3Vision-Group conseils: Lorsque vous configurez le protocole HTTPS (Hypertext Transfer Protocol Secure) sur votre site, un cadenas vert s’affiche dans la barre d’adresse du navigateur. Vous indiquez ainsi à vos visiteurs que votre site offre un niveau de sécurité supplémentaire, ce qui permet de les rassurer.
La configuration du protocole HTTPS présente également d’autres avantages majeurs :
- Votre site est mieux classé dans les résultats de recherche Google.
- Votre site est mieux protégé contre le piratage de trafic.
Sécuriser votre site à l’aide du protocole HTTPS
Protéger votre site et les internautes
Le protocole HTTPS, qu’est-ce que c’est ?
HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l’intégrité ainsi que la confidentialité des données lors du transfert d’informations entre l’ordinateur de l’internaute et le site. Les internautes s’attendent à bénéficier d’une expérience en ligne sécurisée et confidentielle lorsqu’ils consultent un site Web. Nous vous encourageons à adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web en toute sécurité, quel que soit son contenu.
Les données envoyées à l’aide du protocole HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui offre les trois niveaux clés de protection suivants :
- Le chiffrement : consiste à coder les données échangées pour les protéger des interceptions illicites. Cela signifie que lorsqu’un internaute navigue sur un site Web, personne ne peut « écouter » ses conversations, suivre ses activités sur diverses pages ni voler ses informations.
- L’intégrité des données : les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées.
- L’authentification : prouve que les internautes communiquent avec le bon site Web. Cette méthode protège contre les attaques des intercepteurs et instaure un climat de confiance pour l’internaute qui se traduit par d’autres retombées pour votre activité.
Bonnes pratiques de mise en œuvre du protocole HTTPS
Utiliser de solides certificats de sécurité
L’activation du protocole HTTPS pour votre site implique l’obtention d’un certificat de sécurité. Ce dernier est délivré par l’autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient bien à votre entreprise, et protège ainsi vos clients d’attaques des intercepteurs. Lors de la configuration de votre certificat, assurez-vous de bénéficier d’un haut niveau de sécurité avec une clé de 2 048 bits. Si vous avez déjà un certificat avec une clé plus faible (1 024 bits), passez à 2 048 bits. Lorsque vous choisissez le certificat de votre site, tenez compte de ce qui suit :
- Obtenez votre certificat auprès d’une autorité de certification fiable qui offre un service d’assistance technique.
- Déterminez le type de certificat dont vous avez besoin parmi les suivants :
- Un certificat simple pour une seule origine sécurisée (par exemple,
www.example.com) - Un certificat multi-domaine pour de multiples origines sécurisées bien connues (par exemple,
www.example.com, cdn.example.com, example.co.uk) - Un certificat à caractère générique pour une origine sécurisée avec de nombreux sous-domaines dynamiques (par exemple,
a.example.com, b.example.com)
- Un certificat simple pour une seule origine sécurisée (par exemple,
Utiliser des redirections 301 côté serveur
Redirigez les internautes et les moteurs de recherche vers la page ou la ressource HTTPS à l’aide de redirections HTTP 301 côté serveur.
Vérifier que vos pages HTTPS peuvent être explorées et indexées par Google
- Ne bloquez pas vos pages HTTPS à l’aide de fichiers robots.txt.
- N’incluez pas de balise Meta
noindexdans vos pages HTTPS. - Utilisez l’outil Explorer comme Google pour voir si Googlebot peut accéder à vos pages.
Accepter le mécanisme HSTS
Nous recommandons aux sites HTTPS de prendre en charge le mécanisme HSTS (HTTP Strict Transport Security).
Ce mécanisme indique au navigateur de demander automatiquement des
pages qui utilisent le protocole HTTPS, même si l’utilisateur saisit http
dans la barre d’adresse du navigateur. Il nous indique également de
diffuser des URL sécurisées dans les résultats de recherche. Tout cela
minimise le risque de diffuser du contenu non sécurisé à vos
internautes.
Pour prendre en charge le mécanisme HSTS, utilisez un serveur Web compatible et activez la fonctionnalité.
Bien que plus sécurisé, le mécanisme HSTS complexifie votre stratégie de restauration. Nous vous recommandons de l’activer comme suit :
- Déployez d’abord vos pages HTTPS sans le mécanisme HSTS.
