quelques dizaines de millisecondes. Si nous voulons être au top voici les recommandations :

  • Changer les en-têtes pour permettre la mise en cache
  • Utiliser le procotole réseau “SPDY”
  • HSTS Inclure un code de réponse indiquant aux robots d’accéder uniquement aux versions HTTPS des pages même quand elles sont dirigées vers une page HTTP (cela améliore, un peu, le temps de réponse)  Exemple :

À noter que le gain étant minime, il faut bien mesurer la rentabilité du gain comparé au temps passé, c’est valable de façon générale pour tout ce qui concerne l’optimisation de la vitesse de chargement.

Vous avez des questions sur l’Https ? N’hésitez pas à nous contacter.