5 mythes concernant la migration vers HTTPS

SSL : ce qu'il faut savoir avant de migrer vers HTTPS Pour éviter certaines déceptions ou complications, zoom sur ce qu'il faut savoir avant d'installer un certificat SSL sur un site Web.

Bon nombre de géants du Web chiffrent désormais les pages de leurs sites grâce au protocole SSL (qu'on devrait d'ailleurs désormais appeler TLS). Google l'a ainsi, par exemple, mis en place sur ses pages de résultats. Le moteur a d'ailleurs annoncé cet été qu'il accorderait un bonus SEO aux sites qui feraient comme lui et migreraient vers HTTPS. Certains vont donc être tentés. Avant qu'ils se lancent, voici plusieurs mythes qu'il vaut mieux ne pas croire au sujet de cette migration.

1- Pas de gain SEO

Passer au HTTPS ne va pas propulser automatiquement les pages d'un site en tête des résultats remontés par Google. Le moteur a certes annoncé une petite prime, mais ce bonus a clairement été présenté comme mimine. De plus, un mois après l'annonce de Google, une étude n'avait relevé aucun changement SEO sur les pages passées en SSL, sur des centaines de milliers de requêtes observées et analysées en détails. Même si cette étude mériterait d'être actualisée, il serait de toute manière pour le moins inattendu que Google accorde subitement un poids SEO majeur aux certificats SSL.

D'autres raisons peuvent motiver le passage au HTTPS, et bien mieux justifier le ROI d'une migration. "Lorsque je l'ai déployé, les beta testeurs de mon service d'hébergement ont applaudi. Le SSL sécurise un site, et je pense que cela peut mettre en confiance les clients comme les prospects", explique Fabrice Ducarme, webmaster expérimenté et formateur WordPress, qui l'a déployé pour son site WPServeur.net - qui proposera en janvier prochain des services d'hébergement de sites WordPress. Selon lui, si cette approbation des clients constitue déjà un retour sur investissement à considérer, "le gain SEO du passage en HTTPS reste à prouver".

2- Pas de chute de la webperf 

© alphaspirit fotolia
Le SSL ne plombe pas nécessairement la performance web et la rapidité des pages d'un site.... © © alphaspirit - Fotolia

D'après certaines légendes, le passage au HTTPS conduirait inévitablement à un ralentissement conséquent du site web, avec une inévitable chute de sa "webperf". C'est possible, mais ce n'est pas toujours vrai. "Je ne l'ai pas constaté", témoigne par exemple Fabrice Ducarme, qui affirme ne pas avoir vu baisser ses statistiques sur l'outil de mesure spécialisé de Pingdom.

3- Pas de réapparition des mots clés not provided dans Google Analytics

Une autre légende fait croire que migrer vers le SSL va permettre de récupérer les mots clés devenus "not provided" dans Google Analytics. C'est faux, même si c'est vrai que cela aurait normalement dû être le cas.

En effet, le fameux referer, qui permet aux outils de web analytics d'indiquer la source d'une visite ne peut être connu quand le visiteur passe d'une page HTTPS à un page HTTP. Mais... pas s'il passe d'une page HTTPS à une autre page HTTPS ! Dans ce dernier cas de figure, le referer est bien transmis, et peut apparaître dans les outils de web analytics. C'est le cas lorsqu'une page de recherche en HTTPS de Bing envoie un internaute sur une page également HTTPS. De quoi motiver la migration vers SSL des sites présents aux Etats-Unis, où Bing a une part de marché plus conséquente qu'ici.

Il existe plusieurs types de certificats SSL

Mais, hélas pour les sites visant seulement la France, qui ne doivent composer qu'avec Google, le moteur de ce dernier a opté pour un fonctionnement différent et original. Il fait passer les visiteurs par une page intermédiaire, ce qui permet aux sites qui ont payé leur référencement via AdWords d'avoir toutes les statistiques, mais pas ceux naturellement référencés. Ces derniers n'auront que les mots clés "not provided". Seule petite consolation, Google leur indique tout de même si le trafic vient de son moteur, ce qu'il aurait pu ne pas faire, car normalement, ce trafic aurait dû normalement apparaître comme direct (c'est d'ailleurs le cas avec le trafic issu des recherches chiffrées dans Safari sur iOS par exemple). Sur ce sujet, tout est bien expliqué en détail, mais en anglais, dans un billet posté sur le blog de Yoast.

