Ce dossier WebRankInfo détaille ma méthode pour migrer un site de HTTP vers HTTPS d’une façon optimale en termes de référencement. En suivant bien les étapes et les recommandations, cette migration devrait se passer dans les meilleures conditions.
Sommaire :
- Préparer la migration
- Tester en préprod
- Passer en prod
- Questions-réponses
- Bonus : passer WordPress en HTTPS
Préparation de la migration
Il ne faut pas se lancer dans une migration sans se préparer ! Suivez bien toutes les étapes et ça se passera très bien.
Pourquoi migrer en HTTPS ?
Voici les 3 principales raisons :
- vous rassurez les internautes en sécurisant votre site, ce qui permet de renforcer la confiance qu'ils vous accordent. Les messages du genre "Ce site n'est pas sécurisé" sont assez catastrophiques...
- vous profitez de l'avantage accordé par Google à HTTPS : les URL en HTTPS profitent d'un "bonus" en termes de positionnement. Dans le jargon SEO on dit que HTTP est un ranking factor.
- une fois en HTTPS, vous pourrez utiliser HTTP/2, ce qui devrait entre autres choses accélérer votre site
Quand passer son site en HTTPS ?
Voici quelques conseils de bon sens :
- choisissez une période calme dans votre activité
- prévoyez bien la date avec les personnes concernées
- évitez de migrer vers HTTPS en même temps qu'une refonte du site (sinon ça complique les choses pour les algos de Google et augmente les risques de problèmes de référencement)
Pour vos futurs sites, prévoyez HTTPS dès le début.
C'est quoi HTTPS ?
HTTPS signifie Hyper Text Transfer Procole Secure.
Version sécurisée de HTTP, HTTPS est un protocole utilisé pour faire communiquer un client (navigateur, crawler) et un serveur web en chiffrant les données à l'aide du protocole TLS (Transport Layer Security), le successeur de SSL (Secure Sockets Layer).
HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur.
Wikipedia
Quelle est la différence entre HTTP et HTTPS ?
Ce tableau résume les différences entre HTTP et HTTPS :
| Protocole | HTTP | HTTPS |
| Transmission des données | en clair | chiffrée |
| Port TCP utilisé par défaut | 80 | 443 |
| "Norme" | RFC 2616 | RFC 2817 puis 2818 |
| Impact en référencement Google | neutre | léger avantage |
Le certificat SSL
Dans les paramètres de votre certificat SSL, vérifiez que votre site est enregistré pour le bon nom d'hôte. Par exemple, si vous enregistrez le certificat pour www.example.com et que votre site Web est configuré pour utiliser example.com, vous aurez une erreur de certificat pour cause de non-correspondance du nom.
Il faut une clé de sécurité de 2048 bits (Google déconseille 1024 bits)
- Un certificat simple pour une seule origine sécurisée (par exemple, www.example.com)
- Un certificat multi-domaine pour de multiples origines sécurisées bien connues (par exemple, www.example.com, cdn.example.com, example.co.uk)
- Un certificat générique pour une origine sécurisée avec de nombreux sous-domaines dynamiques (par exemple, a.example.com, b.example.com)
Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS (certaines anciennes versions de OpenSSL sont vulnérables).
La plupart des hébergeurs proposent aussi bien des certificats gratuits (comme Let's Encrypt) que payants. Pour la plupart des cas, un certificat SSL gratuit suffit largement (c'est ce que j'utilise sur WebRankInfo).
D'autres conseils figurent en fin d'article.
Configuration HSTS
Si votre serveur web accepte le mécanisme HTTP Strict Transport Security (HSTS), prévoyez de l'activer dès la mise en ligne du site HTTPS. A ce niveau, il faut d'abord vous renseigner pour savoir si c'est disponible pour vous.
Qu'est-ce que HSTS ?
Le mécanisme HSTS indique au navigateur de demander automatiquement des pages qui utilisent le protocole HTTPS, même lorsque l'internaute saisit http dans la barre d'adresse du navigateur.
Il indique également aux moteurs de diffuser des URL sécurisées dans leurs résultats (SERP). Tout cela minimise le risque de diffuser du contenu non sécurisé à vos internautes.
