Le https, bientôt indispensable pour votre site Web ?

Fortement encouragé par Google, le passage du http au https ne concerne pas uniquement les sites disposant de modules de paiement ou de sessions sécurisées. Il pourrait bientôt devenir la norme ! Mais en quoi consiste exactement le https ? Comment s’y conformer ? Quelle solution technique choisir ? Voici quelques réponses…

Le http (HyperText Transfer Protocol) est le protocole permettant à un navigateur Web et un site internet de communiquer. Le https, quant à lui, dispose d’une « couche » supplémentaire, appelée chiffrement SSL (Secure Socket Layer), qui chiffre toutes les informations échangées entre le navigateur et le site. Après avoir été tout d’abord utilisé par les sites marchands, de banques ou d’assurance, le https s’étend maintenant à tous types de sites.

Le https, un atout pour la sécurité, le référencement et… le marketing

Sécurisation de la navigation

L’objectif premier du https est de protéger les données personnelles des visiteurs et les transactions réalisées par les clients d’un site. En chiffrant les échanges, il empêche les informations d’être interceptées ou modifiées par un tiers. Sans lui, un hacker pourrait par exemple usurper l’identité de votre site.

Optimisation du référencement naturel

Depuis 2014, Google valorise le positionnement SEO des sites utilisant le protocole https. Ce boost a été très léger lors de sa mise en place (en affectant environ 1 % des recherches), mais il prend de plus en plus d’importance et pourrait s’avérer déterminant à l’avenir. En septembre 2016, le moteur de recherche indiquait souhaiter le développement d’un Web 100 % chiffré. Depuis 2017, son navigateur Chrome affuble les sites en http d’une mention « Non sécurisé » dans la barre d’adresse. Firefox, de son côté, se contente d’un cadenas barré. Plus discret, mais pas cool non plus…

Coup de pouce marketing

Cette identification, sur la barre d’adresse, des sites non sécurisés, mais aussi des sites sécurisés (pour lesquels le cadenas est vert), constitue un élément marketing non négligeable. Pour un site, être qualifié de « sécurisé » par un navigateur est en effet de nature à augmenter la confiance des visiteurs, et ainsi le taux de conversion des visites. A terme, le signalement des sites non sécurisés devrait prendre, sur Chrome, la forme d’une alerte : pas franchement rassurant pour les internautes.

Comment faire passer votre site internet au https ?

Ces explications vous ont décidé à faire passer votre site internet sous le protocole https ?
Vous devez alors vous procurer un certificat SSL. Et selon vos besoins, vous avez le choix entre trois niveaux de certificat, et entre plusieurs « fournisseurs ».

Trois niveaux de certificat SSL

Plus le niveau de votre certificat SSL sera élevé, plus les vérifications nécessaires à son obtention seront nombreuses. Un niveau de certification élevé fournit un maximum de garanties de sécurité aux internautes, et optimise donc la réputation de votre site. Sur le navigateur Firefox, chaque niveau de certificat est par ailleurs représenté d’une façon particulière dans la barre d’adresse :

• DV (Domain Validation) : il se matérialise par un cadenas vert, sans qu’aucun détail sur l’entreprise ne soit indiqué.
• OV (Organization Validation) : il est également représenté par un cadenas vert, mais les informations relatives à l’entreprise sont disponibles lorsqu’on clique sur ce cadenas.
• EV (Extended Validation) : une barre verte très visible, contenant le nom de l’entreprise, apparaît dans la barre d’adresse. En cliquant dessus, l’internaute accède à des informations relatives à l’entreprise (nom, coordonnées).

Faut-il s’adresser à une autorité de certification SSL ?

Pour obtenir ce certificat SSL, deux solutions.

La première consiste à vous adresser, via votre agence Web ou votre hébergeur, à une autorité de certification (Thawte, Symantec…) qui, en tant que tiers de confiance, garantira la sécurisation des données transitant par votre site Web et vous dédommagera en cas de violation de cette sécurité. Les certificats SSL fournis par ces autorités sont disponibles à partir d’environ 100 € par an.

La deuxième solution : opter pour un certificat SSL gratuit (hors coût éventuel de mise en place / maintenance par votre prestataire) fourni par Let’s Encrypt. Soutenue et financée par plusieurs grands acteurs du Web (Facebook, Google, Free…), cette autorité de certification a pour objectif d’accélérer le développement du https. Mais la gratuité a une contrepartie : Let’s Encrypt n’étant pas un tiers de confiance, elle ne vous dédommagera pas en cas de piratage ou vol des données personnelles d’un de vos clients… De plus, Let’s Encrypt délivre uniquement des certificats DV, et indique sur son site ne pas avoir pour projet de fournir des certificats OV et EV.

Alors, http ou https pour votre site internet ? Il est déjà temps de faire un choix…