Portrait Olivier Duffez

Olivier Duffez

Créateur de WebRankInfo,
consultant en référencement

Dans Chrome, un site HTTP sera sans doute bientôt marqué non sécurisé

Comme vous le savez, Google pousse tout le monde à passer son site en HTTPS. La dernière trouvaille est que Chrome affiche un avertissement pour les sites en HTTP, indiquant qu’ils ne sont pas sécurisés…

La 1ère idée était d’indiquer que toutes choses étant égales par ailleurs, une page en HTTPS a plus de chances d’être mieux positionnée qu’une en HTTP. Autrement dit, que le mode sécurisé HTTPS est un critère SEO. Dans les faits, ne passez pas à HTTPS pour espérer un gain SEO, personne n’en a jamais encore vu…

La nouvelle idée est de profiter de Chrome, navigateur le plus utilisé dans le monde. C’est pour l’instant en version beta (code Chrome Canary build), mais ça pourrait venir dans la version officielle plus tard : dans la barre d’adresse, quand une URL n’est qu’en HTTP (donc pas en HTTPS), une icône apparait pour signifier que ce n’est pas un mode sécurisé.

Voici une capture d’écran réalisée par Glenn Gabe, postée sur Google+ à laquelle j’ai ajouté une légende :

Chrome HTTP non sécurisé

Sur Chrome en 2015, les sites en HTTP seront sans doute marqués comme étant non sécurisés…

Certes, c’est mieux d’avoir du HTTPS quand les échanges de données ont besoin d’être cryptés, mais :

  • c’est coûteux (le prix du certificat SSL chaque année mais surtout la migration vers HTTPS)
  • sans un travail d’optimisation, c’est souvent plus lent (qu’un site en HTTP)
  • ce n’est pas parce que le site est en HTTPS qu’il est « sécurisé » à tous niveaux (on doit pouvoir trouver des sites HTTPS moins sécurisés que certains en HTTP)

Concrètement, selon Chromium (branche de développement de Google Chrome), il y aura 3 niveaux :

  • Sécurisé : HTTPS valide ou autres cas particuliers comme localhost
  • Douteux : HTTPS valide mais comportant un « mélange de ressources passives », ou bien HTTPS valide comportant quelques erreurs TLS mineures)
  • Non sécurisé : HTTPS cassé ou HTTP

Alors, allez-vous migrer votre site en HTTPS ?

Dites-nous ce que vous en pensez !

Cet article vous a-t-il plu ?

Note : 1.0 (1 vote)
Cliquez pour voter !

Laisser un commentaire

Remarques :

  • Si vous souhaitez poser une question ou détailler un problème technique, il ne faut pas utiliser le formulaire ci-dessous qui est réservé aux avis. Posez votre question directement dans le forum Gmail de WebRankInfo. L'inscription est gratuite et immédiate.

  • En postant un avis, vous acceptez les CGU du site WebRankInfo. Si votre avis ne respecte pas ces règles, il pourra être refusé. Si vous indiquez votre adresse email, vous serez informé dès que votre avis aura été validé (ou refusé...) ; votre adresse ne sera pas utilisée pour vous envoyer des mailings et ne sera pas revendue ou cédée à des tiers.

16 commentaires

maloc

On est bien d’accord que ça n’affiche que l’icone ? Et non la page d’avertissement comme lorsqu’un SSL n’est pas validé ? (qui d’ailleurs a explosé depuis que Google a fait cette annonce, page que je ne croisais quasiment jamais avant).

Répondre
Olivier Duffez

@maloc : oui, c’est uniquement l’icône

Répondre
Caine_DVP

ET mais ils ont raison, enfin dans le même temps sauf pour le javascript, un site HTTP ne présente pas non plus un risque majeur.

Mais c’est la réaction des internautes qui sera à suivre.

La grande question est qu’est-ce que GG y gagne?

Répondre
Jérôme

Quand je poste un billet sur mon blog, j’estime que les lecteurs n’ont pas besoin d’un certificat pour le lire.
La pratique me parait juste totalement abusive. Il y a des secteurs ou un certificat est utile, voire indispensable mais pour 95% des sites Internet, j’ai de gros doutes.