4- Pas d'installation et de certificat nécessairement hors de prix

Dernier mythe qui mérite d'être cassé, ou du moins relativiser : les prix des certificats SSL, et de leur installation, qui reviendraient toujours trop chers. Ce n'est pas forcément exact. Ce qui est vrai, c'est qu'il y a de nombreuses offres, avec des prix très variés... et pas toujours justifiés ou intéressants.

yoast
Le site de Yoast a opté pour un certificat de type "validation étendue", qui apparaît en vert dans la barre d'adresse... © Capture Yoast.com

Il faut cependant avoir en tête les différences entre les offres. Il y a notamment plusieurs niveaux de sécurisation. Certains certificats peuvent être délivrés en un quart d'heure pour un site, d'autres nécessitent plusieurs jours, plusieurs documents et plusieurs examens. Les certificats SSL à Validation Etendue ("Extended Validation") sont les plus chers. Les sites qui les utilisent sont reconnaissables car la barre d'adresse des navigateurs affiche un vert différent, bien repérable, lorsqu'on les visite (voir l'exemple en capture ci-dessus avec Chrome). Ces certificats à Validation Etendue peuvent coûter plusieurs centaines de dollars par an, et évidemment, ce n'est pas un investissement rentable pour tous les sites.

Si les prix montent haut, ils peuvent aussi descendre assez bas. Pour son service d'hébergement, Fabrice Ducarme, qui est également connu pour son site Wpformation.com, a déboursé 9 dollars. Une somme qui lui permet de bénéficier d'un certificat pendant un an. Sans offrir une inutile sécurisation maximale, ce certificat Comodo répond au besoin, et offre un ROI intéressant. "Et encore, son prix a augmenté suite à l'annonce de Google d'accorder un bonus SEO. Ils ont été malins", remarque l'auteur du site Wpformation.com. C'est tout ce que cela lui a coûté : il a réalisé tout le déploiement tout seul, sur une installation WordPress/Apache, sur un serveur dédié donc (il détaille d'ailleurs sur son site toutes les manipulations techniques à réaliser, de manière très claire et très complète pour cette configuration assez classique).

De graves failles de sécurité ont récemment affecté SSL

Ce prix n'est pas accessible à tout le monde. Par exemple, les sites hébergés sur un serveur mutualisé chez OVH doivent payer 50 euros HT par an pour utiliser le seul certificat SSL proposé (et installé) par OVH. Ils peuvent aussi changer d'hébergement et opter pour un serveur dédié, plus souple, plus performant, mais un peu plus cher. Evidemment, il existe encore beaucoup d'autres offres, à chercher et comparer du côté des regitrars ou des hébergeurs notamment.

5 - Pas la fin des problèmes de sécurité

Utiliser SSL va mieux protéger les communications entre un site et l'internaute, mais ne met nullement à l'abri de toutes les menaces de sécurité. Plusieurs failles concernant ce protocole SSL ont pu être exploitées ces dernières années, qu'il s'agisse d'exploits de chercheurs ou encore de pirates volant les certificats.

D'ailleurs, ironie du sort, les trois plus grosses failles de cette année 2014 auront toutes concerné ce protocole SSL, censé sécuriser les échanges. Il y a d'abord eu la faille à peine croyable "Goto fail" puis l'inquiétante "Heartbleed" et enfin récemment, la non moins redoutable "Poodle". Pour être sûr qu'un site avec SSL n'est pas exposé, la société spécialisée Qualys a mis en ligne un test gratuit assez efficace. Incontournable pour les sites ayant mis en place SSL, récemment... ou pas.

Référencement naturel / Bing