
Comme vous le savez, Google milite pour que le maximum de sites basculent de HTTP à HTTPS afin de renforcer la sécurité sur le web. Pour vous inciter à le faire, il a même officialisé en 2014 le fait qu'une URL en HTTPS est favorisée dans son algorithme de classement (par rapport à une en HTTP).
La nouveauté de décembre 2015 est que même si votre site est (encore) en HTTP, il est possible que ce soit la version HTTPS de vos pages qui soit listée dans les résultats de recherche (SERP) ! Et ce, même si vous ne faites aucun lien vers l'URL en HTTPS.
Même si votre site est en HTTP, si le HTTPS est possible, Google l'affichera dans les SERP !Click to TweetConcrètement, Google semble vouloir systématiser le crawl de la version HTTPS de chacune de vos pages actuellement en HTTP. S'il arrive à accéder à la version HTTPS, et qu'elle remplit les conditions ci-dessous, alors c'est l'URL en HTTPS qui sortira.
Pour qu'une URL soit listée avec le protocole HTTPS dans les résultats de Google, il faut qu'elle remplisse toutes les conditions suivantes :
- Elle ne contient pas de dépendances non sécurisées (par exemple des scripts JS, des images ou autres ressources)
- Son exploration n'est pas bloquée par un fichier robots.txt (ce dernier, présent dans chaque sous-domaine, peut différer entre la version HTTP et la version HTTPS)
- Elle ne redirige pas les internautes vers ou via une page HTTP non sécurisée
- Elle ne possède pas de lien "rel="canonical" vers la page HTTP (qui indique que l'URL à conserver est la version HTTP, voir spécs ici)
- Elle ne contient pas de balise Meta "noindex" (qui bloque l'indexation des robots)
- Elle ne comprend pas de liens internes au site pointant vers des URL HTTP (si les liens sont avec des URL relatives, cela n'arrive pas, mais avec des URL absolues ça peut arriver)
- Le sitemap répertorie l'URL HTTPS, ou ne mentionne pas la version HTTP de l'URL (rappels dans ce tuto)
- Le serveur dispose d'un certificat TLS valide
Cette dernière condition risque à mon avis de bloquer dans la plupart des cas, si bien que je me demande si cela va être si fréquent que ça de voir dans les SERP une URL HTTPS pour un site prévu en HTTP.
Comme le précise l'article de Zineb Ait sur le blog de Google, si vous souhaitez que les autres moteurs de recherche indexent votre version HTTPS plutôt que HTTP, il faut mettre en place les bonnes redirections (suivez mes conseils). Vous pouvez aussi mettre en place un entête HSTS sur votre serveur (voir détails sur Wikipédia).
Google rappelle que parmi les intérêts du HTTPS, ce protocole limite le risque que les internautes consultent une version modifiée du site (à cause d'attaques de type "injection de contenu" ou "de l'homme du milieu"). C'est dans cette optique que Google fait la promotion du #httpseverywhere (généralisation du HTTPS) :
Illustration : image Shutterstock sous licence
bonjour
je constate que j'ai de plus en plus de pages bloquées en https et je ne comprends pas pourquoi. comme celle-ci par exemple https://www.benzinemag.net/2016/03/30/lodeur-garcons-affames-frederik-peeters-loo-hui-phang/
Si vous avez une solution pour remédier à ça, je suis preneur. Merci d'avance.
Désolé Benoit, ceci n'est pas en lien direct avec l'article et je n'ai pas de réponse... il faudrait plutôt demander de l'aide en termes de développement web ou d'administration de serveur, par exemple en posant la question dans le forum dév. web
Sauf que le https n'est pas un avantage pour ceux qui ont des sites web consacrés à la monétisation adsense. Avec le https, il n'y a pas d'enchère. Encore un nième paradoxe de Google.
c'est pas tout à fait qu'il n'y a pas d'enchères, mais qu'il y en a moins, donc moins de revenus à la clé
en effet, ça n'incite pas vraiment à passer à HTTPS
C'est ridicule. Le HTTPS ne permet pas la mise en cache, et par ailleurs Gogole milite pour la rapidité, la compression et l'utilisation du cache.
Pour un site non sensible le HTTPS n'a aucun intérêt.
@Daxorp : Google a plusieurs fois montré qu'il était possible d'avoir un site en HTTPS très rapide... Peut-être faut-il utiliser des technos spécifiques, qui n'existaient pas avant : pour ma part je ne connais pas assez pour affirmer quoi que ce soit à ce sujet.
"Elle ne comprend pas de liens sortants à partir de l'hôte pointant vers des URL HTTP"
La formulation est floue, faut-il comprendre qu'on ne peut pas faire de lien vers une URL en HTTP, ou qu'on ne peut pas faire de lien vers une page en HTTP sur le même hôte que la page actuelle ?
Je pense que cela signifie qu'on ne doit pas faire de liens vers une URL en HTTP du même site