Répondre
rick

Il faudra voir si les autres navigateurs emboîtent le pas.
Google n’a pas toujours raison et n’hésite pas à faire marche arrière.
Firefox et IE ainsi que le nouveau navigateur qui sera dans Windows 10 n’ont pas dit leur dernier mot.

Il faudra voir également si Adsense le déconseille toujours.

Répondre
Azema

Il est possible créer un certificat SSL gratuitement sur startssl par exemple.

Pour les internautes qui n’y connaissent rien, je pense que cet avertissement va les effrayer.

Répondre
Psychotheque.fr

Qui va payer les certificats pour un blog sans pub et perso….

Les alertes font peur aux utilisateurs, je sens bien le coup foireux.

Sinon, j’ai trouvé ça, c’est bien ? https://cert.startcom.org/?lang=fr

Répondre
Valentin

@Caine_DVP : du not provided dans toutes les sources de trafic. Vous n’aurez plus la liste des site référents dans vos stats, donc il vous sera plus complexe de suivre quel source vous gènere un trafic de qualité ou un trafic tout court…
Cela bloque également le développement des concurrents que ce soit sur le bigdata ou sur les statistiques des sites.
Cela limite également les sites de spam puisque cela représente désormais un coup supplémentaire pour en générer à la volée…

Voilà ce que Google peut tirer du HTTPS (entre autre, difficile de tout détailler ici)

Répondre
Olivier Duffez

@Valentin « Vous n’aurez plus la liste des site référents dans vos stats » : c’est l’inverse ! un site en HTTPS voit très bien les sites référents, par contre le trafic qu’il envoie vers un site HTTP n’est pas identifiable par le site HTTP.

Répondre
Maxime

Quel seront les risques pour ceux qui n’ont pas besoin techniquement besoin de proposer du https ?
Cela ne risque il pas de faire peur aux utilisateurs d’un sentiment d’insécurité ? = fuite de visiteurs
Un certain nombre de sites ne seront pas en mesure de proposer du https (notamment non professionnels), pour des raisons financières et/ou parce que l’hébergeur ne le propose tout simplement pas…

Répondre
bobs

Je pense que ce que gagne Google c’est éviter la masse de sites web sans véritables intérêt pour les internautes.
En toute logique pour les sites web créés vites fait pour se faire des tunes, faire du linking de masse, partager des conneries ou autres trucs polluants le web dont les webmasters auront la flemme de se faire un certificat https seront assez facilement identifiables comme sites de mauvaise qualité.
C’est pas top mais c’est la seul logique que je trouve a cette action

Répondre
ybet

Déjà Google plombe des sites depuis quelques années qui lui fait de l’ombre (Panda – Pinguin). Du coup, les rentrées adsences sont quasiment nulles pour la plupart de ces sites.
Avec le https, Google annonce la sécurité … et moi dans mes logs, je détecte régulièrement (et éradique à fait) des sites et adresses IP venant de Google (pas les robots mais les sites gratuits et autres sites de développeurs ….)

Avant de jouer ou faire croire à la sécurité, Google ferait mieux de vérifier ses adresses IP

Tiens, je vais m’y mettre et publier sur mon propre site tous les bricolages des adresses de Google (quelques uns sur WRI savent que j’ai les moyens de les détecter).

Répondre
macfly

Peut on imaginer que le « niveau » du certificat SSL (ssl de base, EV,…) ainsi que le choix du tiers de confiance puisse avoir un impact ?

Répondre
Olivier Duffez

Comme indiqué dans mon article sur l’impact du HTTPS sur le SEO, Google a précisé que le niveau ou type de certificat n’entre pas en ligne de compte.

Répondre
Netofinder

Oui même si c’est à cause de nombreux sites sans importance comme certains ont écrit. Google n’est nullement le gendarme du web ….

Répondre
Detectimmobilier

La question se pose effectivement.
Après, quelles sont les ressources nécessaires pour ?……..

Répondre