Initialement utilisé par les sites bancaires, le HTTPS fait maintenant partie des critères pris en compte par Google.
- HTTP : Attention ! Tous les intermédiaires (ex. opérateurs télécom…) et toutes personnes connectées au même réseau peuvent lire le contenu des données échangées.
- HTTPS : ‘s‘ pour ‘secure“, tous les échanges entre le client et le serveur sont chiffrés. Une personne qui intercepterait les données entre les deux, ne pourrait pas les lire !
Un protocole TLS (anciennement appelé SSL) va sécuriser la connexion, le site dispose d’une clé privée et d’une clé publique.
Chaque client qui se connecte dispose d’une clé publique qui permet de chiffrer les messages envoyés au serveur, le serveur peut déchiffrer le message grâce à une clé privée.
La présence du cadenas vert dans la barre d’URL rassure et donne confiance.
Vous retrouverez sur certains navigateurs des alertes en cas de consultation de sites web n’étant pas en HTTP.
Ex. mention “Non sécurisé” affiché dans la barre d’URL du navigateur web Safari (Mac).
La mise en place du HTTPS est devenue obligatoire pour pouvoir déployer des solutions de paiement en ligne.
En cliquant sur le cadenas, vous obtenez le détail d’un certificat, fourni par une autorité de certification qui détermine que le site web est bien le vrai.
ex. Verisign, GeoTrust, DigiCert.
Les navigateurs récents affichent une couleur et le nom de la société dans la barre d’URL pour savoir si le site est sécurisé.
Les entreprises pour qui la sécurité est primordiale investissent dans des certificats EV-SSL :
- le vert = sécurisé
- le rouge = attention
Remarque : la mise en place d’un certificat SSL auto-signé reste possible, mais il provoquera l’affichage d’alerte dans le navigateur web de vos visiteurs.
Impact sur le référencement naturel
En 2014, Google en a fait un critère de classement dans son algorithme.
Google a indiqué mettre en avant les sites web sécurisés.
Si votre site web n’est pas en HTTPS, Google pourrait donc vous déclasser dans ses résultats de recherche.
Let’s Encrypt
Aujourd’hui, la plupart des hébergeurs web proposent de mettre en place gratuitement un certificat SSL (Secure Socket Layer) au travers de Let’s Encrypt.
Chez OVH, n’oubliez pas d’activer le certificat SSL au niveau de l’onglet Multisite.
Si votre site web est hébergé chez o2switch, il vous faudra passer par le CPanel (monsite.fr:2083) pour générer votre certificat SSL Let’s Encrypt.
Il vous faudra ensuite cliquer sur “+ Générer“.
Remarque : il vous est inutile de générer un certificat SSL pour le nom de domaine générique .odns.fr.
Vous devriez maintenant pouvoir accéder à votre site web en tapant https://monsite.fr dans la barre d’URL de votre navigateur web.
À ce jour, plus de la moitié des sites web utilisent les services de Let’s Encrypt.
Forcer la version HTTPS du site
Depuis le menu Réglages > Général du Tableau de bord WordPress, ajoutez un “s” au niveau du protocole http:// renseigné dans les champs d’adresses web.
Vous devriez désormais voir apparaître votre site web avec un cadenas dans la barre d’URL de votre navigateur, preuve que tout va bien !
Mixed Content
Il s’agit d’un contenu mixte, vous êtes bien sur une page en HTTPS, mais certains éléments chargés sont non sécurisés (HTTP).
Le contenu mixte invalide le niveau de sécurité appliqué par le certificat SSL.
En théorie, il vous faudrait corriger chaque lien directement depuis le code source pour transformer les protocoles HTTP en HTTPS.
Heureusement, il existe une extension qui peut faire ce travail à la volée : Really Simple SSL.
Vous retrouverez les réglages de l’extension depuis le menu Réglages > SSL.
Remarque : l’extension de sécurité iThemes Security gère directement la bascule forcée en HTTPS, il est dans ce cas inutile d’installer l’extension Really Simple SSL qui agirait en doublon.
Si votre serveur web tourne sous Apache, vous pouvez également effectuer l’opération à la main en modifiant le fichier .htaccess situé à la racine de votre site web.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Remplacer les URL HTTP en HTTPS
En complément et pour éviter les redirections inutiles, il est recommandé de modifier les URL en base de données.
Pour modifier les URL en HTTP vers HTTPS en utilisant l’extension “Better Search Replace” dans WordPress, suivez les étapes ci-dessous :
- Assurez-vous d’avoir installé et activé l’extension “Better Search Replace” dans votre site WordPress. Si ce n’est pas le cas, vous pouvez l’installer depuis le répertoire des extensions de WordPress.
- Accédez à votre tableau de bord WordPress et rendez-vous dans le menu “Outils” puis cliquez sur “Better Search Replace“.
- Sur la page “Better Search Replace“, vous verrez deux champs : “Rechercher” et “Remplacer par“.
- Dans le champ “Rechercher“, saisissez votre URL en HTTP, par exemple : “http://votresite.com”.
- Dans le champ “Remplacer par“, saisissez votre URL en HTTPS correspondante, par exemple : “https://votresite.com”.
- Sélectionnez les tables de la base de données dans lesquelles vous souhaitez effectuer le remplacement des URL. Par défaut, toutes les tables sont sélectionnées, mais vous pouvez les décocher si vous souhaitez limiter la recherche et le remplacement à certaines tables spécifiques.
- Avant de procéder au remplacement, vous pouvez choisir de faire une simulation en cochant la case “Faire un essai“. Cela vous permettra de voir les changements qui seront effectués sans les appliquer réellement. C’est une étape recommandée pour vérifier si les modifications proposées sont correctes avant de les appliquer.
- Une fois que vous êtes prêt à effectuer le remplacement réel, décochez la case “Faire un essai” et cliquez sur le bouton “Lancer un rechercher/remplacer“.
- L’extension “Better Search Replace” va parcourir votre base de données et effectuer les remplacements nécessaires. Selon la taille de votre site et de votre base de données, cela peut prendre un certain temps. Soyez patient et ne fermez pas la page jusqu’à ce que le processus soit terminé.
- Une fois le processus terminé, vous verrez un message indiquant le nombre de remplacements effectués. Vérifiez votre site pour vous assurer que les URL ont été modifiées avec succès de HTTP vers HTTPS.