HSTS peut dans certains cas accélérer les choses puisque ça évite de demander au serveur de renvoyer une page HTTP (qui se ferait rediriger). Vous pouvez donc dans certains cas économiser une redirection. Par contre, vous pourrez voir un code HTTP 307, ne vous étonnez pas, ça correspond à ce cas.
Une fois HSTS activé sur votre site (après la bascule vers HTTPS), et seulement si 100% de votre site est uniquement accessible en HTTPS, vous pourrez l'inscrire ici afin de configurer le préchargement dans le navigateur Chrome.
Configuration SNI
Qu'est-ce que SNI ?
Server Name Indication, qui peut se traduire par « indication du nom du serveur », est une extension du protocole TLS. Avec le protocole SNI, le client indique le nom de l'hôte avec lequel il tente de démarrer une négociation TLS.
Wikipedia
Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. SNI est supportée par tous les navigateurs modernes. Cependant, vous aurez besoin d'une adresse IP dédiée si vous devez accepter des navigateurs plus anciens.
Compatibilité du CDN
Si vous utilisez un CDN, renseignez-vous sur sa compatibilité avec le protocole HTTPS et sa procédure pour passer sur HTTPS.
Compatibilité du système de mise en cache
Si vous utilisez un outil de gestion du cache, renseignez-vous sur sa compatibilité avec le protocole HTTPS et sa procédure pour passer à HTTPS.
Compatibilité du CMS et des plugins ou extensions
Si vous utilisez un CMS (WordPress, Prestashop, Magento, Joomla, Drupal, etc.), renseignez-vous sur sa compatibilité avec le protocole HTTPS.
Faites de même avec chacun des plugins ou extensions installés.
Pensez aussi aux outils tiers comme ceux web analytics, de la publicité (Google Ads, Facebook Ads, etc.), de la conversion, du ecommerce...
Crawl du site HTTP
Je recommande très fortement de faire un crawl exhaustif de tout votre site HTTP (celui qui est en ligne accessible à tous), avant la migration. Ceci vous permettra d'avoir la liste des URL de toutes les ressources HTTP à tester (voir plus loin).
👋 Vous aurez besoin de cette liste pour utiliser mon astuce d'accélération de la migration dans Google.
Bien sûr, vous avez le sitemap des URL en HTTP, mais êtes-vous certain qu'il soit exhaustif ?
Vous pouvez le faire avec mon outil RM Tech, en activant l'option d'analyse des images.
Préparation du nouveau site sur un serveur de préprod
Sur votre serveur de préprod, vérifiez tous les éléments suivants pour qu'ils utilisent la version HTTPS :
- URL dans les liens (balise
<a href>) - URL dans un formulaire, y compris un simple
<select> - URL d'une iframe
- URL canonique (
<link rel=canonical>) - URL d'annotation de langues (
<link rel=alternate hreflang>) - URL d'annotation pour la version mobile
- URL d'annotation pour la version AMP
- URL d'annotation pour l'application mobile
- URL précédente et suivante (
<link rel=next>, <link rel=prev>) - URL dans les balises meta ou open graph pour les réseaux sociaux
- URL dans les codes JSON/LD (pour les données structurées)
- URL dans les images ou autres fichiers media (attributs
srcetsrcset) - URL dans les scripts CSS et JS
- URL dans les entêtes HTTP (par exemple X-Robots-Tag, mais il y en a d'autres)
Si vous avez une application mobile, pensez aussi à mettre à jour les liens vers votre site.
Sachez que vous pouvez utiliser des URL relatives au protocole (par exemple, //example.com/script.js au lieu de http://example.com/script.js). L'avantage est que cela fonctionne quelle que soit la version du site (si l'URL qui contient ce code est en HTTPS, alors c'est la version HTTPS de la ressource qui sera utilisée, sinon ça sera HTTP).
💡 Si vous avez besoin de faire des remplacements automatisés en base de données, je vous conseille le script Search Replace DB. Attention, c'est risqué de faire des modifications directement dans la base de données. Mais c'est très efficace...
Pensez aussi aux cookies qui devront être générés de façon sécurisée. Renseignez-vous, vous pourriez avoir besoin de modifier la configuration de votre serveur, par exemple dans le fichier php.ini l'instruction session.cookie_secure = True.
