Google vient de lacher une petite bombe dans le milieu du SEO (ça faisait longtemps), en annonçant que les sites en HTTPS seraient mieux référencés que les autres… On regarde ça d’un peu plus près…

HTTPS favorise le référencement

Hier, Google annonce la bouche en coeur que les sites en HTTPS bénéficieront d’un meilleur positionnement dans les SERP. L’objectif étant, bien entendu, de rendre le web plus sur… Aujourd’hui, seulement 1 % des requêtes sont affectées, mais Google prévient que la tendance sera croissante. Si, pour l’instant, l’impact sur le positionnement est mineur, il est possible que ce facteur soit revu à la hausse dans les mois à venir. De nombreux webmasters se voient donc déjà proposer un site en full-https.

Une transition toute simple ?

La question qui tue, et la réponse qui tue : oui, et non. Il faut ici prendre plusieurs facteurs en compte :

  • sur quel type de serveur votre site est hébergé
  • combien de pages vous avez à sécuriser
  • la nature de votre site

En effet, le plus simple resterait de mettre en place une redirection 301 sur toutes vos pages, avec un .htaccess par exemple si vous êtes sur Apache. Seulement, il ne faut pas oublier que, le temps que Google digère cette redirection, et réanalyse toutes vos pages, votre positionnement dans les SERP va prendre une claque (et pas une petite). Bref, il faut descendre, avant de remonter.

Globalement, il faut donc prévoir une grosse redirection (car google considère que http://www.monsite.tld et https://www.monsite.tld sont deux adresses différentes, donc attention au Duplicate Content…), un certificat de type Wildcard si vous avez du contenu provenant d’un sous-domaine, et de revoir toutes vos urls, liens et contenus, car si vous importez du contenu sur une page HTTPS en HTTP, vous allez avoir une belle alerte coté navigateur… Si vous avez beaucoup de pages, cela complique donc tout de suite les choses…

Regardons à présent quelques petites subtilités pour voir si la transition vaut vraiment la peine d’être menée à son terme…

Le cas des serveurs mutualisés

Un serveur mutualisé partage ses ressources entre plusieurs sites. Pour le propriétaire du site hébergé sur ce type de serveur, ça veut dire « pas d’accès à la configuration », « pas de possibilité d’avoir une IP dédiée », bref, « pas de SSL« . Donc, à moins de migrer vers un serveur dédié, « pas de bras, pas de chocolat »…

Et les ressources ?

Servir une page en HTTPS, pour un serveur, ça veut dire d’abord : la chiffrer. Si votre site n’a pas énormément de connexions simultanée, pas de souci. Mais si vous faites plus de trafic, le processeur de votre machine va tirer la langue, car c’est lui qui va devoir chiffrer le contenu de votre page grâce au certificat SSL. Le déchiffrage, lui, se passe côté client (navigateur). En résumé : gros accroissement de la charge pour le proc de votre machine… Et un temps de chargement qui correspond (avec un first-byte delivered qui traine).

Le type de certificat sera-t-il pris en compte ?

Un bref rappel des types de certificats SSL qu’on trouve sur le marché :

  • les domain-validated : l’autorité de certification qui le délivre ne vérifie qu’une seule chose : que vous ayez la main sur le domaine à sécuriser
  • les 3 facteurs : l’autorité de certification vérifie l’existence de votre société, le contrôle du domaine, et la commande de votre certificat
  • les certificats EV : ce sont ceux qui affichent une barre verte dans votre navigateur. Plus d’une dizaine de contrôle. Beaucoup plus onéreux (on peut passer le millier d’euros, facilement), plus dur à obtenir

Donc, pour répondre simplement à la question posée : non, le type de certificat n’aura pas d’incidence. Un domain-validated ne coûte qu’une dizaine d’euros pour les premiers prix, l’argument qu’on trouve aujourd’hui comme quoi cette mesure de google pénalise les petits sites ne tient donc pas vraiment la route.

Le type de site

Vous gérez un site E-commerce ? Un site où vos utilisateurs peuvent se connecter ? Ou envoyer des messages ? Vous devriez déjà avoir mis du HTTPS sur les pages sensibles… Un minimum de sécurité ne fait pas de mal. Mais de là à sécuriser toutes les pages, il y a de la marge. Chiffrer une page statique, ça n’a absolument aucun sens. Ca n’apporte aucune sécurité supplémentaire. Maintenant, il est vrai que votre hébergeur, ou un DSI peu scrupuleux (dans un hôtel par exemple) pourrait rajouter du contenu (des pubs) à vos pages lors d’une connexion, mais là, on tombe dans la paranoïa.

Résumé de l’impact du passage en full HTTPS

Le bilan qui pique !

