HTTPS a un impact positif sur le référencement Google [officiel]

[manubu]

Bonjour à tous,
Ca y est, google insiste lourdement pour que les sites passent en https. Cela devrait avoir un impact sur le référencement. Ca va donné.
http://googleonlinesecurity.blogspot.fr/2014/08/https-as-ranking-signal_6.html

 

[HawkEye]

Re: Site en https

Où ai-je lu ce matin "très léger impact sur moins d'1% des requêtes US" ? :roll:

 

[Marie-Aude]

Re: Site en https

Dans l'article dont le lien est donné ici ?

 

[HawkEye]

Effectivement. Je voulais attirer l'attention par rapport aux termes "lourdement", ou "ça va donner", en fait

 

[WebRankInfo]

Non, ce n'est pas ce qu'ils disent, en tout cas ils ne précisent pas que ça ne concerne que les US :

For now it's only a very lightweight signal—affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content—while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

Je l'avais imaginé il y a quelques mois sous forme de blague de poisson d'avril, et j'en avais discuté il y a très peu de temps avec Zineb directement (qui ne m'avait pas avoué que c'était sur les rails...), c'est donc désormais officiel. J'ai fait un premier article rapide, faute de temps, j'y reviendrai plus longuement ensuite : HTTPS, critère officiel du référencement Google

Pour vous aider : étapes de migration HTTPS

Une chose est sûr, les vendeurs de certificats SSL vont se frotter les mains !

 

[Patricia71]

De la à ce qu'ils vendent un certificat certifié Google pour engraisser encore un peu plus leurs comptes au Bahamas qui ne servent à rien, il n'y a pas long...

 

[6feetprod]

Bonjour à tous,
J'avoue être un peu perdu, pensez vous que mon site, comprenant uniquement du contenu sur mon activité et mon métier ai besoin d'une connexion sécurisée ?
Il me semblait qu'un tel protocole n'était utile qu'aux sites marchands ou contenant des données sensibles.

Merci pour vos avis ou conseils.
Bonne journée.

 

[Schwarzer Stern]

Même chose pour moi…Bon, j'ai bien un espace membre mais aucune donnée personnelle ne transite par là, l'intérêt d'une telle manipulation me semble réduit par rapport aux désavantages (site un peu plus lent ? coût ?).

 

[Olargues]

Est ce que les Adsense s'affichent en https ?
Il faut faire une modification sur le code fourni il me semble.

 

[noren]

Encore un moyen de faire d'internet un lieu dédié uniquement aux plus gros.
Passer un site en https n’est pas une chose anodine et encore moins gratuite. Et a ma connaissance un site en https n’est pas un gage de qualité, mais juste de moyen et éventuellement de compétences techniques.

Entre le google auteur, le https etc. Ca commence a faire beaucoup d'obligations pour espérer se faire voir sur la toile. A quand l'obligation de donner son emprunte digitale? Ou celle de faire partie d'un grand groupe...

je bosses sur 2 projets, la question va donc se poser, passer de suite en https ou boycotter le https!

D'ailleurs il me semble que sur mutualisé le https n'est pas toujours chose évidente, et devoir passer sur un dédié semble augmenter considérablement les frais

A quand un http sécurisé tout simplement? :roll:

 

[noren]

Re: Site en https

Où ai-je lu ce matin "très léger impact sur moins d'1% des requêtes US" ? :roll:

le problème avec ces pourcentage c’est qu'en fin de compte ils ne veulent rien dire. Suffit de voir avec les panda et pingouins. On est toujours en train de nous annoncer des 1 ou 2% de requêtes touchées et pourtant l'impact général est bien là.

Et si on regarde bien 1 ou 2% c'est beaucoup si on compare au nombre de requête tapées

L'autre gros problème, c’est qu'on se doute bien que google ne va pas s’arrêter en si bon chemin, et que l'impact va s'accroitre avec le temps.

Même si un internet sécurisé est une bonne chose en soit, forcer de la sorte l'est bien moins (mais on commence à être habitué avec GG), d'autant plus que le web n’est pas encore prêt au tout https. passer en https peut être très contraignant pour bon nombre de sites à plusieurs niveaux. Et tous n'ont pas besoin d'une telle sécurité. Mais c’est encore un boulet de plus que l'on va devoir se trainer si on ne passe pas au HTTPS

Tiens d'ailleurs que va faire WRI? prendre le risque de faire une redirection des millions de pages?

 

[Digit]

Une solution simple qui évite de toucher trop à la configuration du serveur, c'est de souscrire à un CDN offrant le service HTTPS
(frontal pour les internautes = https , mais communication entre le cdn et notre serveur en http).
Si les liens sont déjà structurés en relatif (domaine ou protocole), il n'y a pas lieu de modifier les pages générées. Après c'est une config mineur au niveau DNS, mais pas de certificat à installer/maintenir/renouveler sur le serveur.
Autre intérêt, les CDN offrent toute une panoplie de services qui profiteront également pour la performance du site, améliorant le temps de réponse, et comme c'est aussi un indicateur pris en compte pour le positionnement, ça devrait faire son effet

 

[patapon87]

Une solution simple

En plus d'organiser une redirection de toutes les pages http vers le https...

 

[Jeanne5]

@Olivier, un beau dialogue de sourd que tu as eu avec Zineb !

C'est pas vraiment donné le certificat SSL en plus, comparé au prix d'un nom de domaine...
Gandi semble bien placé pour ceux que l'assurance n'intéresse pas (site non marchand...)

 

[Furtif]

Gogole a bougé le petit doigt de pied et ca y est....

Tout le monde plonge et se prepare a des nuits blanches...et tout le monde balise...

Je trouve ca cool moi, le https, encore un truc que 80% des webmasters vont mettre sur le dos de Gogole pour justifier leur mauvais positionnement...

et c'est la faute a Winnie l'ourson et c'est la faute au palmipède au plumage noir et blanc, et c'est la faute a toto, et c'est la faute du voisin et c'est la faute a.....

Bon, ca vous arrive jamais de vous remettre en question et vous dire au moins une fois :

C'est de ma faute.....

Suffit que le Gogole lache une caisse et c'est la revolution...

:mrgreen:

 

[wowechange]

Sachez que, Gandi fournit un certificat SSL / domaine.
Donc si votre NDD est chez eux ça ne vous côute rien.