Evaluez si vous allez migrer tout le site en HTTPS ou seulement une partie. Du point de vue de Google et du référencement, cela ne change rien si vous basculez vers HTTPS par étapes, pour certaines parties du site.
Plan de migration HTTP vers HTTPS
Faites un inventaire de toutes les URL qui doivent migrer vers HTTPS. Cette étape est majeure, vous en aurez besoin pour vérifier que tout est OK, aussi bien avant qu'après le passage à HTTPS.
Redirections HTTP to HTTPS
Préparez les redirections de toute URL en HTTP vers son équivalent en HTTPS (fichiers .htaccess ou autres moyens).
Attention, il faut obligatoirement :
- utiliser des redirections 301 (pas 302, pas Javascript, etc.)
- avoir 1 seule redirection, pas plusieurs qui s'enchaînent (boucle de redirections)
Autres préparatifs
Faites la liste de vos comptes de réseaux sociaux pour lesquels vous devrez mettre à jour l'URL de votre site afin d'indiquer la version HTTPS
Faites un audit de vos backlinks pour repérer les plus stratégiques afin de demander aux personnes concernées si elles acceptent de mettre à jour leur lien pour pointer vers votre version HTTPS. Pour les nombreux cas où le lien ne sera pas mis à jour, les redirections 301 que vous mettrez en place seront indispensables.
Faites la liste de vos campagnes publicitaires pour identifier là où il faudra mettre à jour l'URL de votre site afin d'indiquer la version HTTPS.
Préparez-vous à mettre à jour les URL dans vos signatures de mail.
Planifiez la bascule : qui s'occupe de quoi, quand, sur quel environnement, à quelle date ?
Préparation de HTTPS dans la Search Console
Dans la Search Console de Google (idem pour Bing Webmaster Tools et autres moteurs en disposant, par exemple Yandex), prévoyez que vous aurez besoin de faire ceci une fois la mise en ligne effectuée, pour chaque sous-domaine de votre site :
- ajouter une nouvelle propriété de type site web pour la version HTTPS
- déclarer les sitemaps avec des URL en HTTPS
- si cela vous concerne : gestion du fichier de désaveu, réglages du ciblage géographique
Tests du site en préprod
Tester le nouveau site en préprod est impératif (sauf pour un petit site vitrine de quelques pages). Cette étape permet de corriger les erreurs avant la mise en production et donc d'être bien plus serein le jour de la bascule...
Test du plan de migration
Vérifiez que chaque URL de l'inventaire est effectivement redirigée en une seule redirection 301 vers la bonne URL en HTTPS.
Comment faire ? Il vous faut un outil qui teste une liste d'URL (potentiellement des centaines ou des milliers). Vous ne pourrez sans doute pas utiliser un outil gratuit en ligne, ils limitent le nombre d'URL. Mon outil WebRankInfo limite à 1 seule URL...
Vous pouvez utiliser mon outil RM Sitemaps en lui fournissant l'ancien sitemap (celui qui liste des URL en HTTP), ou simplement en faisant un copier-coller de toutes les URL à tester. Vous aurez tout le détail des redirections et des codes HTTP.
Audit technique en préprod
Faites un audit technique exhaustif du nouveau site en préprod, sur un serveur de recette.
Tant que vous trouvez des ressources HTTP, corrigez et refaites un test.
Vérifiez que vous ne bloquez pas le crawl (fichier robots.txt) ou l'indexation (balises meta robots) des pages en HTTPS par les robots.
Mise en ligne du nouveau site
Ce n'est pas le moment de vous tromper ! Mais avec la préparation proposée, tout devrait se dérouler comme prévu. Suivez les étapes post-migration HTTPS, y compris la surveillance dans les mois qui suivent.
Mise en production
Remplacez l'ancien site par le nouveau, ou mettez en prod la version HTTPS comme vous l'avez préparée.
N'oubliez pas de mettre en ligne le code ou les outils qui gèrent les redirections (de http vers https). Conservez-les aussi longtemps que possible, voire indéfiniment.
Tests en production
Test des redirections
Comme en préprod, vérifiez que chaque URL en HTTP de l'inventaire est effectivement redirigée en une seule redirection 301 vers la bonne URL en HTTPS.
