Ne passez pas au HTTPS pour de mauvaises raisons...SEO

mensonge

Depuis plus d'un an maintenant, Google a renforcé sa communication sur l'encouragement à passer les sites web au HTTPS.  Les porte-paroles du moteur savent à quel point la communauté SEO est a leur écoute, ils ont donc glissé le ver dans le fruit en avançant que ceci « pourrait » améliorer les classements des sites qui migreront vers ce protocole sécurisé.

Le HTTPS, c'est quoi ?

Pour essayer de rester simple...
HTTPS utilise SSL ( Secure Sockets Lyer) qui est un protocole qui assure la sécurité des échanges entre ordinateurs.

  • Il empêche l'espionnage des informations qui transitent.
  • Il empêche de modifier le contenu des informations échangées
  • Il assure de l'identité de la personne ou du programme avec lequel on échange des informations.

Concrètement ça donne quoi ?

Au quotidien vous voyez cela sur les sites e-commerce par exemple lorsque vous accédez à l'étape du paiement. Ce protocole évite que vos données de carte bancaire circulent en clair sur le réseau et vous assure que vous les envoyez bien sur le bon serveur.

Vous pouvez aussi vous assurer que le contenu de vos mails est protégé en utilisant SSL/TLS qui va chiffrer vos données. Si quelqu'un venait à les intercepter, il ne pourrait les lire.

Quels sont les dangers au quotidien sans SSL ?

  • Imaginons que vous soyez actuellement au Macdonald du coin et que vous utilisiez un WiFi gratuit pour lire cet article. Et bien un pirate qui « sniff » le réseau le saura (idem si vous consultez youp0rn...)
  • Imaginons maintenant que vous êtes à la maison et que vous lisez toujours cet article. Votre fournisseur d'accès pourrait en modifier le contenu sans que vous ne le sachiez, par exemple en y insérant des publicités. C'est ce que l'on appelle le principe de l'homme du milieu.
  • Plus gênant, vous êtes un dissident dans un pays gouverné par une dictature. Et bien les sites que vous consultez (forums, blogs, etc.) ainsi que vos mails peuvent être interceptés. Aucune confidentialité n'est respectée, vous allez bientôt passer par la case prison.
  • Vous êtes dans un hôtel sur le WiFi gratuit, vous accédez à l'interface d'admin de votre e-commerce ou de votre blog. Un pirate qui sniffe le réseau pourrait récupérer vos identifiants.

Est-ce compliqué de passer au HTTPS ?

Ça l'est plus que ça n'en à l'air. D'abord, bien choisir son certificat SSL (les certificats gratuits risque de ne pas avoir la côte très longtemps auprès de Google s'ils sont piratés) . Faire le ménage dans toutes les ressources de votre site qui ne sont pas elles-mêmes en HTTPS. Intégrer tout le bazar (pas toujours simple). Très bien gérer la transition sur le plan SEO sinon vous risquez le scénario catastrophe (un bon dossier chez Webrankinfo).

Faut-il passer au HTTPS pour le SEO ?

Réponse courte : NON

Il y a des tas de bonnes raisons de passer au HTTPS. La sécurité (quoi que...), le respect de vos visiteurs, des raisons philosophiques ou politiques et ces raisons sont toutes bonnes.

Maintenant, je souhaite vous rafraichir la mémoire sur le discours de Google. Vous vous souvenez des liens nofollow qui ne devaient pas être suivis ? Vous vous rappelez de la compatibilité mobile qui devait booster vos ranking ? Et le discours sur la rapidité d'affichage qui devait faire de même ? Je passe sur les complications techniques, Mathieu les explique très bien ici. Je passe aussi sur les messages d'erreurs que vont se taper vos visiteurs avant que vous ne régliez les problèmes (un exemple, combien vont continuer la navigation sur cette page qui ne vous expose pourtant à aucun risque ?).

Pour conclure

Le HTTPS est une excellente chose sur le fond. Le principe même de rendre la navigation plus sécurisée est forcément louable. Une migration peut très bien se passer en étant bien gérée.