- Commencez à envoyer des en-têtes HSTS avec un « max-age » court. Contrôlez le trafic provenant à la fois des utilisateurs et d’autres clients, ainsi que la performance des éléments dépendants, comme les annonces.
- Augmentez progressivement le « max-age » HSTS.
- Si le mécanisme HSTS n’affecte pas vos internautes et les moteurs de recherche de manière négative, vous pouvez, si vous le souhaitez, demander l’ajout de votre site à la liste de préchargement HSTS utilisée par la plupart des principaux navigateurs.
Penser au préchargement HSTS
Si vous activez le mécanisme HSTS, vous pouvez éventuellement accepter le préchargement HSTS pour une sécurité accrue et de meilleures performances. Pour l’activer, consultez hstspreload.org et suivez les conditions d’envoi indiquées pour votre site.
Éviter ces pièges courants
En procédant à la sécurisation de votre site à l’aide du protocole TLS, évitez les erreurs suivantes :
| Problème | Action |
|---|---|
| Certificats expirés | Assurez-vous que votre certificat est toujours à jour. |
| Certificat enregistré pour un nom de site incorrect | Vérifiez que vous avez obtenu un certificat pour tous les noms d’hôte utilisés par votre site. Par exemple, si votre certificat ne couvre que www.example.com, un visiteur qui accède à votre site en utilisant seulement example.com (sans le préfixe « www. ») sera bloqué par une erreur de correspondance de nom de certificat. |
| Non-compatibilité avec l’Indication du nom du serveur (Server name indication, SNI) | Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. SNI est supportée par tous les navigateurs modernes. Cependant, vous aurez besoin d’une adresse IP dédiée si vous devez accepter des navigateurs plus anciens. |
| Problèmes d’exploration | Ne bloquez pas l’exploration de votre site HTTPS à l’aide du fichier robots.txt. |
| Problèmes d’indexation | Autorisez autant que possible l’indexation de vos pages par les moteurs de recherche. Évitez d’utiliser la balise Meta noindex. |
| Anciennes versions du protocole | Les anciennes versions du protocole sont vulnérables. Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole. |
| Éléments de sécurité mélangés | Intégrez uniquement du contenu HTTPS sur les pages HTTPS. |
| Contenu différent sur le HTTP et le HTTPS | Assurez-vous que le contenu de vos sites HTTP et HTTPS est le même. |
| Erreurs de code d’état HTTP sur le HTTPS | Vérifiez que votre site renvoie le bon code d’état HTTP. Par exemple, 200 (OK) pour les pages accessibles, ou 404 ou 410 pour les pages qui n’existent pas. |
Conseils supplémentaires
Pour obtenir d’autres conseils sur l’utilisation de pages HTTPS sur votre site, consultez les questions fréquentes relatives à la migration HTTPS.
Passer du protocole HTTP au protocole HTTPS
Si vous faites passer votre site du protocole HTTP au protocole HTTPS, Google considère cela comme un déplacement de site avec changement d’URL. Cela peut affecter temporairement vos chiffres de trafic. Pour en savoir plus, consultez la page de présentation des déplacements de sites.
Ajoutez la nouvelle propriété HTTPS à la Search Console. La Search Console traite séparément les protocoles HTTP et HTTPS ; les données de ces propriétés ne sont pas partagées dans la Search Console.
Consultez la page de dépannage pour les déplacements de sitemaps pour résoudre vos problèmes de migration.
Lancez-vous dans une nouvelle aventure avec DoingBuzz
Découvrez une multitude d'offres d'emploi et de bourses d'études adaptées à votre parcours.
Plus d'articles
Découvrez les Avantages de l’Abonnement DOINGBUZZ PREMIUM
Célébrons Ensemble Doingbuzz – Merci pour votre Soutien Depuis 2015, Bonne Année 2024 !
8 plugins CRM WordPress pour vous aider à gérer votre business
URL WordPress – Acces tableau de bords – Nom de domaine redirigé PIRATE
Le 3FPT offre des bons de formation qualifiante
CONCOURS DE LA DOUANE : PROCÉDURE A SUIVRE
Les positions stratégiques pour donner l’orgasme à sa partenaire
Phpstorm licence key new qui marche à 100% jusqu’à 2024
Connaître le nombre de visiteurs d’un site internet