Tant que ce n'est pas le cas, corrigez votre système de redirections et refaites le test.
N'oubliez pas de tester ce qui se passe avec et sans le sous-domaine www.
Audit technique du site HTTPS
Faites un audit technique exhaustif du nouveau site et vérifiez que plus aucun lien ne pointe vers une URL en HTTP.
💡 Pour cela, vous pouvez utiliser mon outil RM Tech : en crawlant le nouveau site HTTPS, on ne doit trouver aucune URL en HTTP. Regardez dans le rapport d'audit généré, vous devez obtenir ceci :
Voici ce qui se passe si vous avez oublié certains liens qui pointent encore vers des URL en HTTP :
Dans le bilan des URL crawlées fourni par RM Tech, on voit ici qu'il y a des URL trouvées en HTTP, ce qui n'est pas bon. Certes, elles sont redirigées en 301, mais il ne doit plus y en avoir du tout.
Autres tests à faire sur les URL
Testez plusieurs URL significatives avec :
- l'outil d'inspection d’URL dans Search Console pour vérifier que Googlebot accède correctement à vos pages HTTPS : cliquez ici
- l'outil de test de votre version mobile : cliquez ici
- l'outil de test des données structurées : cliquez ici
- l'outil Google Pagespeed Insights : cliquez ici
Déclarez et configurez HTTPS dans la Search Console
Dans Search Console, pour chaque sous-domaine de votre site :
- ajoutez une nouvelle propriété de type site web pour la version HTTPS et validez-la
- déclarez vos sitemaps HTTPS listant des URL en HTTPS (lisez aussi mon astuce ci-dessous)
- si vous avez uploadé un fichier de désaveu pour la version HTTP, uploadez-le à nouveau pour la version HTTPS
- si vous avez effectué des réglages sur le ciblage géographique, reportez-les dans la version HTTPS. Il faut les faire ici dans l'ancienne search console.
- si vous avez effectué des réglages sur les paramètres d'URL, reportez-les dans la version HTTPS. Il faut les faire ici dans l'ancienne search console.
Remarque : la demande de changement d'adresse dans Search Console n'est pas disponible (pas nécessaire) dans le cadre d'une migration avec seulement un changement de protocole.
Comment accélérer la migration HTTPS
Une fois que vous avez mis en ligne le site HTTPS et activé les redirections de HTTP vers HTTPS, il n'y a plus qu'à attendre que Google prenne en compte votre migration. Idem pour les autres moteurs...
Comment faire pour que Google désindexe rapidement le HTTP et indexe rapidement le HTTPS ? La réponse : en fournissant un sitemap des URL en HTTP.
Pourquoi ? Car quand on fournit à Google un sitemap, il a tendance à envoyer Googlebot assez rapidement pour crawler les URL qui figurent dedans.
Cerise sur le gâteau, ça vous aidera aussi à identifier où en est la transition de HTTP vers HTTPS dans l'index de Google.
Concrètement, prenez le fichier listant toutes les URL en HTTP que vous avez constitué pendant l'étape de préparation (ou à défaut le sitemap listant les URL HTTP) déclarez-le en tant que sitemap :
- soit dans l'ancienne propriété search console (celle en HTTP), à condition que vous puissiez faire en sorte que ce sitemap ne soit pas redirigé. Il faut ajouter une ligne RewriteCond dans votre fichier .htaccess pour exclure ce sitemap des redirections.
- soit si vous ne pouvez pas, dans la nouvelle search console (celle en HTTPS). L'URL de ce sitemap sera donc en HTTPS mais les URL qu'il contient seront en HTTPS.
Ensuite, surveillez le rapport Couverture, en filtrant avec ce fichier sitemap, pour voir les URL qui restent indexées et celles qui sont marquées Exclues (car elles sont redirigées).
A lire dans la FAQ : comment savoir si Google a traité ma migration ?
Passage de Google Analytics en HTTPS
Si vous utilisez Google Analytics pour la mesure d'audience, il y a quelques modifications à apporter.
Passez en HTTPS chaque vue des propriétés concernées. Dans Google Analytics, il faudra configurer chaque propriété et chaque vue en mettant "https://" au lieu de "http://".
