Migrer vers le HTTPS : les risques à prévoir, les bénéfices à attendre

Migrer vers le HTTPS : les risques à prévoir, les bénéfices à attendre Google pousse les sites web à adopter un protocole plus sécurisé sur toutes leurs pages. Trois consultants SEO partagent leurs conseils techniques pour réussir l'opération.

C'est un fait, Google cherche à imposer aux sites Web de passer au HTTPS. Son moteur promet un bonus SEO aux pages en HTTPS et son navigateur a commencé à générer des nouvelles alertes lorsque certaines pages n'utilisent pas le chiffrement. Mais migrer vers ce protocole sécurisé peut être complexe. Quels sont les problèmes qui attendent les sites ? Les avantages ? Les conséquences en SEO sont-elles toujours bénéfiques ? Certains sites doivent-ils plus se presser que d'autres ? Le JDN a posé ces questions à trois consultants SEO, tous experts en technique.

Un boost SEO, vraiment ?

Google a annoncé en août 2014 que les pages en HTTPS allaient bénéficier d'un petit bonus SEO. Les professionnels du référencement naturel ont-il pu observer la prime promise ? "Il ne faut pas s'attendre à avoir de bien meilleures performances en SEO en optant pour le HTTPS", prévient Madeline Pinthon, consultante SEO chez iProspect. "Il n'y a pas de progression systématique pour les sites passés au HTTPS. Lorsqu'on en observe une, elle est à peine visible. Et s'il y a de plus en plus de résultats HTTPS en première page, c'est parce que de plus en plus de sites sont passés au HTTPS", argumente-t-elle. L'agence Résonéo a pu effectuer plusieurs migrations vers le HTTPS, "et nous n'avons jamais vu rien de transcendant en termes de progression SEO", témoigne Aymeric Bouillat, consultant SEO et expert technique au sein de cette entreprise.

Madeline Pinthon, consultante SEO chez iProspect © M.P.

Serge Esteves, consultant SEO / Inbound, au sein de son entreprise CreaPulse, évoque lui un "léger coup de pouce", qu'il considère comme "non négligeable". Et d'après ce spécialiste, "il est fort possible que ce boost soit plus important à l'avenir". Il y a également ce qu'il appelle un impact SEO indirect. Lorsqu'un internaute verra sur Chrome qu'il est arrivé sur un site pas assez sécurisé, il pourra revenir sur les résultats de Google pour en trouver un autre mieux sécurisé. "Google prendra en compte ce signal d'insatisfaction. Et cela aura une conséquence négative sur la position de la page mal sécurisée dans les résultats", avance le consultant de CreaPulse.

Google privilégie le HTTPS pour l'indexation

Google l'avait aussi annoncé, et c'est là bien observable dans ses résultats : son indexation privilégie désormais le HTTPS. Cela veut dire, avait-il alors expliqué, que si le même contenu peut être accessible avec une URL HTTP et une URL HTTPS, il va "généralement" choisir d'indexer l'URL HTTPS.

"Google tente de crawler par défaut les sites en HTTPS, ce qui peut avoir des conséquences importantes", a pu observer Aymeric Bouillat. "Par exemple, un de nos clients avait un site accessible en HTTPS, mais les ressources externes (CSS, JS,…) étaient appelées en HTTP. Le site sécurisé a pris la place du site non sécurisé sur la requête du nom de la marque dans les SERP. Mais comme les ressources non HTTPS n'étaient pas chargées, c'était une page blanche avec du texte noir sur blanc, sans aucune feuille de style, qui étaient indexée. "

Des bénéfices à chercher au-delà du SEO

Les avis des consultants n'invitent donc pas à motiver une migration exclusivement pour du SEO. D'autres raisons peuvent cependant pousser à se lancer, sans compter que des développements (pour les Progressive Web Apps par exemple) pourront aussi requérir le protocole sécurisé. Evidemment, parmi ces raisons, la sécurité vient tout de suite à l'esprit de Serge Esteves, mais aussi l'image de marque.