  • vous allez devoir revérifier tout votre contenu : lien absolus, images, css, scripts, import des images de fond css, police de caractère…
  • vous allez perdre tous vos like, +1 etc… Les utilisateurs de vos réseaux sociaux ne vont pas aimer, et vous repartez de zéro en ce qui concerne la notoriété apparente de vos pages…
  • votre serveur va accuser le coup, car plus de travail pour chiffrer, livrer la chaine de certification intermédiaire etc
  • tous vos liens, même avec une 301, n’auront plus la même valeur
  • si vous utilisez un CDN, il vous faudra un certificat de type Wildcard, ou un multi-SAN : le tarif est beaucoup plus élevé que pour un certificat standard, même pour un domain-validated
  • si vous hébergez plusieurs sites sur le même serveur, il vous faudra autant d’IP que de certificats (à moins de prendre un multi-SAN, mais les domaines sécurisés seront visibles par tout le monde, pas génial si vous hébergez des sites dans la même niche…).
  • il faudra re-déclarer un site dans les Google Webmaster tools…
  • vous allez gagner un avantage dérisoire en terme de positionnement…

Enfin, l’impact sur les campagnes Adwords en cours est encore à déterminer : Olivier Duffez vient de lancer un appel sur WRI pour en savoir plus à ce sujet.

Dois-je mettre mon site en https ?

Mon conseil est simple : un site doit être suffisamment sécurisé pour ses utilisateurs. Donc, cela veut dire : chiffrer les pages de paiement, de contact, de connexion. Mais chiffrer les pages statiques, ça n’a pas de sens, ça n’apporte pas de valeur ajoutée : si votre site est imposant, et que vous n’utilisez pas de CMS, le rapport coût/bénéfice est tout simplement négatif. Et l’impact dans les SERP étant très faible, ça ne vaut probablement pas la peine de se pencher sur cette problématique.

Avec un CMS, ou un site dynamique, il serait envisageable de remplacer toute les chaines de caractères de type http://mondomaine.tld par https//mondomaine.tld, avec une requête SQL. Mais si vous avez développé un site statique, les remplacements ne vont pas être facilités (travail rébarbatif en vue !). Bref, autant consacrer son énergie à créer du contenu de qualité, faire du link-baiting, ou aller chasser du gros BL.

Il faudra cependant surveiller cette tendance avec beaucoup d’intérêts dans les mois à venir. Si Google devient autorité de certification SSL, il y a fort à parier que les sites sécurisés par un certificat Google auront le vent en poupe…

 

A propos de l'auteur
Charles Annoni

Charles Annoni est chef de projet web depuis 2008. Formateur en référencement naturel, E-commerce et Webmarketing (Groupe FIM, AIFCC, IAE de Caen), il est également Webmaster Freelance et accompagne les entreprises dans leur développement sur le web.

5 réflexions au sujet de “Les sites en HTTPS seront mieux référencés”

  1. Finalement je pensais passer mon site vers en https mais je vais attendre un peu quand je vois tout ce que cela implique en matière de référencement, de redirection et de remise à zéro des compteurs sur les réseau sociaux. Peut-être que dans quelque temps, Google proposera une solution (payante) qui permettra de simplifier la migration ?

    Répondre
    • Oui, ils sont capables de ce coup là. Ce qui n’est pas normal, clairement, c’est de communiquer sur le sujet (tout le monde s’affole) sans prévenir de la conduite à tenir pour ne pas plomber son référencement…

      Répondre
  2. Bonjour Charles,

    Google nous surprendra toujours (ou pas) avec ses considérations douteuses, car autant pour un site marchand ou encore un site sur lequel il y a des échanges de données personnelles ou sensibles le https se justifie, autant ce n’est absolument pas le cas avec les autres.
    Le pire dans tout cela, c’est qu’Adsense déconseille vivement de passer au https, sous peine de voir ses revenus fondre comme neige au soleil!
    Quant à votre remarque dans votre réponse à Vincent, je pense que Google se moque totalement des conséquences du passage de http à https sur nos sites et encore plus de ses incidences sur notre référencement.
    J’irai même plus loin: qui nous dit qu’il ne cherche justement pas à tout chambouler?
    Quant à la marche à suivre pour passer un site WordPress de http à https, je vous propose de lire l’article de mon ami Patrice sur le sujet: https://www.sitepenalise.fr/passer-blog-wordpress-en-https/

    Cordialement,

    Bruno

    Répondre
  3. Bonjour,

    Selon une étude de searchmetrics, il n’y aurait pas (encore) de boost en positionnement lorsque l’on passe son site en https. Au contraire, le fait d’utiliser des redirections aura un effet négatif sur le référencement au moins sur le court terme (et ça c’est si on fait pas de bêtises en passant en https)

    Répondre
    • Bonjour Amaury, c’est même pire que ça, puisqu’on a vu des cas où le passage en full Https a généré des bugs, et que le site a été pénalisé par la suite. La team de John Muller a fixé rapidement le problème, mais l’incident a rapidement fait le tour de la sphère SEO… Après, oui, les 301 ne font pas tout, il faut compter un à deux mois pour que le contenu soit réindexé proprement…

      Répondre

Laisser un commentaire

J’accepte les conditions générales d'utilisation et la politique de confidentialité