 

[UsagiYojimbo]

Je suis également très dubitatif sur ce point. S'agissant de sites qui ont des parties / modules sécurisées, ok il y a un intérêt au HTTPS, mais de là à mettre tout un site en https, et surtout des sites de contenu, je vois très mal l'intérêt de la chose.

 

[6feetprod]

@Furtif
Nous ne sommes pas tous des experts SEO, et je trouve légitime de se poser des questions lors d'une annonce de la part de Google.

 

[Jeanne5]

Sachez que, Gandi fournit un certificat SSL / domaine.
Donc si votre NDD est chez eux ça ne vous côute rien.

Seulement la première année après c'est 14€TTC

https://www.gandi.net/ssl/grid
(voir la première ligne et en bas la petite remarque)

 

[Stellvia]

Google pète et tout le monde est obligé de renifler.... c'est moche le monopole.... bref
Va falloir attendre des tutos pour passer son site en https, parce que ca va être compliqué , rien que les redirect 301 page par page sur des url qui ont déjà de l'url rewrinting, je veux même pas imaginer comme ca dois etre compliqué d 'écrire les règles.

Sinon j'ai une question :

Dans l'article il est indiqué que le https empêche la modification d'une page par exemple l'ajout de pub par le wifi d'un hotel.

Est-ce que le https empêche aussi la modification d'une page par les toolbar(malware...) qui rajoute ou modifie les pub d'un site web à l'insu du visiteur ?
Si la réponse est oui, c'est peut être finalement pas une si mauvaise chose.

 

[maloc]

D'ailleurs, je suis étonné, je lis que AdBlock agit de la même manière sur HTTP et HTTPS, ce qui signifie qu'il pourrait (lui ou un autre logiciel) modifier l'aspect CSS d'un site de banque par exemple, ou carrement supprimer l'affichage de vos données bancaire si il le souhaite (malware surtout, mais donc c'est faisable).

 

[Schwarzer Stern]

Je pense que tout est faisable quand il s'agit d'un outil local, qui peut agir sur la page une fois celle-ci téléchargée.

 

[noren]

@Stellvia : Dans l'idée le HTTPS n’est pas une mauvaise chose. L'idée d'un internet plus sécurisé est évidemment plaisante.
Le soucis c’est que la mise en place du HTTPS n’est pas une chose anodine, simple et encore moins gratuite. Le https devrait être gratuit et proposé d'office et automatiquement par les sites d'hébergement (ou les registrar). Et surtout automatique pour tous les sites et services sur le web.
D'après ce que j'ai pu lire si tu passes en https tout doit être en https sur ton site : images, annonceurs, vidéos etc.
Les navigateurs doivent également reconnaitre le certificat.
Il y a quelques jours j'ai encore eu un problème avec le certificat d'une régie lorsque j'ai mis a jour firefox.

Comme dit plus haut, on est pas encore prêt à passer au tout https et l'"imposer" de la sorte me semble prématuré.

Comment vont faire également toutes les grosses plateformes de blogs qui ne sont pas déjà en https? et tous les autres gros sites avec des milliers (millions) de pages, sous domaines etc. Un bordel assuré.

 

[maloc]

Je pense que tout est faisable quand il s'agit d'un outil local, qui peut agir sur la page une fois celle-ci téléchargée.

Disons que lorsque ça vient d'un plugin autorisé par le navigateur, c'est moins normal. Il accepte qu'on modifie les données provenant de quelque chose sensé être sécurisé. (si c'est un malware à part, c'est encore un autre problème)

Ce qui peut sous entendre qu'on modifie par exemple le formulaire de login à une banque pour envoyer les données en AJAX quelque part, puis les données à la banque. C'est inaperçu pour le client et c'est simple à faire ?

Enfin manifestement, ça bloquerai au moins la possibilité d'ajouter du contenu (vu qu'ils ne peuvent pas ajouter de pub, dixit l'article d'Olivier). Mais ça ne bloquerai pas la possibilité de supprimer du contenu par contre.

Bref, du coup, ça serait bien de faire du lobbying pour que les navigateurs cessent de laisser la possibilité de modifier un site en HTTPS, et ensuite bloquer les adblock (si ça tombe, c'est l'objectif de Google, qui sait ...)

 

[FortTrafic]

Pour l'instant je n'ai jamais eu un site en https..
Je ne pense pas le faire avant un bon moment, déjà ça coute plus cher et puis c'est inutile, si je devais faire ca pour google, il faudrait d'abord que je fasse tout le reste des trucs conseillés/recommandés et que je ne fais pas déjà

 

[Stellvia]

Bref, du coup, ça serait bien de faire du lobbying pour que les navigateurs cessent de laisser la possibilité de modifier un site en HTTPS, et ensuite bloquer les adblock (si ça tombe, c'est l'objectif de Google, qui sait ...)

punaise.... ton idée est à la fois abracadabrantesque (oui ce mot existe) et ....crédible o___O

 

[manubu]

Et sur IE j'ai un message d'alerte : cette page contient des éléments sécurisés et non sécurisés.

 

[Topsitemaker]

Bonjour,

Une chose est sûr, les vendeurs de certificats SSL vont se frotter les mains !

C'est la première chose qui m'est venu en tête. Et en tant que français matraqué fiscalement, cela me fait penser à une forme de taxe, et une de plus ...
Je sens qu'il y a un nouveau écosystème qui va se mettre en place. Encore faut-il qu'il y ait des pionniers qui ont les moyens de faire le pas. En attendant j'aimerais bien connaitre les sociétés sérieuses qui proposent du https à bas prix, parce que 200 €HT /an, comment dire ... c'est beaucoup.

 

[noren]

est-ce que ca annonce également le déclassement voir la mort (dans certains cas) de tous les sites a but non lucratif qui ne pourront se permettre de payer l'hébergement et le certificat?

Google ne fera aucune distinction de sites : e-commerces, banques, sites d'information, blogs...?

 

[Blount]

Je pense que tout est faisable quand il s'agit d'un outil local, qui peut agir sur la page une fois celle-ci téléchargée.