Mais ce type de migration qui va vous coûter du travail ou des sous, vous faire prendre des risques sur le plan SEO, ne la faites pas en espérant un quelconque bonus de Google.
La carotte qu'il vous agite sous le nez est une pure fumisterie comme d'autres précédemment. Franchement, quel pouième cela va-t-il vous apporter en regard des centaines d'autres critères de l'algo ? Si vous implémentez le HTTPS, faites-le pour vos visiteurs ! (pour le SEO de votre site, je parie ma chemise qu'il y a d'autres points prioritaires à régler)

Articles connexes :

ps : Je tape sur les représentant de Google mais je voudrais quand même remercier Zineb qui répond toujours sur Twitter quand on a une question. En revanche, je préférerais un discours sur les vraies vertus du HTTPS plutôt que le chiffon rouge habituel 😉

(je recevrai un mail quand un article est publié (no spam)

29 thoughts on “Ne passez pas au HTTPS pour de mauvaises raisons...SEO

  1. Hervé

    Salut Sylvain

    Je viens d'avoir le cas avec un client qui est passé au HTTPS pour de très bonnes raisons. Il y a énormément de transactions sur le site et ce sont même les clients qui ont encouragé à ce que le site soit sécurisé.

    Même si techniquement cela a été facile à mettre en place (je commence à avoir l'habitude), il y a eu une incidence sur le SEO et pas favorablement comme l'annonçait Google. Si dans les premiers jours les positions sont restées stables, cela a baissé après quelques semaines. Une 301 a été mise en place pour renvoyer tous les liens externes qui appelaient le HTTP vers le HTTPS.

    Après analyse et action, cela commence à remonter. Même pour une bonne raison, ce n'est pas du tout cuit.

    Comme tu le mentionnes dans ton article, si le site ne se prête pas à cette modification, il ne faut pas le faire. D'ailleurs on pourrait également citer le webmail qu'il est préférable de sécuriser. Et puis là, on s'en fout clairement du SEO.

    En cherchant bien, je ne veux citer personne publiquement, tu trouveras un site qui s'est effondré depuis son passage au HTTPS. Et pour celui-ci, cela n'était pas vital. La personne en charge a sans doute voulu faire bonne impression auprès de Google mais c'est raté et d'autres le payent. Si tu ne trouves pas, tu connais mon mail. 😉

    Pour parler de Let's Encrypt et le fait qu'il ait été piraté, ça fait froid dans le dos. Je préfère, et de loin, acheter des certificats auprès de mes fournisseurs habituels. Pour moins de 100 €, tu protèges un domaine et ses sous-domaine. Et selon tes besoins - juste le site principal -, tu descends en dessous de 50 € par an. Et généralement, tu refactures au client donc inutile de prendre un tel risque pour économiser si peu et suer dans ton pantalon en attendant qu'un hackeur vienne scruter ton site.

    Bon dimanche.

  2. Sylvain Auteur de l’article

    @ Hervé
    Les quelques retours que j'ai ne sont pas bons non plus. Dans les excellents cas il n'y a pas eu de perte, c'est déjà ça.

  3. Jean

    @hervé : c'est quoi les infos sur le piratage de Le'ts Encrypt? C'est une excellente initiative, mais je ne trouve rien qui parle de piratage.

  4. Sylvain Auteur de l’article

    @ Karim
    Pas très clair ton commentaire. Tu conseilles donc de passer au HTTPS pour des raisons SEO ? Pourrais-tu nous en dire plus ? As tu un exemple de site qui aurait gagné des positions ou du trafic en passant au HTTPS ?
    (A moins que tu n'aies pas lu l'article...)

    @ Jean
    Regarde le lien dans l'article au sujets des certificats gratuits piratés.

  5. lionel franc

    Suite à des actions manuelles de Google, j'ai procédé au Nettoyage du site de mon employeur. Ce site était extrêmement spamy et l'ai encore. J'ai opté pour https afin de clarifier la situation auprès des internautes et à l'époque( 2 ans en arrière), il faut bien l'avouer, pour Google aussi. Pour la mise en place SSL, je suis passé par mon fournisseur OVH, le certificat coute environ 50€ par an.. Tout était fonctionnel. Dès le déploiement, je me suis retrouvé dans une sorte de sandbox. Le moteur m'a sorti de son index sur mes mots clés. Un peu paniqué, j'ai continué mon travail de SEO (contenu, ergonomie...). Un mois après la mise en place, je suis revenu dans l'index sur mes mots clés...ouf
    Pour conclure, je rejoins @Hervé : https ne révolutionnera pas votre SEO, il apportera une sécurité pour les utilisateurs...le trust.

