Recherche
Effacer la recherche
Fermer la recherche
Applications Google
Menu principal

Sécuriser votre site à l'aide du protocole HTTPS

Le protocole HTTPS, qu'est-ce que c'est ?

HTTPS (Hypertext Transfer Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l'intégrité ainsi que la confidentialité des données lors du transfert d'informations entre l'ordinateur de l'internaute et le site. Les internautes s'attendent à bénéficier d'une expérience en ligne sécurisée et confidentielle lorsqu'ils consultent un site Web. Nous vous encourageons à adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web en toute sécurité, quel que soit son contenu.

Les données envoyées à l'aide du protocole HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui offre trois niveaux clés de protection :

  1. Le chiffrement : consiste à coder les données échangées pour les protéger des interceptions illicites. Cela signifie que lorsqu'un internaute navigue sur un site Web, personne ne peut "écouter" ses conversations, suivre ses activités sur diverses pages ni voler ses informations.
  2. L'intégrité des données : les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées.
  3. L'authentification : prouve que les internautes communiquent avec le bon site Web. Cette méthode protège contre les attaques des intercepteurs et instaure un climat de confiance pour l'internaute qui se traduit par d'autres retombées pour votre activité.

Bonnes pratiques de mise en œuvre du protocole HTTPS

Utiliser de solides certificats de sécurité

L'activation du protocole HTTPS pour votre site implique l'obtention d'un certificat de sécurité. Ce dernier est délivré par l'autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient bien à votre entreprise, et protège ainsi vos clients d'attaques des intercepteurs. Lors de la configuration de votre certificat, assurez-vous de bénéficier d'un haut niveau de sécurité avec une clé de 2 048 bits. Si vous avez déjà un certificat avec une clé plus faible (1 024 bits), passez à 2 048 bits. Lorsque vous choisissez le certificat de votre site, tenez compte de ce qui suit :

  • Obtenez votre certificat auprès d'une autorité de certification fiable qui offre un service d'assistance technique.
  • Déterminez le type de certificat dont vous avez besoin :
    • Un certificat simple pour une seule origine sécurisée (par exemple, www.example.com)
    • Un certificat multi-domaine pour de multiples origines sécurisées bien connues (par exemple, www.example.com, cdn.example.com, example.co.uk)
    • Un certificat à caractère générique pour une origine sécurisée avec de nombreux sous-domaines dynamiques (par exemple, a.example.com, b.example.com)

Utiliser des redirections 301 côté serveur

Redirigez les internautes et les moteurs de recherche vers la page ou la ressource HTTPS à l'aide de redirections HTTP 301 côté serveur.

Vérifier que vos pages HTTPS peuvent être explorées et indexées par Google

  • Ne bloquez pas vos pages HTTPS à l'aide de fichiers robots.txt.
  • N'incluez pas de balise Meta noindex dans vos pages HTTPS.
  • Utilisez l'outil Explorer comme Google pour voir si Googlebot peut accéder à vos pages.

Accepter le mécanisme HSTS

Nous vous conseillons d'accepter le mécanisme HSTS sur vos sites HTTPS. Ce mécanisme indique au navigateur de demander automatiquement des pages HTTPS, même lorsque l'internaute saisit http dans la barre d'adresse du navigateur. Il nous indique également de diffuser des URL sécurisées dans les résultats de recherche. Tout cela minimise le risque de diffuser du contenu non sécurisé à vos internautes.

À des fins de compatibilité, utilisez un serveur Web qui accepte le mécanisme HTTP Strict Transport Security (HSTS) et autorisez-le.

Le mécanisme HSTS complexifie votre stratégie de restauration. Nous vous recommandons de l'activer comme suit :

  1. Déployez d'abord vos pages HTTPS sans le mécanisme HSTS.
  2. Commencez à envoyer des en-têtes HSTS avec un "max-age" court. Contrôlez le trafic provenant à la fois des utilisateurs et d'autres clients, ainsi que la performance des éléments dépendants, comme les annonces.
  3. Augmentez progressivement le "max-age" HSTS.
  4. Si le mécanisme HSTS n'affecte pas vos internautes et les moteurs de recherche de manière négative, vous pouvez, si vous le souhaitez, demander l'ajout de votre site à la liste de préchargement Chrome HSTS.

Penser au préchargement HSTS 

Si vous activez le mécanisme HSTS, vous pouvez éventuellement accepter le préchargement HSTS pour une sécurité accrue. Pour cela, vous devez définir l'instruction includeSubDomains dans l'en-tête HSTS. La correspondance de sous-domaines fonctionne comme suit. Si le site www.example.com présente un en-tête HSTS avec includeSubdomains, voici les domaines qui correspondront :

URL du site :
www.example.com
includeSubDomains = true
www.example.com Correspondance
toto.www.example.com Correspondance
example.com Aucune correspondance
toto.example.com Aucune correspondance

Éviter ces pièges courants

En procédant à la sécurisation de votre site à l'aide du protocole TLS, évitez les erreurs suivantes :

Problème Action
Certificats expirés Assurez-vous que votre certificat est toujours à jour.
Certificat enregistré pour un nom de site incorrect Vérifiez que votre site est enregistré pour le bon nom d'hôte. Par exemple, si vous enregistrez le certificat pour www.example.com et que votre site Web est configuré pour utiliser example.com, vous aurez une erreur de certificat pour cause de non-correspondance du nom.
Compatibilité avec l'Indication du nom du serveur (Server name indication, SNI) manquante Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. SNI est supportée par tous les navigateurs modernes. Cependant, vous aurez besoin d'une adresse IP dédiée si vous devez accepter des navigateurs plus anciens.
Problèmes d'exploration Ne bloquez pas l'exploration de votre site HTTPS à l'aide du fichier robots.txt.
Problèmes d'indexation Autorisez autant que possible l'indexation de vos pages par les moteurs de recherche. Évitez d'utiliser la balise Meta noindex.
Anciennes versions du protocole Les anciennes versions du protocole sont vulnérables. Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole.
Éléments de sécurité mélangés N'intégrez que du contenu HTTPS sur des pages HTTPS.
Contenu différent sur le HTTP et le HTTPS Assurez-vous que le contenu de vos sites HTTP et HTTPS est le même.
Erreurs de code d'état HTTP sur le HTTPS Vérifiez que votre site renvoie le bon code d'état HTTP. Par exemple, 200 (OK) pour les pages accessibles, ou 404 ou 410 pour les pages qui n'existent pas.

Conseils supplémentaires

Pour obtenir d'autres conseils sur l'utilisation de pages HTTPS sur votre site, consultez les questions fréquentes relatives à la migration HTTPS.

Passer du protocole HTTP au protocole HTTPS

Si vous faites passer votre site du protocole HTTP au protocole HTTPS, Google considère cela comme un déplacement de site avec changement d'URL. Cela peut affecter temporairement vos chiffres de trafic. Pour en savoir plus, consultez la page de présentation des déplacements de sites.

Ajoutez la propriété HTTPS à la Search Console. Cette dernière traite séparément les pages HTTP et HTTPS. Les données de ces propriétés ne sont pas partagées dans la Search Console. Aussi, si vous avez des pages dans les deux protocoles, vous devez avoir des propriétés distinctes dans la Search Console.

Autres informations

Pour en savoir plus sur la mise en œuvre du protocole TLS sur votre site, consultez les ressources suivantes :

Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?