Disons que lorsque ça vient d'un plugin autorisé par le navigateur, c'est moins normal. Il accepte qu'on modifie les données provenant de quelque chose sensé être sécurisé. (si c'est un malware à part, c'est encore un autre problème)

Ce que tu n'as peut-être pas compris, c'est que le HTTPS chiffre le transfert de données entre 2 machines. En aucun cas cela te garantie une sécurité des données reçues …

Ce qui peut sous entendre qu'on modifie par exemple le formulaire de login à une banque pour envoyer les données en AJAX quelque part, puis les données à la banque. C'est inaperçu pour le client et c'est simple à faire ?

Bah dans ce cas, désinstalles ton navigateur et va directement dans ton agence, parce que le navigateur lui même peut le faire …
En quoi est-il plus de confiance qu'un plugin ? En plus, les plugins nécessitent une validation par Mozilla avant d'être dispo dans leur dépôt d'extension.

Enfin manifestement, ça bloquerai au moins la possibilité d'ajouter du contenu (vu qu'ils ne peuvent pas ajouter de pub, dixit l'article d'Olivier). Mais ça ne bloquerai pas la possibilité de supprimer du contenu par contre.

Bref, du coup, ça serait bien de faire du lobbying pour que les navigateurs cessent de laisser la possibilité de modifier un site en HTTPS, et ensuite bloquer les adblock (si ça tombe, c'est l'objectif de Google, qui sait ...)

Encore une fois, tu peux faire le lobbying que tu veux. Firefox est OpenSource et Chrome a Chromium comme alternative OpenSource. Il suffit donc de modifier le code source et le tour est joué.

 

[Amauri]

A lire le thread on dirait que c'est obligation et que tous les sites vont disparaître si pas de ssl..
Et comparer un critère de Google à une taxe et faire le rapprochement avec un matraquage fiscale.. :roll:

Des certificats à quelques €/an cela existe, après c'est sûr qu'il faut s'y connaître un tout petit peu pour l'installation.
Gérer un business en ligne serait un métier ? Déjà qu'il faut payer les graphistes :mrgreen:

Pour l'installation sur un serveur Apache2, j'ai écrit un petit tuto il y a quelques temps http://informatique.frnk.fr/installation-dun-certificat-ssl-serveur-apache-2/

 

[colonies]

J'ai passé un de mes sites à SSL il y a quelques mois et l'impact a été plutôt négatif mais tant pis, je m'y attendais : ça n'a pas été une décision prise pour le SEO mais bien pour les raisons que Google évoque aujourd'hui pour donner un coup de pouce aux sites en https.

Personnellement je n'ai vu aucune amélioration récente donc l'impact reste plutôt un peu négatif.
Je dirais donc qu'à l'heure actuelle, ça ne sert à rien de passer à https "pour faire plaisir à Google" mais uniquement si vous pensez que c'est une bonne chose.

Google a forcément de nombreux moyens de détecter les sites ayant des zones avec un login/mot de passe et ne pénalise probablement pas les sites plaquette sans https (ni n'avantage les sites avec https s'il considère que ça n'est pas vraiment important). Il en va sans doute de même pour toutes les zones des sites où le contenu est le même avec et sans connexion avec un compte utilisateur. Au moins pour le moment

 

[zeb]

http et https sont dans un bateau http tombe a l'eau qu'est ce qu'il reste ?

Perso il peut se le carrer où je pense son s je ne vais pas me prendre la tête pour 1/1000 de points SEO qui de toute façon sera ridicule en face d'une réputation bien construite.

 

[WebRankInfo]

@Olivier, un beau dialogue de sourd que tu as eu avec Zineb !

en effet !

C'est pas vraiment donné le certificat SSL en plus, comparé au prix d'un nom de domaine...
Gandi semble bien placé pour ceux que l'assurance n'intéresse pas (site non marchand...)

en fait, tout le monde regarde le prix du certificat pour juger le coût d'un passage à HTTPS, mais à mon avis, pour la 1ère année en tout cas, c'est très loin du coût réel. Pour une bonne partie des sites (les gros ou anciens), en plus des dizaines d'euros du certificat (en moyenne), ajoutez quelques centaines d'euros (ou plus) pour gérer correctement la migration.

 

[scroogle]

Je viens d installer un certificat valable 90 jours gratuit pour un peu voir ce que ca peut donner en terme technique.

https://www.petitesannonces.be/ ( déjà le cadenas en haut, moi ca m excite ! )

1ere constatation: tous les éléments de la page doivent faire référence a https sinon ca génère un message pas rassurant.

Je me demandaid si mettre juste la homepage et la page de connexion en ssl suffisait a avoir un impact positif.
Est ce que ca joue au niveau des variables session ? A premiere vue non, on peut laisser le visiteur se connecter en SSL puis une fois la variable session créé, il continue sa "ballade" sur du http. Correct ?

==

edit: article intéressant qui répond en partie a mes questions et soulève un point de réflexion:
http://stackoverflow.com/questions/1361531/why-is-https-only-used-for-login
pt de réflexion: on insinue qu'il faudrait un certificat pour chaque sous-domaine. Donc ceux qui font usage de cela pour faire du seo, ca risque de les refroidir. Exemple http://bruxelles.sitedannonces.be, http://namur.siteadannonces.com
A vérifier.

 

[spout]

Il y a des certificats SSL wildcard (encore plus cher certes).

 

[Jeanne5]

en fait, tout le monde regarde le prix du certificat pour juger le coût d'un passage à HTTPS, mais à mon avis, pour la 1ère année en tout cas, c'est très loin du coût réel. Pour une bonne partie des sites (les gros ou anciens), en plus des dizaines d'euros du certificat (en moyenne), ajoutez quelques centaines d'euros (ou plus) pour gérer correctement la migration.

Oui du temps homme pour mettre en place... (techniquement et en comm pour faire changer tous les backlink)

et de la perte de CA, le temps de la baisse de référencement dû au changement de domaine...
(comme Olivier l'a si subtilement :mrgreen: fait avoué à Zineb)
Olivier, as-tu une idée du temps nécessaire pour récupérer son ref ?

et si tout n'est pas bien fait, vous n'êtes amha pas à l'abri en plus d'une sanction algo... par la suite (type Panda, j'imagine pour DC...)... ou baisse du signal de vitesse si votre site devient plus lent à cause du SSL...

C'est un changement à double tranchant et qui ne doit pas être fait à la légère ! @ortolojf, amha tu ne t'y es pas pris comme il faut... Sans te vexer, ça fait un peu "Mouton de panurge" ou "Joueur de flûte de Hamelin"... :roll: la façon dont tu as réagi...