  6. François

    À Karim Khelouiati
    J'ai plutôt l'impression que c'est ton commentaire qui est du n'importe quoi !!!

    À Sylvain
    En ce qui me concerne je n'ai pas confiance dans cette communication de Google. Partout dans les forums on constate que les webmasters ont des problèmes de pertes de positions quand ils migrent en https.

  7. Alexandre Santoni

    Ce passage est d'un point de vue référencement risqué et c'est bien là tout le problème. Même étudié d'un point de vue SEO, le risque n'est jamais nul.

    Dans un cas comme celui-ci, il ne devrait y avoir aucun changement de positions, on est tout simplement dans l'absurde. Google pourrait tout simplement intégrer ce changement comme étant justement un non-changement. Bien entendu, ce n'est pas aussi simple que ça mais c'est fort dommage. Dans le cas où les ventes se font majoritairement via le SEO, c'est très compliqué de bouger pour une entreprise, même si les autres raisons sont bonnes...

  8. Sylvain Auteur de l’article

    @ Alexandre
    Je te rejoins.
    J'ai 1 ou 2 clients qui m'ont dit qu'ils avaient envie de sauter le pas, mais à condition que je leur assure qu'il n'y avait aucun risque sur le plan SEO. Ils ne cherchent même pas à gagner des positions, mais veulent être certains de ne pas en perdre. Comment veux tu leur donner cette assurance ?

    D'ailleurs, je pense que cela va plus loin. Un très vieux site avec de très bonnes positions va se retrouver crawlé à nouveau en totalité, et là en général, le résultat n'est pas génial.

  9. David

    https va devenir la norme de toute façon... Si un site fonctionne en version https en parralelle de http, Google va privilégier et indexer la version sécurisée ( http://googlewebmastercentral-fr.blogspot.fr/2015/12/indexer-pages-https-par-defaut.html ). Donc, même sans 301, pas de soucis pour lui. Une petite en-tête HSTS + une 301 vers le https règle tous les (non)-problèmes de transmissions du jus. Pour ma part, je suis passé en full https l'année dernière, ça fait plus de 6 mois, et pas de soucis.

  10. Sylvain Auteur de l’article

    @ David
    Merci pour ton retour
    Là ou je te suis, c'est que pour un nouveau domaine c'est aussi la solution que je retiendrais. Mais revenons à l'existant, quand tu dis "pas de souci", as tu 2 ou 3 exemples de requêtes concurrentielles sur lesquelles ton site se positionne bien ? Ou même l'url de ton site si ce n'est pas confidentiel.

  11. Mohamed

    Merci pour cet article.
    Pour un nouveau site vous me conseillez de passer par un https ou http ?

  12. Francois Huet

    Nous proposons des certificats https sur la plate-forme depuis l'an dernier, non que la sécurité en soit la raison, c'est plutôt les prospects qui nous demandent si "nos sites sont bien sécurisés en https" (ils ont du lire ça quelque part).

    Qu'à cela ne tienne, Etienne, t'en veux du HTTPS ? N'en voilà !

    On avait surtout besoin de le faire pour que nos marchands puissent obtenir le badge Google Marchand de Confiance, pour bons et loyaux services rendus à la cause du e-commerce.

    Bilan après plus d'un an : aucune différence notable sur aucun de nos sites (j'ai testé sur les 8 sites qui ont disposé de leur certificat les premiers, il y a près d'un an (avril 2015)

  13. Sylvain Auteur de l’article

    @ François
    Pour les prospects avec un nouveau site, tu as raison, autant mettre en oeuvre le https de suite, dans ce cas il n'y à rien à perdre. Ce sont plutôt les vieux sites bien positionnés qui souffrent d'une migration.

  14. Francois Huet

    J'avais bien compris, Sylvain, les cas que je cite sont des sites qui sont en place depuis plusieurs années. Pour les créations effectivement autant commencer directement avec le certificat https 🙂

  15. jeremy

    Le gros souci je pense n'est pas en terme de SEO. On sait très bien redonner un coup de fouet pour récupérer des positions.

