Le HTTPS est un protocole permettant de sécuriser les échanges de données entre un serveur et un client, et de valider l’identité d’un site visité. Cette double sécurisation est essentielle : elle garantit la confidentialité des données et rassure les internautes qui se connectent à votre site web, tout en répondant aux exigences de Google. Vous n’avez pas encore affiché le HTTPS (et le petit cadenas vert qui l’accompagne) dans votre barre d’adresse ? Vous devez commencer par obtenir un certificat HTTPS auprès d’une Autorité de Certification avant de l’activer sur votre site. Voici la marche à suivre en 5 étapes.

 

  1. Choisissez le certificat HTTPS adapté à vos besoins

Première chose à faire : choisir un certificat HTTPS (ou certificat SSL) adapté aux besoins de votre entreprise en matière de sécurité. C’est ce certificat électronique qui permet le chiffrement des données échangées entre un serveur et un client. Il est donc indispensable d’en obtenir un pour activer le protocole HTTPS sur votre site. Celui-ci s’obtient auprès d’une Autorité de Certification. Mais avant toute chose, il faut sélectionner le bon niveau de sécurisation parmi les certificats suivants :

  • À validation de domaine (certificat HTTPS rudimentaire qui chiffre les données sans vérifier l’identité du propriétaire du site).
  • À validation d’organisation (certificat SSL plus poussé qui nécessite l’authentification du propriétaire du site).
  • À validation étendue (certificat HTTPS offrant une sécurité optimale, particulièrement adapté aux sites qui collectent des données confidentielles et/ou des informations bancaires).

Il n’est pas forcément nécessaire d’acheter un certificat SSL trop pointu (à validation étendue) si votre domaine d’activité et le type de données collectées ne le justifient pas.

 

  1. Générez une demande de certificat

Une fois votre certificat HTTPS choisi, vous devez le demander auprès d’une Autorité de Certification (AC), un organisme chargé de délivrer des certificats et d’opérer les vérifications nécessaires (comme CertEurope). L’obtention de ce sésame passe par une étape préalable : une demande de signature de certificat (ou CSR certificat). Générer cette demande permet de soumettre votre besoin de certificat SSL à l’Autorité de Certification choisie, de manière à ce qu’elle enclenche les indispensables procédures de vérification exigées par le niveau de sécurité souhaité.

Une fois la demande validée par l’AC, celle-ci émet un certificat HTTPS que vous devez récupérer et installer sur vos serveurs, puis lier à votre site web. La procédure d’installation et d’activation du certificat SSL dépend du serveur et du langage utilisé. Si vous achetez votre certificat électronique auprès d’une Autorité de Certification, celle-ci peut vous proposer de prendre en charge cette étape.

Un conseil : avant de passer à l’étape suivante, effectuez une sauvegarde complète (back up) de votre site web. Cela vous permettra de revenir en arrière en cas de problème lors de l’activation du HTTPS.

 

  1. Redirigez les pages de votre site web

Vous avez obtenu votre certificat HTTPS et activé le protocole sur votre serveur. Mais ce n’est pas terminé ! Car le fait de passer du HTTP au HTTPS s’apparente à une migration de site à part entière, puisque votre nom de domaine change. Aux yeux des moteurs de recherche, votre site en HTTPS est donc différent de votre site en HTTP, ce qui suppose de rediriger toutes vos pages vers le HTTPS pour contourner les risques liés aux contenus dupliqués.

(Différentes méthodes existent pour basculer vos pages en HTTPS, depuis la modification manuelle de chaque URL à la création de redirections permanentes depuis le fichier .htaccess à la racine de votre site, en passant par l’utilisation de plugins dédiés – sur un CMS comme WordPress, par exemple.)

 

  1. Mettez à jour les différents éléments de votre site

Plusieurs éléments de votre site web doivent être mis à jour une fois votre certificat HTTPS activé, dans la mesure où certains fichiers peuvent continuer d’être chargés en HTTP, ce qui suppose de modifier les URL correspondantes. Cela concerne les liens internes (si vous utilisez des URL absolues) ainsi que les images.

Tous ces changements ne sont pas automatiquement pris en compte par Google : à ses yeux, votre site en HTTPS est un nouveau site. Quand tout est prêt, vous devez donc prévenir le moteur de recherche (via la Google Search Console) afin qu’il procède à une nouvelle indexation de vos URL. Plus vite vous indiquerez à Google le basculement de votre site, moins vous serez affecté par les conséquences de ce changement sur le positionnement SEO de vos pages.

 

  1. Testez votre site en HTTPS

Vous n’avez plus qu’à vous assurer que vos démarches ont abouti en testant votre nouvelle configuration. Explorez votre site page après page pour vérifier que le certificat HTTPS a bien été activé partout et que le cadenas vert apparaît chaque fois. Contrôlez aussi les redirections : est-ce qu’elles fonctionnent bien ? Des outils (comme celui-ci) vous permettent d’auditer votre site pour vous assurer de la qualité du certificat SSL installé.

 

N’oubliez pas qu’en matière de certificat HTTPS, c’est la sécurité qui prime. Passer votre site en HTTPS ne suffit pas à garantir la confidentialité des données et à rassurer vos internautes : vous devez également choisir un certificat électronique qui correspond à vos besoins, puis le demander auprès d’une Autorité de Certification digne de confiance.

Commandez votre certificat SSL aujourd’hui

 

Andry Ramiandrasoa

Andry Ramiandrasoa
Product Marketing Manager