Aymeric Bouillat, consultant SEO chez Résonéo. © A.B.

En effet, que penser d'un site qui générera des alertes de sécurité  sur le navigateur ? "Le petit cadenas vert qui s'affiche lorsque des pages sont en HTTPS sera toujours plus rassurant pour l'internaute. Surtout s'il s'agit d'un site d'e-commerce", fait-il remarquer. D'ailleurs, pour ce spécialiste, passer en HTTPS devrait être "une évidence pour les sites marchands". Ils ont même "intérêt à se dépêcher de migrer vers le HTTPS, car ils seront justement les premiers à être marqués comme non-sécurisés sur Chrome", pense le consultant. Quant aux autres sites, "ils doivent aussi s'y préparer" car au final "toutes les pages non HTTPS généreront des alertes sur Chrome".

Des soucis techniques à éviter

Passer ses pages au HTTPS correspond à une migration de site. Donc, "comme toute migration, elle ne doit pas avoir lieu dans des moments critiques. Par exemple, un site e-commerce ne doit pas décider de changer de protocole en pleine période de soldes", rappelle Madeline Pinthon. "Le problème technique le plus souvent rencontré lors des migrations", a pu remarquer de son côté le spécialiste Aymeric Bouillat, "c'est celui des chaînes de redirections, et le fait de faire découvrir à Google des URL intermédiaires non pertinentes. Par exemple, une ancienne redirection 301 doit rediriger directement vers la bonne URL en HTTPS, et non vers l'ancienne URL en HTTP, puis la bonne URL en HTTPS. Il faut donc bien veiller à mettre à jour ses redirections existantes. En parallèle, on n'oubliera pas que la présence d'une URL canonique en HTTPS facilite la digestion de la migration par Google."

Problèmes des URL dupliquées

Le temps que toutes les redirections soient prises en compte, il y a une période pendant laquelle Google va faire face à des URL dupliquées : une première URL en HTTP non re-crawlée, et une deuxième URL en HTTPS avec le même contenu. "Pour les sites ayant un volume important d'URL, cela peut entraîner une baisse temporaire de trafic : jusqu'à 15 à 20% pendant plusieurs jours", prévient le consultant de Résonéo." C'est pour cela que je recommande en général de ne pas inclure tout de suite le sitemap XML du site sécurisé dans la Search Console, afin de permettre à Google de découvrir directement les URL sécurisées via les redirections 301, et non pas via le crawl du site en HTTPS ou son sitemap, afin de limiter au maximum cette duplication temporaire."

Les prix à payer

Concernant les coûts de la migration vers le HTTPS, ceux-ci varient notamment selon les différents types de certificats, rappelle Madeline Pinthon : "Tous les sites n'ont pas besoin d'un certificat de type EV (Extended Validation). Un DV (Domain Validation) gratuit peut suffire. Il faut en tout cas bien vérifier la validité du certificat pour ne pas être bloqué par un navigateur ou un pare-feu."

Serge Esteves, consultant SEO chez CreaPulse. © S.E.

Par ailleurs, le passage au HTTPS est souvent accusé de faire ralentir les sites. Ce que Madeline Pinthon confirme car "le HTTPS demande des négociations supplémentaires entre le client et le serveur, et cela peut pénaliser la rapidité du site. Mais les performances peuvent être largement améliorées avec le HTTP2 ou le SPDY, des protocoles qui peuvent être mis en place après avoir migré vers le HTTPS…"

Dernier point important, s'il faut passer au SSL, il ne faut évidemment pas le faire trop hâtivement. "Les migrations faites dans l'urgence risquent d'être plus néfastes qu'une mention "not secure" dans la barre d'URL", rappelle Aymeric Bouillat. "Et il y a parfois beaucoup mieux à faire pour améliorer son SEO que de passer au HTTPS. Par exemple, penser que le fait de passer un site en JS, difficilement crawlable vers le HTTPS apporterait un quelconque gain reviendrait à mettre un pansement sur une jambe de bois."