    Non, le souci c'est que les gens vont de plus en plus faire confiance à un truc qu'ils ne connaissent pas. Et comme tu parlais de l'homme du milieu Sylvain, il y a un exemple tout simple pour contrer le https.

    Si tu as un e-commerce en Https, tout le monde va te faire confiance et régler sur ton site... Maintenant, si un gugusse poste une extension chrome facilitant la navigation sur le dit site avec sniffer de formulaire intégré, personne ne va s'en méfier...

    On met des oeillières aux utilisateurs lambda.

    Je n'ai pas encore installer de certificats https, mais j'ai les arguments pour éviter de le faire... je peux même en faire la démo ^^

    Pour moi donc, le Https, c'est pas encore le top de la sécurité... bien au contraire.

  16. Sylvain Auteur de l’article

    @ Jeremy
    Tu soulèves un point que je n'ai fait qu’effleurer.
    D'ici quelques années, je serais curieux de comptabiliser le nombre de sites malveillants ( contrefaçon, injections diverses, vol de données avec faux e-commerce, etc.) qui auront leur beau petit certificat SSL...
    Ce sera un bon moyen d’apaiser la méfiance des utilisateurs.

  17. Realisite

    Je suis dubitatif sur le passage au https, à savoir si google sanctionne, ou va sanctionner les sites n'étant pas passé au https...?

  18. Tazzaz

    ==> Plus gênant, vous êtes un dissident dans un pays gouverné par une dictature. Et bien les sites que vous consultez (forums, blogs, etc.) ainsi que vos mails peuvent être interceptés.

    Ca n'a pas de lien avec le SEO mais, avec SSL, il me semblait que les URL des sites visités sont toujours accessibles. Seul le contenu est crypté, non ?

  19. Thibault SEO

    Merci pour l'article, super intéressant et très utile pour bien comprendre comment cela fonctionne.

  20. Karine

    Bonjour,

    Merci pour cet article car il me conforte dans ce que je pensais dans mon coin.

    J'ai pris connaissance de cette reco de Google lorsque j'ai vu un de mes anciens clients passer son site en https... ma réaction à ce moment a été "aie ca va faire mal".
    Je me suis battu pendant 1 an sur leur ref que j'ai fait exploser donc j'étais dégoutée de voir tout mon travail potentiellement partir en fumée.

    Je ne sais pas ce qu'il en est réellement étant donné que je n'ai plus de contact car je me suis faite virer suite à quelques difficultés de "communication" (refus de demandes aberrantes, un piratage et autres) mais quelque chose me dit que ca a été compliqué.

    Par contre, mettre le https d'office sur un nouveau site, je vais y penser.

  21. Alexandre

    OVH a activé le SSL pour la majorité des hébergements, on l'active en (presque) un clic ! Plus de raison de ne pas y passer donc si vous êtes chez eux 😉

  22. Sylvain Auteur de l’article

    @ Alexandre
    Attention quand même, ça ne vaut que pour les mutualisés. Des bugs fréquents peuvent survenir. Ne pas oubliez de faire modifier au moins ses meilleurs liens entrants.
    Mais sinon ça simplifie la vie je te l'accorde 🙂

  23. MEYER

    Bonjour,
    Un an après, vous avez toujours le même avis ?
    Personnellement, je suis passé de la deuxième page à la 4ème position sur quelques mots clés très concurrentiels par exemple, juste en passant en HTTPS.
    Et j'ai du coup fait le changement sur plusieurs sites : même effet !
    Donc je pense qu'aujourd'hui en tout cas, c'est très bénéfique.

  24. Sylvain Auteur de l’article

    Bonjour Meyer
    Pour ma part je n'ai vu aucun effet notable.
    Votre cas doit être assez exceptionnel, tant mieux pour vous je m'en réjouis.
    Même Google précise aujourd'hui que l'effet est infime et ne pourrait servir qu'à départager deux pages qui seraient par ailleurs totalement équivalentes sur tous les autres critères de l'algo.

Partagez sur :

Les commentaires sont fermés.