Définition
Le HTTP est un protocole de communication client-serveur développé pour le World Wide Web (www). Le protocole HTTPS (HyperText Transfer Protocol Secure) est la combinaison du HTTP avec un protocole de chiffrement (SSL ou TLS par exemple). Comme le HTTP, le HTTPS permet à l’internaute de faire des requêtes auprès de serveurs web pour récupérer de l’information et visualiser des sites web.
Si le HTTP a vu le jour avec les débuts du net, aujourd’hui, il laisse de plus en plus de place au HTTPS. Et pour cause ! Le HTTPS assure la confidentialité, l’intégrité et l’authentification des données lorsqu’elles circulent sur le réseau. Il devient donc impossible d’espionner ou de falsifier les informations échangées, tout en assurant l’identité du programme, de la personne ou de l’entreprise avec qui la communication est établie. C’est donc naturellement que la majorité des entreprises traitant des données sensibles (banques, assurances…) utilisent des protocoles HTTPS pour garantir une navigation sécurisée et confidentielle.
Si je reste en HTTP ?
Le piratage de site web concerne le plus souvent le vol de données confidentielles et sensibles. Qu’il s’agisse de données personnelles ou bancaires par exemple, il est primordial de les sécuriser. Un site en HTTP qui échange des données sensibles en clair sur le réseau expose ses utilisateurs à des failles de sécurité. En effet, une personne malveillante qui mettrait en place un dispositif d’écoute des paquets circulant sur le réseau pourrait en lire le contenu et accéder ainsi à des informations confidentielles. Les conséquences peuvent être désastreuses tant pour l’internaute (usurpation d’identité, vol de données bancaires…) que pour l’entreprise (image dégradée, pertes financières…)
Par ailleurs, depuis la démocratisation du HTTPS, un site non-sécurisé attise quasi-systématiquement la défiance de l’internaute, spécialement lorsqu’il s’agit de sites marchands. L’internaute préférera naturellement se diriger vers un site sécurisé. Aujourd’hui, tout ou presque se fait sur Internet. L’internaute peut réaliser ses opérations financières, déclarer ses impôts, payer ses factures… il est donc nécessaire qu’il se sente en confiance pour donner ces informations. Le HTTPS aide à établir cette relation de confiance. Il assure à l’internaute une navigation sécurisée et confidentielle.
Avantages/Pénalités Google
Avec l’appui de Google, le HTTPS tend à devenir la norme. Comme annoncé dès 2014, le moteur de recherche a inclus cette même année le HTTPS comme critère de calcul dans l’algorithme de classement.
Depuis Janvier 2017, la politique de sécurisation du web de Google a pris de la vitesse : désormais, Google Chrome signale les sites utilisant HTTP collectant des données confidentielles et notamment des mots de passe comme « non-sécurisés » et fait remonter une alerte. Pour accéder au site, l’internaute clique sur une mention certifiant qu’il comprend les risques qu’il encourt en allant sur le site. Cette procédure peut donc très facilement décourager les internautes d’aller sur des sites non sécurisés. Une baisse du trafic d’un site étant également un paramètre de l’algorithme de classement, le site entre alors dans un cercle vicieux.
Les étapes
Pour passer un site en protocole HTTPS, il faut suivre 4 étapes :
1) Obtenir un certificat de sécurité
Pour basculer sur le HTTPS, il faut un certificat de sécurité SSL/TLS disponibles à l’achat auprès d’autorités de certification. Il s’agit d’un fichier à installer sur votre hébergement. Ce fichier contient une clé de cryptage publique et va de paire avec une clé privée stockée de manière sécurisée sur votre serveur. Ces clés et certificats assurent le cryptage des données.
Le certificat doit être délivré auprès d’une Autorité de Certification et doit être renouvelé chaque année. Le coût du certificat dépendra du degré de vérification que va effectuer l’Autorité de Certification. Une vérification par email sera alors moins coûteuse qu’une vérification par courrier. De même, par courrier, les documents demandés pour la vérification de votre identité seront plus nombreux.
2) Installation du certificat
Vous devez installer votre certificat sur votre hébergement. Pour cette étape, si vous avez acheté votre certificat directement chez un hébergeur, il y a de forte chance qu’il procède à son installation. Dans le cas d’un serveur dédié, par exemple, votre prestataire d’infogérance se chargera généralement de l’installation si vous consentez à acheter votre certificat chez lui.
3) Rediriger l’intégralité des pages du site vers le mode sécurisé
Une fois le certificat installé, il faut procéder aux redirections de toutes les pages du site vers le mode sécurisé. Ce travail est nécessaire afin d’éviter qu’une même page puisse être consultée dans les deux modes HTTP et HTTPS.
Si votre prestataire ou vous même avez accès à la configuration de votre serveur, vous pourrez définir un règle de redirection automatique de toute les urls HTTP vers HTTPS.
4) Mettre à jour de Google search console
Une fois tout le travail de redirection et de mise à jour réalisée, il reste à prévenir les moteurs de recherche que le site est dorénavant HTTPS. Une mise à jour dans le Google Search Console est la dernière étape pour que votre site soit correctement référencé par les moteurs de recherche.