Sauf cas particulier, vous ne devriez avoir :
- aucune modification du code de suivi
- aucun impact à prévoir pour les internautes
- aucun impact à prévoir sur l'accès à l'historique des données
Passage de AT Internet en HTTPS
Si vous utilisez AT Internet pour la mesure d'audience, c'est pareil. Allez dans "Outils > Marqueur > [onglet] Code du marqueur > Clic sur le cadenas" pour récupérer le code de suivi (aucune action à valider)
Modifiez le code de suivi (paramètre "xtsd=")
Sauf cas particulier, vous ne devriez avoir :
- aucun impact à prévoir pour les internautes
- aucun impact à prévoir sur l'accès à l'historique des données
Autres mises à jour à faire en HTTPS
Vérifiez que votre certificat SSL fonctionne bien, par exemple avec Qualys Lab tool. Testez plusieurs URL de vos différents sous-domaines.
Activez HSTS si votre serveur web le supporte.
Planifiez le renouvellement de votre certificat SSL. Vérifiez que vous avez des alertes dans votre agenda pour vérifier ce renouvellement à chaque échéance.
Mettez à jour l'URL de votre site dans :
- vos campagnes publicitaires concernées
- vos comptes de réseaux sociaux
- tous les outils de digital marketing
- vos signatures d'email
- etc.
Si votre site est dans Google Actualités, prévoyez de remplir ce formulaire de changement d'adresse.
Contactez ceux qui vous font les liens les plus stratégiques pour leur demander de les mettre à jour (même s'il y a très peu de chances qu'ils réagissent).
Surveillez l'après migration
Surveillez les erreurs indiquées dans Search Console (ainsi que tous les autres rapports), aussi bien dans l'ancienne propriété (HTTP) que dans la nouvelle (HTTPS).
Planifiez un audit technique du site de façon récurrente (toutes les semaines, tous les mois ou trimestres selon l'importance du site pour votre business).
Surveillez l'évolution du trafic.
Surveillez vos fichiers logs, notamment pour repérer des erreurs inattendues.
Questions réponses sur la migration HTTPS
Voici les réponses aux questions les plus fréquentes. N'hésitez pas à en poser d'autres en commentaires ou dans le forum.
Je vous recommande d'avoir un serveur de préprod (préproduction ou recette) pour tester la version HTTPS sans mise en ligne accessible au public. Si vous n'en avez pas, testez en local.
Il faut avoir un certificat SSL (gratuit ou pas), préparer la refonte (changer toutes les références aux URL HTTP pour passer en HTTPS, prévoir les redirection), tester en préprod si possible, puis tester une fois le site basculé en HTTPS.
Oui, même s'il n'y a pas de garantie à 100% que Google restera sur la version HTTP, ça sera un signal fort pour Google qu'il doit continuer à indexer la version HTTP. Il faut que vos tests soient rapides (quelques heures maximum).
Renseignez-vous : la plupart des hébergeurs proposent un certificat SSL gratuit (souvent avec Let's Encrypt). Vous pouvez aussi acheter un certificat SSL et l'utiliser sur votre site HTTPS.
Faire la migration par sections (parties de site) est très bien, ça peut aider pour tester, surtout sur les très gros sites. Dans ce cas, commencez par une section non stratégique et attendez quelques semaines avant de conclure.
Le mieux est de consulter le rapport Couverture dans la search console, d'un côté en HTTP et de l'autre en HTTPS. Progressivement, les URL indexées en HTTP vont diminuer au profit des URL en HTTPS. Vous pouvez évaluer si Google indexe encore du HTTP avec la commande site:example.com -inurl:https
Non, car ces pages sont certainement interdites d’indexation et donc non prises en compte dans le SEO. Seules les pages indexées (en HTTPS) peuvent faire profiter au site de cet avantage en termes de référencement naturel sur Google.
Pour Google (et l'impact SEO), vous pouvez choisir n'importe quel certificat "moderne", pris en charge par les navigateurs actuels.