Au final ça fera du boulot pour les SEO et Olivier pour monter des prestas de migration vers https ou récupérer le coup de ceux qui auront mal migré... :wink: Hollande devrait devrait demander des cours à GG pour relancer l'emploi... A une autre échelle, cette annonce me fait un peu penser à l'annonce de Sarko sur l'Ethylotest obligatoire...

 

[colonies]

Je me demandaid si mettre juste la homepage et la page de connexion en ssl suffisait a avoir un impact positif.
Est ce que ca joue au niveau des variables session ? A premiere vue non, on peut laisser le visiteur se connecter en SSL puis une fois la variable session créé, il continue sa "ballade" sur du http. Correct ?

Non c'est une mauvaise idée d'un point de vue de la sécurité. Pour profiter vraiment de https, les cookies doivent être eux-aussi sécurisés. http://en.wikipedia.org/wiki/HTTP_cookie#Secure_and_HttpOnly

De plus tu vas perdre un peu en performances : tes visiteurs vont charger tes ressources en https sur la page d'accueil (css, js, images communes...) et dès la page suivante ces ressources devront être rechargées en http.

pt de réflexion: on insinue qu'il faudrait un certificat pour chaque sous-domaine. Donc ceux qui font usage de cela pour faire du seo, ca risque de les refroidir. Exemple http://bruxelles.sitedannonces.be, http://namur.siteadannonces.com
A vérifier.

tu peux acheter un certificat wildcard valable sur tous les sous-domaines mais ça coute beaucoup plus cher.

 

[noren]

Pour une bonne partie des sites (les gros ou anciens), en plus des dizaines d'euros du certificat (en moyenne), ajoutez quelques centaines d'euros (ou plus) pour gérer correctement la migration.

Ajoutons à cela les frais d'un dédié. Sur mutualisé le https n’est pas chose évidente sur tous les hébergeurs. Ovh avait par exemple le support ssl, puis l'avait retiré et l'a remis il y a quelques mois (bonjour la stabilité du truc!!)

@ortolojf : se précipiter n’est pas toujours une très bonne chose. La preuve en est avec maintenant votre duplicate content entre les pages http et les https. Un passage en https mal géré peut avoir de lourdes conséquences, et peut être fatal pour le site.

La question c’est de savoir si ça en vaut la peine, comme le dis Zeb, pour seulement 1/1000 critères.
De plus votre site méritait il le https?

Et il ne faut pas forcément se jeter corps et âmes dans toutes les recommandations de google si on estime qu'elles ne correspondent pas aux besoins de nos sites.

je part du principe que c’est au web, au http, aux hébergeurs, aux navigateurs etc, à tout mettre en œuvre pour améliorer la sécurité et qu'on ne devrait pas avoir a payer des organismes pour cette sécurité ou galérer pour avoir ce https.

Google ne devraient pas inclure dans leur algo un critère qui n’est pas à la portée de tous (financièrement, techniquement etc.). C’est injuste (en mode calimero)

 

[scroogle]

@colonies

J ai vérifié via le compte d un ami. Sur ebay ca semble être ce qu'ils font. Du https au login ensuite t es sur du http
Ca me semble un bon compromis.

Ma page d accueil contient de toute façon des images et css qu on ne retrouve pas ailleurs sur le site.
J ai tout distingué pour optimiser le score de PageSpeed qui était de 100/100, mais je suis passé a 99/100
en la raffistolant.

Bref c est ce que je vais faire: du https su la homepage et au login

Déjà avec ma page en construction je suis assez bien classé, je pense que je vais très vite redevenir a la première position sur mes mots clés de base

Concernant les cookies de session, ca limite les vulnérabilités en tout cas. Il faudrait vraiment que le pirate soit là au moment de la session, tandis que dans l optique "j envois mon login et mot de passe en clair", le pirate a tout le temps de venir se connecter après.

Pour la fonction "remember me" je prend soin aussi de crypter l email et le mot de passe sur le cookie.

En fait nous les geeks on est un petit peu comme ceux qui achètent un cadenas ici:

 

[spout]

Concernant les cookies de session, ca limite les vulnérabilités en tout cas.

Du tout

Pour la fonction "remember me" je prend soin aussi de crypter l email et le mot de passe sur le cookie.

Idem

Ça s'appelle "Session Hijacking", il faut ajouter un fingerprint avec le UA: http://shiflett.org/articles/the-truth-about-sessions (article de 2003).
Faut faire réviser les cadenas :mrgreen:

 

[scroogle]

non je maintiens que ca limite. J ai pas dit que ca rendait nulle je dit que ca diminue
c est logique puisque au lieu de transmettre de façon "non secure" tu transmet de façon "secure"

en tout cas tu n augmentes pas l insécurité en le faisant, donc tu la réduis. Logique, tout ce qui ne grandit pas diminue.

Comme Ebay le fais de cette manière, je vais les suivre sur ce point.

 

[maloc]

Logique, tout ce qui ne grandit pas diminue.

Ma maison ne grandit pas, donc elle diminue ? 8O

Faut que je me dépêche de vendre :mrgreen:

 

[noren]

Dans le dossier de WRI quelqu'un a dit un truc intéressant dans les commentaires. N'est-il pas possible que google en profite pour se lancer dans la distribution de certificats SSL? .
Avec le futur FAI google fibre, les hébergements de sites, google+ etc., entrer dans le marché du SSL ne serait plus étonnant.

On en est à un stade où la qualité des serps passe au second plan par rapport à l'objectif qui consiste à maitriser tous les secteurs liés au web et bloquer toute concurrence.

 

[zeb]

On en est à un stade où la qualité des serps passe au second plan par rapport à l'objectif qui consiste à maitriser tous les secteurs liés au web et bloquer toute concurrence.

Je partage cet avis :wink:

 

[scroogle]

Logique, tout ce qui ne grandit pas diminue.

Ma maison ne grandit pas, donc elle diminue ? 8O

Faut que je me dépêche de vendre :mrgreen:

non ca vient d une maxime chinoise qui dit que tout ce qui ne s'embellit pas se dégrade, tout est en expansion ou en régression, même l'univers. Le meilleur exemple pour comprendre cela par exemple c est le corps, si il n est pas bien entretenu, il tend vers la dégradation de façon naturelle. Ton patrimoine par exemple il grandit et diminue en permanence. C est pas figé.
Quand tu penses qu'en ce moment que je t écris, même en étant resté assis sur place, je me suis déplacé, c' est quand même fort.

