L’HyperText Transfer Protocol Secure (HTTPS) est une pratique répandue notamment pour les sites e-commerce qui permet de renforcer la sécurité d’un site Internet. Le 7 août dernier, le blog officiel des Webmasters de Google précisait que des tests ont été réalisés sur les sites disposants de l’HTTPS. En clair, Google souhaite augmenter ces prochains mois la sécurité du Web tout entier en favorisant le classement des sites utilisant une connexion sécurisée ou cryptée. Récemment nous avons publié un article sur la sécurité des sites WordPress,il semble que l’on peut confirmer aujourd’hui que ce protocole doive être parfaitement intégré également dans une stratégie SEO.
L’intégration du HTTPS Dans l’algorithme de Google.
Si Google Wemaster Blog se penche autant sur le phénomène, c’est bien sûr en partie pour une normalisation de la sécurité du Web mais également pour renforcer la protection de ses usagers. La création de blogues sauvages ou de méthodes de phishing s’avère nettement plus délicates avec la généralisation de ce système vieux d’une vingtaine d’années. Toutefois, cela amorce également une manière de travailler pour bon nombre de Webmasters et engendre des coûts supplémentaires à la réalisation de sites Internet. Bien que parfaitement nécessaire pour les boutiques en ligne (Woocommerce par exemple propose cette sécurité par défaut), ou également pour les connexions à vos comptes bancaires, l’usage généralisé du protocole reconnu par l’ensemble des navigateurs va nécessairement générer un regain d’intérêt pour ce qui semblait pour certains experts une mesure de sécurité contournable.
Il convient donc d’intégrer encore plus cette démarche dans la création de sites par les webmasters et les agences de communication Web, si ce n’est pour améliorer la sécurité, au moins pour améliorer le référencement naturel du site.
Le HTTPS, c’est quoi ?
Pour être en mesure d’exécuter un site Web sur SSL et crypter le trafic, un certificat SSL doit être installé sur le serveur Web. Les certificats de serveur web SSL peuvent être achetés auprès des autorités de certification de confiance comme Global Sign ou encore trustico. Le plus courant, dans le cas d’hébergements mutualisés, est encore de se tourner vers votre hébergeur.
Ainsi, une entité tierce doit vous donner un certificat réel (CRT) en générant un certificat à signer ou CSR (Certificate Signing Request). Si vous configurez votre propre serveur, il est également possible de générer un certificat auto-signé pour chiffre le trafic HTTP.
En règle générale, un certificat SSL contient les informations ci-dessous sur le site que vous visitez et qui est utilisé par le navigateur pour vérifier la validité du certificat :
L’URL du site Web qui fonctionne sur SSL
Nom du propriétaire du site
Informations concernant l’émetteur du certificat
Les dates de validité
Sachez que le certificat de serveur web SSL se compose également de deux éléments suivants:
Une clé privée: Utilisée pour crypter et chiffer le trafic
Une clé publique: Utilisée pour chiffrer le trafic
Une fois que les informations du certificat sont vérifiées et approuvées par le navigateur, le serveur Web envoie au navigateur la clé publique qui va lui permettre de chiffrer le trafic envoyé vers le serveur Web qui peut en retour le déchiffrer.
Renforcer la sécurité de son site WordPress avec le HTTPS
Vous utilisez WordPress et vous souhaitez intégrer le cryptage HTTPS ? Il existe une extension assez prisée qui s’appelle tout simplement WordPress HTTPS (SSL).
Plusieurs champs pour bien le configurer sont à votre disposition :
Par défaut, le champ SSL Host est pré-rempli avec votre nom de domaine. Dans l’optique d’une sécurisation accrue de votre interface Administration, vous pouvez cocher la case “Force SSL Administration” de sorte que chaque personne souhaitant s’y connecter devra le faire via une connexion sécurisée.
Plus bas, toujours dans la configuration de cette extension, vous trouverez un élément important pré-rempli par l’extension (!) :
Ce cryptage des domaines qui hébergent leurs contenus ailleurs est nécessaire pour éviter d’avoir des messages d’avertissement intempestifs de sécurité assez rebutants pour les internautes. Vous avez bien un compte Gravatar par exemple ?
Vous pouvez ensuite choisir de crypter ou non vos articles de blog 😉
Cette fonctionnalité s’intègre dans votre éditeur d’articles habituel sous forme de Widget(sur la droite, en dessous de vos mot-clés), ce qui rend l’HTPPS plus flexible selon vos besoins.
Voilà un petit plus de cette extension.
A noter BIEN SÛR, si vous avez spécifiquement choisi ce plugin pour votre site E-commerce ou votre boutique,vous pouvez spécifier des adresses (panier, boutique, etc.) dans le champ ouvert (non pré-rempli) ci dessous :
Enfin, sachez qu’une extension comme Yoast SEO propose également de forcer le réglages des URL canoniques via HTTPS :
Google nous promet de prêter plus attention à ces mesures de sécurité, avec une incitation via le positionnement des sites, ignorer le HTTPS dans bon nombre de cas est encore possible mais pour combien de temps ?
Pas de commentaire