Eviter les pièges liés à la sécurisation de son site web en HTTPS

Page 1 / 1

Comme vous le savez surement si vous êtes webmaster, Google référence mieux les sites web sécurisés par SSL (donc accessible en HTTPS).
Néanmoins, la sécurisation de votre site web grâce au protocole HTTPS nécessite plusieurs pré-requis. Dans le cas contraire, vous pourriez obtenir des problèmes de contenus mixtes (mixed content) et/ou de contenus dupliqués (duplicate content).

  1. Les avantages du HTTPS
  2. Les inconvénients du HTTPS
  3. Problème de contenu mixte (mixed content)
    1. Charger les ressources (images, CSS, JS, ...) en HTTPS
    2. Utiliser une régie publicitaire compatible HTTPS
  4. Problème de contenu dupliqué (duplicate content)

1. Les avantages du HTTPS

L'avantage 1er du HTTPS est de permettre à vos visiteurs d'accéder à votre site web de façon sécurisée.
En effet, tout le trafic entre votre site web et le navigateur web de vos visiteurs sera entièrement crypté. Ce qui permet aussi de protéger vos visiteurs contre le vol de données sensibles, comme les identifiants utilisés pour se connecter à l'espace membre disponible sur votre site web (par exemple).

L'activation du HTTPS vous permettra notamment de :

  • désactiver les messages d'avertissements affichés par Mozilla Firefox pour les champs textes présents sur les pages web :
  • éviter l'affichage de l'icône "non sécurisé" avec Mozilla Firefox :
  • et enlever la mention "Non sécurisée" affichée par Google Chrome au début de la barre d'adresse :

Et de rassurer vos visiteurs grâce à l'affichage d'un petit cadenas vert par votre navigateur web, ainsi que l'ajout de la mention "Sécurisé" par Google Chrome :

2. Les inconvénients du HTTPS

L'activation du HTTPS requiert :

  • un certificat SSL valide et émanant d'une autorité de certification reconnue par les différents systèmes d'exploitation existant à l'heure actuelle. Sinon, cela provoquera un avertissement du côté visiteur.
    Les certificats SSL payants fournis par GeoTrust, Symantec SSL, ... sont très chers, mais si vous voulez sécuriser un site perso, les certificats gratuits Let's Encrypt feront l'affaire.
    Note : StartSSL est fermé depuis le 1 Janvier 2018.
  • quelques modifications sur votre site web, sinon il est possible que tout ne soit pas sécurisé. Dans ce cas, des avertissements s'afficheront dans la console de votre navigateur web et une icône jaune risque de s'afficher dans la barre d'adresse au lieu du cadenas vert (cela diffère d'un navigateur web à l'autre)

3. Problème de contenu mixte (mixed content)

3.1. Charger les ressources (images, CSS, JS, ...) en HTTPS

Le problème le plus fréquent que vous pourriez rencontrer lorsque vous souhaiterez accéder à votre site web en HTTPS est celui du contenu mixte.
Ce type de problème survient lorsque votre site web utilise des ressources HTTP alors que vous accédez à votre site en HTTPS.

Autrement dit, pour éviter ce problème de contenu mixte, vous devrez :

  • utiliser des liens relatifs ou des liens absolus en HTTPS pour vos images (y compris celles renseignées dans vos feuilles de styles CSS)
  • idem pour les fichiers JS, CSS, ... que vous chargez depuis vos pages HTML.
    Pour jQuery, par exemple, il est possible d'utiliser des liens du type "//ajax.googleapis.com/ajax/libs/jquery/x.xx.x/jquery.min.js".
    Ce type de lien permet de charger les ressources externes (des images, des fichiers JS, ...) via le même protocole (HTTP ou HTTPS) que celui utilisé pour accéder à votre site web.

Notez : que le problème de contenu mixte ne se produit que lorsque vous chargez des ressources HTTP depuis un site en HTTPS. Le chargement de ressources HTTPS depuis un site web en HTTP ne posera pas de problème.

3.2. Utiliser une régie publicitaire compatible HTTPS

L'autre problème est que vous ne pourrez plus rentabiliser votre site web avec n'importe quelle régie publicitaire.
En effet, étant donné que toutes les ressources doivent être chargées via le protocole HTTPS, il vous faudra une régie publicitaire compatible avec le HTTPS (comme Google Adsense, par exemple).
Notez qu'une petite modification sera peut-être nécessaire pour charger le script de Google Adsense en version HTTPS.

Ce qui n'est pas le cas des petites régies publicitaires (ou de celles moins connues) comme Pubovore.

4. Problème de contenu dupliqué (duplicate content)

Lorsque vous activez le support du HTTPS sur votre hébergement, votre site web devient accessible via les 2 protocoles : HTTP (sur le port 80) et HTTPS (sur le port 443).

Etant donné que les 2 variantes seront accessibles publiquement, Google verra 2 fois chaque page de votre site web et détectera donc du contenu dupliqué. Ce qui est très mauvais pour le référencement de votre site web et ce qui peut même dans le pire des cas faire disparaitre votre site des résultats fournis par Google.

Pour éviter ce problème, il suffit de créer (ou de modifier) le fichier ".htaccess" présent à la racine de votre site web pour y ajouter ceci :

Plain Text

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.votre-domaine.com/$1 [R=301,L]