Avec un certificat tu diminues pas la sécurité d'un site.

 

[patapon87]

Enfin... J'ai lancé un nouveau site il y a une semaine je me dis que mettre du https (et ca coute un peu plus que le prix du certificat...) peut être une bonne idée.

Je pense surtout que c'est un beau coup de com de google. Le mettre dans son algo ca lui coute rien, par contre tous les articles de presse dans le monde qui disent "google veut un web plus sûr", "la protection des visiteurs sera renforcée" etc... bim c'est tout bon pour eux

 

[patapon87]

On pourrait switcher le sujet de l'installation sur un autre sujet ?

 

[WebRankInfo]

On pourrait switcher le sujet de l'installation sur un autre sujet ?

j'ai fait le ménage... pour ceux que ça intéresse, suivez la discussion sur un retour d'expérience d'un passage à HTTPS

 

[ortolojf]

Je ne comprend pas comment ça peut être vu comme un changement d'url aux yeux de Google alors que l'adresse du site est la même, c'est le protocole qui change. D'ailleurs sur google il n'y a pas de http ni de https dans les résultats de recherche, quand je regarde l'url dans ma barre de navigation je vois "www.site.com"

Bonjour Monsieur

Quand je fais : site:www.mon_domaine.tld , j'obtiens de nombreuses urls avec le préfixe https.

Idem quand je fais des recherches sur Google, et que j'obtiens un e ( ou des ) adresse(s) vers mon site.

Bien amicalement.

Jean François Ortolo

 

[Patricia71]

Pour info chez namecheap on trouve des certificats à moins de 7€/ an. ( je n'ai pas d'action chez eux ).

pat.

 

[wowechange]

Je sais pas si vous avez le soucis mais firefox même avec un certificat chez gandi ou startssl il met le message d'avertissement

est-ce le cas chez namecheap ?

 

[ortolojf]

Je sais pas si vous avez le soucis mais firefox même avec un certificat chez gandi ou startssl il met le message d'avertissement

est-ce le cas chez namecheap ?

Bonjour Monsieur

Quel est le message d'avertissement sur mon site ?

J'ai un certificat Gandi Standard.

Il protège le nom du site ( avec et sans www ), mai ne certifie pas le propriétaire.

Merci beaucoup de votre réponse.

Amicalement.

Jean François Ortolo

 

[wowechange]

ça ne le fait pas pour tous les sites ni sur tous les pc je me demande si y a pas un délais d'acceptation du certificat pour firefox

 

[ortolojf]

ça ne le fait pas pour tous les sites ni sur tous les pc je me demande si y a pas un délais d'acceptation du certificat pour firefox

Bonjour Monsieur

Voulez-vous dire par là, qu'il n'y a pas de message d'erreur sur mon site ?

Mon certificat a été activé le 8 août 2014 ( je crois ) à 00h environ.

C'est un certificat basique, mais pas personnel ( ce n'est pas moi qui l'ai créé, de manière personnelle, il est certifié par Gandi ).

Peut-être pourriez-vous avoir plus d'informations sur les certificats, en cliquant sur le token : "https" des urls?

Merci beaucoup de votre réponse.

Amicalement.

Jen François Ortolo

 

[wowechange]

il n'y a pas de soucis sur votre site.
Mais c'est bizarre , avez-vous le soucis via firefox sur Ce site ?

 

[ortolojf]

il n'y a pas de soucis sur votre site.
Mais c'est bizarre , avez-vous le soucis via firefox sur Ce site ?

Bonjour Monsieur

Vous avez raison, avec Chrome je peux visiter ce site sans message, mais avec Firefox il y a ce message indiquant que le site n'est pas sécurisé, parce que le certificat est invalide.

Je confirme.

Et je vous suis très reconnaissant de m'avoir montré que mon site n'est pas sujet ce type de problème.

Respectueusement.

Amicalement.

Jean François Ortolo

 

[kristel]

Quand je vois la masse des backlinks morts à chaque remaniement de grands sites faute de redirection adéquate, il me semble que, du seul point de vue "référencement", le gain du passage au https risque dans l'état actuel des choses d'être annihilé (et pire) par la perte des backlinks ou en tous cas de leur jus sur un mot clé particulier.

Pour un site institutionnel à fort trust rank, le passage au https ne saurait pas changer grand chose.

Et s'il arrivait à Google de vouloir augmenter la pondération de ce critère faute d'avoir été suivi, je ne vois Google faire passer à l'arrière-plan des sites de qualité non https et de perdre ainsi l'avantage qualitatif que ses SERPs pourraient avoir par rapport à ceux de Bing.

Tout différent aurait été si l'annonce de privilégier les pages https avait été faite en commun par les deux moteurs.

Et puis tout cela manque de cohérence: d'un côté, Google recherche désespérément des petits sites de qualité et d'un autre côté, google pousse au https.

NB
D'ailleurs que reste-t-il des grandes "réformes" antérieures de Google: pendant des années, le mot d'ordre a été la lutte contre le duplicate content. Or, je n'en ai jamais vu autant qu'actuellement dans les SERPS.

 

[ortolojf]

Bonjour

J'aurais une question à poser à Monsieur Duffez :

Une fois que son site est entièrement migré à https, que faut-il modifier dans ses comptes Google Webmaster Tools et Google Analytics ( ou Universal Analytics ) ?

En ce qui me concerne, je vois le nombre de mes backlinks fondre à vue d'oeil, ainsi que les requêtes théoriquement faites par les internautes.

Ceci, alors qu'en réalité mon trafic ne bouge pas.

Et alors que les redirections 301 de http -> https ont été correctement posées par mes soins.

Google va-t-il prendre en compte automatiquement le passage de http en https, ou faut-il modifier quelque chose ( et quoi ) dans nos comptes GA et GWT ?

Super merci pour votre site.

Très respectueusement.

Jean François Ortolo

 

[zeb]

Quand je vois la masse des backlinks morts à chaque remaniement de grands sites faute de ...

Allez soyons fou et allons plus loin, que peut on penser d'un moteur de recherche qui donnerait un poids supérieur au protocole qu'au contenu réel, sa présentation, sa convivialité, sa fréquentation, ... ?

