Comment migrer en HTTPS sans perdre son SEO ?
Les étapes SEO friendly de migration d’un site en HTTPS
- Installez le certificat: acheter un certificat payant ou gratuit, envoyez les informations demandées (clé public,..) et installer le sur le serveur
- Activez HTTPS sur votre serveur: Pour configurer votre fichier vhost, il y a l’ excellent outil SSL config generator . Il vous suffit d’indiquer la version de votre serveur, la liste de cyphers désirée (je recommande la liste de cyphers intermédiaire >> voir le point suivant), et il vous donnera les lignes à copier / coller sur votre fichier host. Cette configuration donnée par l’outil permettra en plus de désactiver les protocoles SSL qui sont vulnérables comme vu plus haut.
- Choisissez la bonne liste de cyphers: Le cypher est une suite cryptographique qui permet d’établir un échange sécurisé entre le client (navigateur) et le serveur. Un client, en fonction du système d’exploitation, du type de navigateur (ie, firefox, chrome,..) et de sa version, supporte différents cyphers plus ou moins sécurisés. Plus le navigateur est récent et plus les cyphers supportés sont robustes. Le serveur accepte quand à lui aussi une liste de cyphers, privilégiant le plus robuste en premier jusqu’au plus faible. Il y a 3 listes de cyphers avec différents niveaux de compatibilité que vous pouvez choisir dans l’outil SSL config generator : compatibilité moderne, intermédiaire, et ancienne.
Le niveau intermédiaire, que je recommande, permet d’avoir un bon niveau de compatibilité avec plus de 97% des navigateurs compatibles, mais ça signifie aussi que certains vieux navigateurs (<3%) ne pourront pas accéder à votre site.
C’est une question d’équilibre entre niveau de sécurité et compatibilité. Le niveau « moderne » permet d’avoir un haut niveau de sécurité mais une compatibilité plus faible, alors que le niveau de cypher « ancien » est ultra compatible mais moins sûr, ce dernier est d’ailleurs signalé par les navigateurs récents comme « obsolete cypher » et vous n’aurez pas le cadenas vert sur les navigateurs récents. - Mettez à jour vos contenus HTTP en HTTPS: Tout ce qui est en HTTP doit faire le passage en HTTPS, c’est à dire les liens internes (ou passez-les en urls relatives), vos images, vos scripts, vos CSS, vos canoniques, vos publicités (adwords, display, ..), vos services tiers, vos boutons de partage sociaux, vos balisages opengraph, schema.org, votre CDN, vos flux RSS, les liens entrants dont vous avez le contrôle (ex: liens de profils sociaux), …
- Activez le nouveau site HTTPS sur search console: Pour que Google prenne en compte facilement le nouveau site HTTPS, il est nécessaire d’activer une nouvelle propriété pour ce site, et qui est différent du site HTTP. Profitez en pour envoyer un éventuel fichier de désaveu de lien sur cette nouvelle propriété. Attention, n’utilisez pas l’option « changement de domaine » sur l’ancien search console, il ne s’agit pas ici d’un changement de domaine mais d’un changement de protocole, c’est différent.
- Envoyez le nouveau sitemap HTTPS: Sur la nouvelle propriété search console, envoyez le nouveau sitemap avec les urls en HTTPS. Vous pouvez laisser pendant un mois l’ancien sitemap d’urls HTTP sur l’ancienne propriété search console, cela permettra de faciliter la prise en compte des redirections par Google.
- Redirigez les urls HTTP vers les urls HTTPS: Indispensable pour que les urls HTTPS prennent la place des urls HTTP dans l’index de Google. .htacess les plus courantes . Pour une indexation plus rapide, vous pouvez aussi forcer l’indexation de vos pages les plus importantes en allant sur search console / explorer comme google / demander une indexation.
- Testez votre nouveau site HTTPS: Il faut lancer un crawl du site pour s’assurer que toutes les ressources sont bien en https, et même le faire avant la migration idéalement. Il faut aussi lancer un crawl des anciennes urls et vérifier qu’elles sont bien redirigées, sans chaines redirections idéalement (ex: 301 > 301 > 301 > 200). C’est d’autant plus important pour les urls qui font des visites, et on s’assure ainsi de ne pas perdre de trafic.
Testez également la validité de votre certificat. A ce stade, le risque est d’avoir des urls qui ont le https barré dans la barre d’adresse, cela signifie le plus souvent que vous avez encore des ressources http qui sont appelés sur vos pages. - Configurez analytics en HTTPS: Une fois le site HTTPS migré et en production, sur google analytics, allez dans ADMIN / propriétés de la vue et changez pour le protocole HTTPS. De cette manière google analytics prendra bien en compte les nouvelles visites sans perdre l’historique des visites HTTP. Changez aussi l’association search console par la bonne propriété HTTPS. Sur GTM, mettez à jour tous les services tiers (facebook, criteo,..) en indiquant la bonne url HTTPS.
- Réalisez un suivi après migration: Sur search console, vous pouvez suivre le rapport d’indexation, le rapport d’erreurs et vérifier ainsi que tout se passe bien. Suivez votre trafic sur votre outil analytics, si vous avez bien travaillé, vous ne devriez pas voir de baisse de trafic et même espérer une hausse, à terme.
Si vous êtes en train de réaliser une refonte de site ou vous voulez changer de domaine, le passage en HTTPS nous parait indispensable. Dans les autres cas, vous devriez y songer rapidement car les sites non sécurisés seront de plus en plus désavantagés.
De plus, le passage en HTTPS est un pré-requis indispensable pour passer votre serveur en protocole HTTP2. C’est un « nouveau protocole » qui améliore grandement les performances du site et sur lequel je ferai surement un article.
Et vous, vous êtes prêts à migrer en HTTPS ?
Source : Creapulse