Sécuriser votre site à l'aide du protocole HTTPS

HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l'intégrité ainsi que la confidentialité des données lors du transfert d'informations entre l'ordinateur de l'internaute et le site. Les internautes s'attendent à bénéficier d'une expérience en ligne sécurisée et confidentielle lorsqu'ils consultent un site Web. Nous vous conseillons d'adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web en toute sécurité, quel que soit son contenu.

Les données envoyées à l'aide du protocole HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui offre trois niveaux clés de protection :

  1. Le chiffrement : consiste à coder les données échangées pour les protéger des interceptions illicites. En d'autres termes, lorsqu'un internaute navigue sur un site Web, personne ne peut "écouter" ses conversations, suivre ses activités sur diverses pages ni voler ses informations.
  2. L'intégrité des données : les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées.
  3. L'authentification : prouve que les internautes communiquent avec le bon site Web. L'authentification protège contre les attaques MTIM (man in the middle) et instaure un climat de confiance pour l'internaute qui se traduit par d'autres retombées positives pour votre activité.

Bonnes pratiques d'implémentation du protocole HTTPS

Utiliser de solides certificats de sécurité

L'activation du protocole HTTPS pour votre site implique l'obtention d'un certificat de sécurité. Ce certificat est délivré par une autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient bien à votre entreprise, et protège ainsi vos clients contre les attaques MITM. Lors de la configuration de votre certificat, assurez-vous de bénéficier d'un haut niveau de sécurité avec une clé de 2 048 bits. Si vous avez déjà un certificat avec une clé plus faible (1 024 bits), passez à 2 048 bits. Lorsque vous choisissez le certificat de votre site, tenez compte de ce qui suit :

  • Obtenez votre certificat auprès d'une autorité de certification fiable qui offre un service d'assistance technique.
  • Déterminez le type de certificat dont vous avez besoin parmi les suivants :
    • Un certificat simple pour une seule origine sécurisée (www.example.com)
    • Un certificat multi-domaine pour diverses origines sécurisées bien connues (www.example.com, cdn.example.com, example.co.uk)
    • Un certificat à caractère générique pour une origine sécurisée avec de nombreux sous-domaines dynamiques (a.example.com, b.example.com)

Utiliser des redirections permanentes côté serveur

Redirigez les internautes et les moteurs de recherche vers la page ou la ressource HTTPS à l'aide de redirections permanentes côté serveur.

Vérifier que vos pages HTTPS peuvent être explorées et indexées par Google

  • Utilisez l'outil d'inspection d'URL pour vérifier si Googlebot peut accéder à vos pages.
  • Ne bloquez pas vos pages HTTPS à l'aide de fichiers robots.txt.
  • N'incluez pas de balise noindex dans vos pages HTTPS.

Accepter le mécanisme HSTS

Nous recommandons aux sites HTTPS de prendre en charge le mécanisme HSTS (HTTP Strict Transport Security). Ce mécanisme indique au navigateur de demander automatiquement des pages qui utilisent le protocole HTTPS, même si l'utilisateur saisit http dans la barre d'adresse du navigateur. Il nous indique également de diffuser des URL sécurisées dans les résultats de recherche. Tout cela minimise le risque de diffuser du contenu non sécurisé à vos internautes.

Pour prendre en charge le mécanisme HSTS, utilisez un serveur Web compatible et activez la fonctionnalité.

Bien qu'il soit plus sécurisé, le mécanisme HSTS accroît la complexité de votre stratégie de restauration. Nous vous recommandons de l'activer comme suit :

  1. Déployez d'abord vos pages HTTPS sans le mécanisme HSTS.
  2. Commencez à envoyer des en-têtes HSTS avec un max-age court. Contrôlez le trafic provenant à la fois des utilisateurs et d'autres clients, ainsi que la performance des éléments dépendants, comme les annonces.
  3. Augmentez petit à petit le paramètre max-age pour HSTS.
  4. Si le mécanisme HSTS n'affecte pas vos internautes et les moteurs de recherche de manière négative, vous pouvez ajouter votre site à la liste de préchargement HSTS, utilisée par la plupart des principaux navigateurs. Vous renforcez ainsi la sécurité tout en améliorant les performances.

Éviter ces pièges courants

En procédant à la sécurisation de votre site à l'aide du protocole TLS, évitez les erreurs suivantes :

Erreurs courantes et solutions
Certificats arrivés à expiration Assurez-vous que votre certificat est toujours à jour.
Certificat enregistré pour un nom de site incorrect Vérifiez que vous avez obtenu un certificat pour tous les noms d'hôte utilisés par votre site. Par exemple, si votre certificat ne couvre que www.example.com, un visiteur qui charge votre site en utilisant seulement example.com (sans le préfixe www.) sera bloqué par une erreur de correspondance de nom de certificat.
Non-compatibilité avec l'Indication du nom du serveur (Server name indication, SNI) Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. La SNI est compatible avec tous les navigateurs récents. Toutefois, vous aurez besoin d'une adresse IP dédiée pour les navigateurs plus anciens.
Problèmes d'exploration Ne bloquez pas l'exploration de votre site HTTPS à l'aide du fichier robots.txt. En savoir plus
Problèmes d'indexation Autorisez autant que possible l'indexation de vos pages par les moteurs de recherche. N'utilisez pas la balise noindex.
Anciennes versions du protocole Les anciennes versions du protocole sont vulnérables. Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole.
Éléments de sécurité mélangés Intégrez uniquement du contenu HTTPS sur les pages HTTPS.
Contenu différent sur le HTTP et le HTTPS Assurez-vous que le contenu de vos sites HTTP et HTTPS est le même.
Erreurs de code d'état HTTP sur un site HTTPS Vérifiez que votre site renvoie le bon code d'état HTTP. Par exemple, 200 OK pour les pages accessibles, ou encore 404 ou 410 pour les pages qui n'existent pas.

Passer du protocole HTTP au protocole HTTPS

Si vous faites passer votre site du protocole HTTP au protocole HTTPS, Google considère cela comme un déplacement de site avec changement d'URL. Cela peut affecter temporairement vos chiffres de trafic. En savoir plus sur les recommandations pour toutes les migrations de site.

Assurez-vous d'ajouter la propriété HTTPS à la Search Console. La Search Console traite séparément les protocoles HTTP et HTTPS. Les données de ces propriétés ne sont pas partagées dans la Search Console.

Pour obtenir d'autres conseils sur l'utilisation de pages HTTPS sur votre site, consultez les questions fréquentes relatives à la migration HTTPS.

Ressources supplémentaires sur la mise en œuvre du protocole TLS

Voici d'autres ressources concernant la mise en œuvre du protocole TLS sur votre site :