Le jour ou je vois passer wiki en https on en reparle de cette lubie :roll:

Notez bien avant de vous précipiter en mode Panurge sur vos fournisseurs que les géants n'ont toujours pas bougé et qu'il est surement de bon ton de prendre du recul et d'attendre en observant ... :wink:
Après le désaveux de BL qui est un bon indicateur de site super suivis SEO, le passage brutal en https est aussi un signal flagrant d’optimisation SEO donc de ...

Et je ne parle même pas de l'aspect anti écologique du truc 8O

 

[ortolojf]

Bonsoir zeb

Je ne comprend pas, comment çà peut se faire que j'ai bien mis les redirections 301 ad hoc sur toutes mes pages http => https , et pourtant, le nombre de mes backlinks a chuté de 8859 à 6517 environ en deux jours.

Quant aux nombres de requêtes ( nbre de fois où un internaute est tombé sur une page où mon site figurait ), il est maintenant proche de zéro.

Est-ce que l'on peut supposer, que GWT va bientôt tenir compte des impératifs de la migration http vers https ?

Je pense en ce qui me concerne, que ce n'est qu'un mauvais moment à passer, de toute manière c'est l'été, et le relativement léger affaiblissement de trafic ( 850 -> 750 vu/jour, 1300 -> 1100 visites/jour ), n'a semble-t-il pas encore été impacté par ce problème de backlinks.

Logiquement, si Google voit favorablement les passages en https , il a du prévoir l'effet SEO des migrations, non ?

J'attends et je surveille GWT et GA.

Bien amicalement.

Jean François Ortolo


PS

Réponse à zeb : Moi, je considère que Google me fournit un service gratuit, alors mettre un petit certificat ( gratuit la première année, puis 20 euros/an ensuite ) sur mon site, çà ne m'a pas gêné.

Au contraire, maintenant je sais installer un certificat SSL sur Apache 2.2 sous Debian Wheezy.

 

[zeb]

Bonsoir JFO,

Je n'ai pas de réponses à tes questions (bien qu'il soit notoirement connu qu'une 301 prend du temps a être prise en compte sur un site) mais j'ai une question à tous les utilisateurs :

Google ne parle t il pas depuis des années de faire des sites pour les utilisateurs avant tout ? si oui pourquoi passer en https ?

 

[jeanluc]

Google ne parle t il pas depuis des années de faire des sites pour les utilisateurs avant tout ? si oui pourquoi passer en https ?

Aucune raison. Je suis d'accord avec toi. Passer sur https parce que Google le demande, c'est montrer qu'on fait un site pour les robots de Google.

Google essaie à nouveau d'embrouiller les référenceurs. Google ne les aime pas simplement parce que l'argent donné aux référenceurs efficaces est de l'argent qui échappe à AdWords.

Jean-Luc

 

[Marie-Aude]

Google essaie à nouveau d'embrouiller les référenceurs.

Euh... en l'occurrence, ce sont les "référenceurs [sic]" qui s'embrouillent tout seuls quand ils se précipitent sur un truc d'aussi faible impact

 

[noren]

Par contre la question peut se poser pour nos nouveaux sites. Doit on directement utiliser le https dès leur mise en ligne?
Que feriez vous? Pour des sites par exemple où il y a un espace membre avec pour seul données sensibles le nom, prénom, mot de passe. Pas d'achat etc.

 

[Schwarzer Stern]

Le jour ou je vois passer wiki en https on en reparle de cette lubie :roll:

Déjà le cas chez moi…(désolé si c'était du 2nd degré ?)

 

[patapon87]

Je pense surtout que c'est un beau coup de com de google. Le mettre dans son algo ca lui coute rien, par contre tous les articles de presse dans le monde qui disent "google veut un web plus sûr", "la protection des visiteurs sera renforcée" etc... bim c'est tout bon pour eux

Je me +1 car je pense vraiment que c'est une des raisons.

Par contre je me demande vraiment pour les nouveaux sites, qui n'ont donc pas encore de BL, si il vaut pas mieux passer par là...

Le jour ou je vois passer wiki en https on en reparle de cette lubie :roll:

Déjà le cas chez moi…(désolé si c'était du 2nd degré ?)

Pas chez moi en tout cas

 

[Schwarzer Stern]

Ah en effet, c'était juste que j'étais connecté comme utilisateur !

 

[patapon87]

http://www.slate.fr/story/91085/video-chat-hack-donnees-personnelles

Conclusion : on attendra que youtube soit en chiffré

 

[DM13]

le passage brutal en https est aussi un signal flagrant d’optimisation SEO donc de ...

Donc de quoi ??!! Google n'a jamais été "contre" l'optimisation SEO. Cette optimisation, en soit, est même une très bonne chose pour TOUS. Il ne faut pas tout mélanger... L'optimisation SEO et les mauvaises pratiques visant à tromper les moteurs de recherches sont deux choses totalement différentes !

Sur la migration http-->https, Google ne peut le voir QUE comme une bonne chose, un bon indicateur, PUISQUE c'est une recommandation officiel.

 

[DM13]

Google ne parle t il pas depuis des années de faire des sites pour les utilisateurs avant tout ? si oui pourquoi passer en https ?

JUSTEMENT pour les utilisateurs ! Google l'explique très bien dailleurs...

 

[DM13]

Google ne parle t il pas depuis des années de faire des sites pour les utilisateurs avant tout ? si oui pourquoi passer en https ?

Aucune raison. Je suis d'accord avec toi. Passer sur https parce que Google le demande, c'est montrer qu'on fait un site pour les robots de Google.

C'est l'inverse. C'est montrer que l'on s'intéresse justement aux utilisateurs. Sans cela, si l'on se fiche des utilisateurs, en effet la migration n'a pas de sens...

Google essaie à nouveau d'embrouiller les référenceurs. Google ne les aime pas simplement parce que l'argent donné aux référenceurs efficaces est de l'argent qui échappe à AdWords.

Jean-Luc

Google n'a absolument RIEN contre les référenceurs qui respectent ses guidelines. Il est en revanche, et c'est normal, contre ceux qui cherchent à tromper les internautes et les moteurs.

De manière imagé : tu aimes inviter des amis chez toi, mais tu n'aimes pas que les voleurs s'invitent chez toi.