Oui : si le même contenu est accessible à la fois avec l’URL en HTTP et en HTTPS, il est à 2 adresses différentes donc cela génère un problème de contenu dupliqué. Si vous en avez besoin, j’ai écrit un article avec les codes de redirection HTTP/HTTPS qui vous aideront à résoudre ce « duplicate content ». C’est le même genre de problème qu’une page accessible avec et sans www.
Il est probable que vous remarquiez des fluctuations pendant plusieurs semaines. Néanmoins, si vous avez tout préparé et testé, cela ne devrait pas poser de problèmes.
Si une URL en HTTP est redirigée (en une seule redirection 301) vers sa version HTTPS, Google assure qu'aucun PageRank n'est perdu. Cela ne signifie pas que c'est 100% "indolore" d'un point de vue référencement naturel car Google utilise bien d'autres critères que le PageRank.
Cela n'a aucun rapport et vous n'en obtiendrez pas plus qu'avec votre site en HTTP. Google fournit une partie des mots-clés tapés par les internautes dans la partie Analyse de la recherche sur votre Search Console.
Il n'existe pas de commande Google spéciale pour restreindre une requête à un protocole particulier (comme peut le faire par exemple la commande site: pour restreindre à un site ou une partie de site). Mais vous pouvez constater le nombre d'URL indexées dans Search Console, ce qui devrait répondre à votre demande puisque HTTP et HTTPS doivent être déclarés de façon distincte dans Search Console. De façon similaire, vous pouvez aussi avoir ce genre d'informations dans les statistiques sur les fichiers sitemaps.
Non ce n’est pas la peine. En règle générale, il n’y a qu’à mettre à jour la configuration (de vos propriétés et vues concernées) pour indiquer que votre site est en HTTPS, mais il n’y a même pas besoin de changer le code de suivi.
Il n'y a pas de durée ou de fréquence prévue, ça dépend de la taille du site et de la vitesse du serveur lors du crawl. Google migre URL par URL. Pour un petit site c'est fait en quelques heures ou jours, pour les gros ça peut durer des jours ou des semaines.
Non, il faut la conserver ! Gardez-la au moins 1 an afin de vérifier les messages ou rapports que fournit Google. Vous devriez par exemple vérifier que le nombre d’URL indexées tombe à zéro.
Car ils indiquent le nombre de fois où une URL précise (incluant son protocole) a été partagée. Certains compteurs savent additionner les valeurs obtenues dans le passé pour les URL en HTTP avec celles obtenues pour HTTPS.
Passer son site WordPress en HTTPS
Pour passer WordPress en HTTPS sur votre propre nom de domaine, vous pouvez suivre toute la méthode présentée ici. Mais si votre site est simple (sans plugins spéciaux ni Custom Post Types), vous pouvez essayer de faire la migration avec une extension.
La plus connue est sans doute Really Simple SSL. Ce plugin WordPress gratuit permet de passer à HTTPS aussi simplement que ça :
- faites une sauvegarde de WordPress
- installez votre certificat SSL
- installez le plugin Really Simple SSL
- confirmez que vous souhaitez activer SSL puis reconnectez-vous
Sources, références et autres conseils
Voici les sites de références et les sources d'information officielles (ou pas) que j'ai utilisés pour ce dossier :
- Aide de Google : Déplacer un site avec modifications d'URL
- Aide de Google : Sécuriser votre site à l'aide du protocole HTTPS
- Annonce officielle : HTTPS est un critère officiel de ranking (en anglais)
- La checklist HTTP to HTTPS de Aleyda Solis, au format document Google Docs
- Meilleures pratiques de déploiement SSL et TLS par SSL Labs (article ancien mais très sérieux)
- Le tutoriel très détaillé (en anglais) de Brian Jackson
Si vous avez des questions, posez-les dans le forum WebRankInfo.
Si vous préférez du consulting, j'en propose sur mon site WebRankExpert.
Bonjour Olivier. Tu dis "Désormais, votre site DOIT être en HTTPS". Tu as des sources pour confirmer cette affirmation ? Est-ce que Google a menacé ou pénalise les sites en HTTP... ? Merci pour ce dossier.
C'est moi qui fais cette affirmation, c'est donc mon avis (je n'ai pas de source officielle à fournir). La raison, je l'ai indiquée en début d'article "Pourquoi migrer en HTTPS ?"