Recherche
Effacer la recherche
Fermer la recherche
Applications Google
Menu principal
true

Sécuriser votre site à l'aide du protocole HTTPS

Protéger votre site et les internautes

Le protocole HTTPS, qu'est-ce que c'est ?

HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l'intégrité ainsi que la confidentialité des données lors du transfert d'informations entre l'ordinateur de l'internaute et le site. Les internautes s'attendent à bénéficier d'une expérience en ligne sécurisée et confidentielle lorsqu'ils consultent un site Web. Nous vous encourageons à adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web en toute sécurité, quel que soit son contenu.

Les données envoyées à l'aide du protocole HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui offre trois niveaux clés de protection :

  1. Le chiffrement : consiste à coder les données échangées pour les protéger des interceptions illicites. Cela signifie que lorsqu'un internaute navigue sur un site Web, personne ne peut "écouter" ses conversations, suivre ses activités sur diverses pages ni voler ses informations.
  2. L'intégrité des données : les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées.
  3. L'authentification : prouve que les internautes communiquent avec le bon site Web. Cette méthode protège contre les attaques des intercepteurs et instaure un climat de confiance pour l'internaute qui se traduit par d'autres retombées pour votre activité.

Bonnes pratiques de mise en œuvre du protocole HTTPS

Utiliser de solides certificats de sécurité

L'activation du protocole HTTPS pour votre site implique l'obtention d'un certificat de sécurité. Ce dernier est délivré par l'autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient bien à votre entreprise, et protège ainsi vos clients d'attaques des intercepteurs. Lors de la configuration de votre certificat, assurez-vous de bénéficier d'un haut niveau de sécurité avec une clé de 2 048 bits. Si vous avez déjà un certificat avec une clé plus faible (1 024 bits), passez à 2 048 bits. Lorsque vous choisissez le certificat de votre site, tenez compte de ce qui suit :

  • Obtenez votre certificat auprès d'une autorité de certification fiable qui offre un service d'assistance technique.
  • Déterminez le type de certificat dont vous avez besoin :
    • Un certificat simple pour une seule origine sécurisée (par exemple, www.example.com)
    • Un certificat multi-domaine pour de multiples origines sécurisées bien connues (par exemple, www.example.com, cdn.example.com, example.co.uk)
    • Un certificat à caractère générique pour une origine sécurisée avec de nombreux sous-domaines dynamiques (par exemple, a.example.com, b.example.com)

Utiliser des redirections 301 côté serveur

Redirigez les internautes et les moteurs de recherche vers la page ou la ressource HTTPS à l'aide de redirections HTTP 301 côté serveur.

Vérifier que vos pages HTTPS peuvent être explorées et indexées par Google

  • Ne bloquez pas vos pages HTTPS à l'aide de fichiers robots.txt.
  • N'incluez pas de balise Meta noindex dans vos pages HTTPS.
  • Utilisez l'outil Explorer comme Google pour voir si Googlebot peut accéder à vos pages.

Accepter le mécanisme HSTS

Nous recommandons aux sites HTTPS de prendre en charge le mécanisme HSTS (HTTP Strict Transport Security). Ce mécanisme indique au navigateur de demander automatiquement des pages qui utilisent le protocole HTTPS, même si l'utilisateur saisit http dans la barre d'adresse du navigateur. Il nous indique également de diffuser des URL sécurisées dans les résultats de recherche. Tout cela minimise le risque de diffuser du contenu non sécurisé à vos internautes.

Pour prendre en charge le mécanisme HSTS, utilisez un serveur Web compatible et activez la fonctionnalité.

Bien que plus sécurisé, le mécanisme HSTS complexifie votre stratégie de restauration. Nous vous recommandons de l'activer comme suit :

  1. Déployez d'abord vos pages HTTPS sans le mécanisme HSTS.
  2. Commencez à envoyer des en-têtes HSTS avec un "max-age" court. Contrôlez le trafic provenant à la fois des utilisateurs et d'autres clients, ainsi que la performance des éléments dépendants, comme les annonces.
  3. Augmentez progressivement le "max-age" HSTS.
  4. Si le mécanisme HSTS n'affecte pas vos internautes et les moteurs de recherche de manière négative, vous pouvez, si vous le souhaitez, demander l'ajout de votre site à la liste de préchargement HSTS utilisée par la plupart des principaux navigateurs.

Penser au préchargement HSTS

Si vous activez le mécanisme HSTS, vous pouvez éventuellement accepter le préchargement HSTS pour une sécurité accrue et de meilleures performances. Pour l'activer, consultez hstspreload.org et suivez les conditions d'envoi indiquées pour votre site.

Éviter ces pièges courants

En procédant à la sécurisation de votre site à l'aide du protocole TLS, évitez les erreurs suivantes :

Problème Action
Certificats expirés Assurez-vous que votre certificat est toujours à jour.
Certificat enregistré pour un nom de site incorrect Vérifiez que vous avez obtenu un certificat pour tous les noms d'hôte utilisés par votre site. Par exemple, si votre certificat ne couvre que www.example.com, un visiteur qui accède à votre site en utilisant seulement example.com (sans le préfixe "www.") sera bloqué par une erreur de correspondance de nom de certificat.
Non-compatibilité avec l'Indication du nom du serveur (Server name indication, SNI) Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. SNI est supportée par tous les navigateurs modernes. Cependant, vous aurez besoin d'une adresse IP dédiée si vous devez accepter des navigateurs plus anciens.
Problèmes d'exploration Ne bloquez pas l'exploration de votre site HTTPS à l'aide du fichier robots.txt.
Problèmes d'indexation Autorisez autant que possible l'indexation de vos pages par les moteurs de recherche. Évitez d'utiliser la balise Meta noindex.
Anciennes versions du protocole Les anciennes versions du protocole sont vulnérables. Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole.
Éléments de sécurité mélangés Intégrez uniquement du contenu HTTPS sur les pages HTTPS.
Contenu différent sur le HTTP et le HTTPS Assurez-vous que le contenu de vos sites HTTP et HTTPS est le même.
Erreurs de code d'état HTTP sur le HTTPS Vérifiez que votre site renvoie le bon code d'état HTTP. Par exemple, 200 (OK) pour les pages accessibles, ou 404 ou 410 pour les pages qui n'existent pas.

Conseils supplémentaires

Pour obtenir d'autres conseils sur l'utilisation de pages HTTPS sur votre site, consultez les questions fréquentes relatives à la migration HTTPS.

Passer du protocole HTTP au protocole HTTPS

Si vous faites passer votre site du protocole HTTP au protocole HTTPS, Google considère cela comme un déplacement de site avec changement d'URL. Cela peut affecter temporairement vos chiffres de trafic. Pour en savoir plus, consultez la page de présentation des déplacements de sites.

Ajoutez la propriété HTTPS à la Search Console. Cette dernière traite séparément les pages HTTP et HTTPS. Les données de ces propriétés ne sont pas partagées dans la Search Console. Aussi, si vous avez des pages dans les deux protocoles, vous devez avoir des propriétés distinctes dans la Search Console.

Autres informations

Pour en savoir plus sur la mise en œuvre du protocole TLS sur votre site, consultez les ressources suivantes :

Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?