 

[DM13]

Google essaie à nouveau d'embrouiller les référenceurs.

Euh... en l'occurrence, ce sont les "référenceurs [sic]" qui s'embrouillent tout seuls quand ils se précipitent sur un truc d'aussi faible impact

Pense aux utilisateurs avant tout.

 

[alex84]

le passage brutal en https est aussi un signal flagrant d’optimisation SEO donc de ...

Donc de quoi ??!! Google n'a jamais été "contre" l'optimisation SEO. Cette optimisation, en soit, est même une très bonne chose pour TOUS. Il ne faut pas tout mélanger... L'optimisation SEO et les mauvaises pratiques visant à tromper les moteurs de recherches sont deux choses totalement différentes !

Sur la migration http-->https, Google ne peut le voir QUE comme une bonne chose, un bon indicateur, PUISQUE c'est une recommandation officiel.

tu cherches à te convaincre que t'as fais le bon choix en passant au https ? :lol: quand on est vraiment sur de soi pas besoin de chercher à convaincre les autres en mettant des mots en majuscules, genre c'est la vérité absolue... c'est pas la première fois que google nous fait tourner en bourrique en revenant au bout de quelques temps sur une consigne officielle. le jour ou google décidera que c'est bon pour la qualité de tous les sites que les webmaster se baladent avec une plume dans le cul, tu le feras ?
je pense comme zeb, pour moi cette décision de google est une lubie de plus, qui n'améliore en rien la qualité des sites. les choses vraiment utiles s'imposent d'elles-mêmes, elles n'ont pas besoin de la pitoyable carotte du petit coup de boost pour s'imposer.

 

[DM13]

Libre à chacun de faire comme il le souhaite.

 

[zeb]

Oui tu as raison sur ce point mais je ne vois toujours pas en quoi l'utilisateur va trouver avantage à une communication cryptée entre son navigateur et le serveur :roll:
Google ne travaille pas pour un monde meilleur il bosse pour le fric et c'est tout.

 

[DM13]

Comme expliquent Zineb Ait Bahajji et Gary Illyes ("porte-parole" Google) :

« Pour l’instant, il s’agit juste d’un signal très léger – affectant moins de 1 % des requêtes et comptant moins que d’autres signaux comme la qualité des contenus – parce que nous donnons aux webmasters du temps pour passer au HTTPS. Mais avec le temps, nous pourrions décider de le renforcer, parce que nous aimerions encourager tous les possesseurs de sites Web à passer de HTTP à HTTPS pour que chacun puisse être davantage en sécurité sur le Web. »

Google ne gagne rien, financièrement parlant, en incluent le protocole https dans son algorithme de notation des sites web !
Se sont les sociétés qui vendent les certificats qui gagnent de l’argent avec les certificats authentifiée (CA).

Pourquoi est-il conseille d’utiliser des certificats SSL pour les sites webs, même pour des sites web odinaires ?
L’intérêt d’un site web sécurisé en https réside dans le chiffrement des données entre le client (vous) et le serveur de telle façon que le contenu de toutes les pages que vous consultez ne sois connu que de vous. Certes, en France et de nos jours l’intérêt est limité mais si l’on pense aux internautes des pays comme la Chine ou la Corée (et j’en passe) l’utilité est avérée.
Nous ne sommes pas encore en Chine… mais quand je vois ce qui se profile pour nous en république populaire de France, je m’inquiète un peu.

Pour résumer, le chiffrement et l’authentification :

* Login chiffrée (pas de mot de passes/cookies en clair) – la je pense a la protection d’une attaque MITM sur un réseau local/wifi (ndlr : https://www.crashdump.fr/securite/arp-spoofing-arp-cache-poisoning-59/)

* Contenu inconnu pour ton FAI (Les requêtes et les réponses sont chiffrés, ex d’une requête https (http/ssl implicite) : 1. La connexion TCP (three-way handshake) 2. le protocole SSL (négociation des clés) 3. requête HTTP dans le canal chiffré établi précédemment.)

* L’authentification du serveur : En vérifiant la validité du certificat on peux très vite savoir si le serveur est vraiment celui attendu par la requête (encore plus évident si le certificat a été signé par une CA reconnue).

 

[zeb]

Mouais tu as ton avis je ne le partage pas, et l'effet d'annonce est largement au conditionnel pour indiquer clairement qu'il y a une bonne part de vent dans l'histoire de GG.

Mais bon que les partisans du Https foncent les yeux fermés, perso ça ne me chatouille pas plus que ça, vu les sites qu'on croise en général et leur large in-optimisation SEO il est surement préférable de donner aux webmaster du grain a moudre pour nourrir les SEOs sérieux qui sauront agir sur les vrais leviers efficaces.

 

[DM13]

Je comprends zeb. Mais pourquoi ne pas passer au https ? Tu te dis que cela ne t'apporterai rien et n'apporterai rien aux utilisateurs ? C'est bien cela ?

Il faut simplement savoir, par exemple, qu'il est très facile (même sans être un hakers ou pirate chevronné) de servir aux visiteurs de ton site (ou tes sites) en simple http un contenu différent de ce que tu proposes à l'origine. Il est facile, juste avec les flux qui transitent sur les réseaux, de servir aux internautes du contenu qui aura été modifié à la volée. Ca peut être du texte, des images, des liens... tout, y compris des tarifs, des coordonnées, adresses et/ou numéro de téléphone par exemple. Pas vraiment "top"...

N'importe qui, en moins de 30 mn, peut faire cela en téléchargeant sur le net certains softs faisant ce boulot. Il suffit de faire une petite recherche et de savoir où chercher et si quelqu'un veut faire cela gratuitement, rien que pour emerd... le monde, il le fera.

 

[DM13]

Au delà de cela, imagine toi simplement à une terrasse de café... Tu visites des sites, tu lis tes mails, tu réponds à tes mail, etc... et pendant ce temps, un mec assis à cette même terrasse vois absolument tous tes échanges, tout ce que tu fais... Ca ne te gene pas ? Tu te dis que tu n'as rien à cacher ?

Moi, perso, je ne veux pas de ça.

 

[DM13]

Une étude de cas sur une migration : https://www.seroundtable.com/https-to-http-status-report-on-rustybrick ... 18979.html

 

[Patricia71]

J'y suis passé sur mon site https://www.sitepenalise.fr , mais c'était juste question de savoir comment faire ( vous trouverez un tutoriel complet pour passer votre blog wordpress en https ). Pour l'instant R.A.S. J'avais surtout peur de perdre des places suite au 301.

