Dans cet article, voici les quelques règles et recommandations selon Google pour passer son site en HTTPS (Hyper Text Transfer Protocol Secure). Il est primordial de bien faire attention lors de la migration de votre site en HTTPS. Une erreur de configuration ou d’installation du certificat SSL peut très vite vous faire perdre des places dans les résultats de recherche (SEO – Référencement).
Dans l’article : Pourquoi passer Prestashop en HTTPS, je donne des indications sur les raisons du choix HTTPS en 2017
Vous souhaitez une prestation pour la migration de votre site internet ou de votre boutique e-commerce en HTTPS ? Nous vous conseillons Vincent – Développeur WEB spécialisé Prestashop et WordPress.
Sommaire
Voici les questions à se poser lors du passage au HTTPS :
- Utilisez-vous un CDN
- Avez-vous mis à jour tous les liens internes en HTTPS
- Avez-vous mis à jour les tags « liens canoniques » ?
- Avez-vous mis à jour les tags « HrefLang » ?
- Utilisez-vous des modules « tiers » ? Module de paiement ? Utilisent-ils des liens sécurisés ?
- Vérifiez les particularités du CMS pour les migrations HTTPS (Comme WordPress ou Prestashop)
- Utilisez Screaming Frog pour vérifier les liens cassés en HTTP
- Mettez à jour vos anciennes redirections 301
- Avez-vous mis à jour l’adresse du sitemap.xml dans le fichier robots.txt
- Avez-vous activé HSTS ?
- Si vous avez un fichier de désavœu, mettez à jour les URLs en HTTPS
Retrouvez toutes les informations au sujet du mixed-content sur le site officiel d’information à ce sujet :
Le contenu mixe peut « casser » votre connexion sécurisée et afficher un message d’erreur dans la console de Google Chrome. Il est important de vérifier que ce point là est bien résolu.
Pourquoi le HTTPS ?
Le HTTPS est la version sécurisée du protocole HTTP (protocole de transfert hypertexte sécurisé). Ce protocole dit « secure » protège les informations échangées entre le navigateur du client/visiteur et le serveur. Il permet d’éviter les attaques de type : Man In The Middle (L’homme au milieu) qui pourrait lire les informations validées par un utilisateur sur votre site internet (Mot de passe, commentaires ou pire les informations bancaires).
Vos visiteurs souhaitent être sécurisés lors de leur navigation, ceci améliorera l’expérience qu’ils ont sur votre site et devrait augmenter vos taux de conversion. Les utilisateurs sont maintenant de plus en plus sensibilisés à la sécurité sur internet, mais Google via son navigateur Chrome (mais aussi Firefox) distingue maintenant les sites internet sécurisés des sites non-sécurisés.
Voici les checklist pour réussir au mieux sa migration
Voici les trois niveaux de protection ajoutés grâce au protocole HTTPS et la couche TLS (Transport Layer Secure) :
- Chiffrement : ça permet de coder les informations échangées pour éviter d’être espionné par quelqu’un d’autre sur le réseau.
- Intégrité des données : Les échanges ne peuvent être altérés (volontairement ou involontairement).
- Authentification : vérification que les visiteurs communiquent avec le bon site internet.
(Plus d’informations au sujet des attaques : man in the middle )
Les bons conseils pour la migration :
Voici quelques bons conseils pour réussir au mieux la migration de votre site internet, ces conseils s’appliquent de façon générale (Il se peut que la migration de votre boutique e-commerce Prestashop ou de votre site vitrine soit plus complexe) : Faite appel à un professionnel – développeur WEB Vincent
Le choix du certificat SSL :
La migration de votre site internet en HTTPS implique d’obtenir un certificat SSL. Les certificats doivent maintenant être fournis par une autorité de certification (CA). Avant, il était possible d’auto-signer son certificat, mais cette pratique a été stoppée pour éviter les contrefaçons, le phishing et autres types d’attaques.
Il est conseillé de choisir un chiffrement de 2048 bits pour généré son certificat.
Les fournisseurs de certificats :
Quelques exemple d’autorité de certification :
- GeoTrust,
- Comodo,
- Globalsign,
- LetsEncrypt (Permet d’obtenir des certificats SSL gratuit)
=> LetsEncrypt est une petite révolution dans le monde du SSL / HTTPS
Plus d’information ici : https://letsencrypt.org/
J’ai pour ma part utilisé des certificats GeoTrust (Très bon service, mais pas donné), OVH (classique, pas de soucis et prix intéressant) et LetsEncrypt (Pas de soucis, même si il peut être utile d’avoir quelques bases en administration système pour la configuration et l’installation du certificat). LetsEncrypt fournis des certificats SSL valable 3 mois contrairement à la plupart des autres autorités, qui elles fournissent des certificats valables 12 mois (généralement) ou 24 mois (selon l’option)
Quelques détails :
Il est conseillé de penser à ces points :
- Choisir un fournisseur fiable (Vérifier les avis sur internet) ou faites une demande ici
- Penser à vos besoins :
- Combien de domaines à sécuriser ?
- Des sous-domaines ?
- Simple ou multi-domaine ?
- Certificat dit « Wildcard » pour sécurisé une infinité de sous-domaines ?
- Chiffrement possible ? 1024 ou 2048 ou plus encore ?
Les erreurs à ne pas faire :
Il est important de bien vérifier quelques points pour ne pas faire d’erreur lors de votre migration. La validité du certificat, le chiffrement utilisé, les redirections 301, le mixed-content, le sitemap ?
Qu’est ce que le mixed-content ? Trouvez toutes les informations aux sujet du mixed-content ici