 

[zeb]

Il faut simplement savoir, par exemple, qu'il est très facile (même sans être un hakers ou pirate chevronné) de servir aux visiteurs de ton site ...

Oui mais bon le https ne change rien a ça ... ça rend juste la manipe un poil plus complexe dans la mesure ou il faut passer par des couches d'encodage/décodage pour réaliser la même chose ... si c'est "encore" lourd d'un point de vue CPU actuellement ça ne le sera plus dans 3/4 ans avec l'augmentation de la puissance de calcul.

Après si un quidam se fait "surveiller" en http et qu'il y a des raison a cela ne pense tu pas que c'est aussi simple en https ? :wink:

Honnêtement cette histoire ne protège rien technologiquement parlant mis a part peut être une perception de MDP en clair mais c'est pas nouveau. Pour le reste c'est a mon sens juste de la parano. Perso si je veux être certain de n'être point surveillé je vais déjà passer par des réseaux sécurisés et surtout pas faire ça aux yeux et au nez de tous à la terrasse d'un macdo ... Quoi qu'il en soit si la volonté de GG est de forcer la main en ce sens cela ne peut être que du vent car il est évident pour moi qu'il s'en contrefiche totalement.

Maintenant fait le bilan d'un passage https, qui te dis que le temps de rendu ne sera pas affecté au point de te faire perdre des points SEO, de même quid de la perte de jus avec les 301 ... au dela de tout cela quid encore des nombreux facteurs ++ qui sont souvent totalement négligés en comparaison ... et quand bien même https donnerait un plus quel serait le poids de ce plus face a un très bon BL bien placé ? surement négligeable ...

Bref, je pense que les effets de manche de google sont archi connus on en a eu des centaines ces dix dernières années SEO, du moins j'en ai vu passer beaucoup ces 10 dernières années et je pense sincèrement que c'est pas là qu'il faut s'affoler les méninges et dans tous les cas c'est surement pas le moment de le faire ...

De toi a moi, et ça peut en intéresser d'autres, sans donner d'exemples je peux témoigner que certains points de couplages avec google (que ce soit avec leur technologie ou leur guidelines) sont parfois très contreproductifs au point d’influer sur un facteur 30% le trafic d'un site moyen (5 à 10K VU). J'ai donc pris pour habitude de me fier a mes propres sentiments, à certaines personnes aussi que je sais compétentes et surtout pas a la com de GG qui contiens plus de 50% d'intox.

Là de toi a moi, sans pourvoir prouver quoi que ce soit (de toutes façon qui peut prouver quoi en SEO ?) ça sent l’esbroufe a 200%. :wink:

 

[DM13]

Ton point de vue se défend parfaitement zeb.

 

[ortolojf]

Bonjour zeb

Une seule petite question :

Je croyais que le flux crypté en https, était du 128 bits au minimum ?

Décrypter celà ( en temps réel ), est-il réellement faisable ?

Celà pourrait-il avoir des conséquences sur le secret des login/password, etc...

N'est-ce pas le même type de cryptage, que pour les accès bancaires à distance ?

Merci beaucoup beaucoup de ta réponse.

Respectueusement.

Jean François Ortolo

 

[zeb]

Je croyais que le flux crypté en https, était du 128 bits au minimum ?

L'histoire montre avec évidence que tous les systèmes de cryptages ont été cassés un jour ou l'autre, c'est juste une question de temps. Il faut être bien naïf pour croire qu'un système est inviolable (je ne dis pas que c'est votre cas :wink: ), la seule certitude c'est que les moyens pour casser un encodage X ou Y augmentent beaucoup plus vite que les efforts déployés pour sécuriser les systèmes les utilisant.

Il faut aussi prendre en compte que plus un système est utilisé, plus il fait l'objet d'analyse et de tentative de cassage (cf "absence" virale notoire sur Linux vs Wx). A ce jour seul qques services reposent sur le https, si cela se généralise, la soif "d’espionnage" ne changeant pas (c'est une constante dans l'équation), alors l’intérêt pour son cassage augmentera.

Décrypter celà ( en temps réel ), est-il réellement faisable ?

oui si on a les clefs (c'est ce que fait le navigateur) mais plus sérieusement une vrai attaque visant a corrompre un système ne se gère pas en temps réel ... une fois une séquence crypté capturée on a tous le temps pour fouiner, calculer et retrouver les données en clair, bref ...

Celà pourrait-il avoir des conséquences sur le secret des login/password, etc...

Je connais des systèmes d'état qui passent encore leur login / pswd en clair dans des variables en GET ... La sécurité c'est pas une histoire de technologie mais d'humain le souci est généralement entre le clavier et la chaise.

Je ne sais pas ce qu'utilisent les banques mais ce que je sais c'est que votre démarche de passer en https pour votre site de pronostique de course est uniquement SEO et basé uniquement sur un effet d'annonce de Google sinon vous n'auriez rien changé a votre site. Nous nous connaissons depuis suffisamment longtemps pour savoir que tous deux nous sommes des techniciens quine sont pas tombés de la dernière pluie. Nous savons aussi que nos sites n'hébergent pas de données sensibles au niveau stratégique, politique, ... Bref nous avons en commun le fait que nos visiteurs n'ont absolument pas besoin d'un encodage de nos pages si ce n'est de dire que le voisin aura plus de mal a savoir ce qu'on regarde ... mais là encore je doute qu'il ne lui soit pas possible d'espionner d'une façon ou d'une autre. Un simple logiciel de capture d'écran espion suffira a fliquer qui que ce soit https ou pas ... :roll:

 

[maloc]

<HS data-mode="on">petite histoire de mon banquier.

Dans leur banque, "sécurité" oblige, toutes les semaines, ils sont obligés de changer tous les mots de passe de tout leur logiciel (mot de passe généré, donc bien long et complexe). Bref, il est absolument impossible de retenir les mots de passe chaque semaine.

Au final, les mots de passe sont écrit sur leur bloc note devant eux (et ils ne sont pas cryptés hein ).</HS>

 

[HawkEye]

...il suffit donc d'accéder en 3G à la caméra de sécurité de la banque, et le tour est joué.

#WatchDogs :mrgreen: