HTTPs devient la norme pour le référencement sur Google

Comme vous le savez peut-être, le HTTPS devient la norme pour le référencement sur Google. Voyons en détail pourquoi ainsi que les « pour » et les « contre ».

Google a annoncé qu’à partir de juillet 2018, seront signalés aux internautes, les sites qui sont en HTTP, et non HTTPS, comme « non sécurisés ». Google entend par cela poursuivre sa « mission de sécurisation du web ».

C’est une bonne chose de passer en HTTPS, mais il fait avouer que tous les sites n’en auraient pas forcément besoin. Mais du moment que vous avez un formulaire de contact, ou un accès membre/client, pour plus de sécurité c’est fortement recommandé. Cela permet de crypter tous les échanges de données entre le logiciel de navigation et le service web, donc indéchiffrables de l’extérieur, si des « oreilles » mal intentionnées tente de récupérer ces informations.

Qu’est ce que cela implique techniquement ? Il faut savoir que la charge serveur va augmenter du fait, car chaque donnée reste cryptée à la demande avant envoi, donc impose plus de traitement côté serveur. Après, si votre serveur web n’utilise pas de SNI (avec les problèmes de compatibilité que cela impose), il vous faut une adresse IP dédiée, pour y accoler votre certificat SSL (1 domaine = une IP).

Il existe plusieurs types de certificat, et si certaines entreprises valorisent des certificats avec assurances, c’est pour récupérer les sommes qu’elles ont dû débourser pour faire accepter leurs autorités de certification dans les navigateurs. C’est pour cela d’ailleurs que si vous créez vous-même votre propre certificat, même s’il crypte effectivement bien les données, il génèrera un message d’erreur très alarmant comme celui ci-dessous.

Ce qui est à mon avis une tromperie de l’utilisateur patenté, car si l’autorité de certification est la vôtre, vous avez bien droit à utiliser des certificats autogénérés, mais bons…

En plus, l’affirmation de votre navigateur dans ce cas est totalement fausse, votre navigation est privée, c’est juste que vous n’avez pas payé ce qu’il faut à l’éditeur de votre navigateur.

Il vous est toujours possible si besoin (ils sont trop aimables), de cliquer dans les paramètres avancés, et d’autoriser ponctuellement la navigation sur votre site (dangereux), si c’est bien vous qui avez bien sûr généré ce certificat.

Dans tous les cas, pour un service grand public, ce type de message serait catastrophique, donc la solution initiale sera la bonne. De plus, il existe la solution peu onéreuse de « let’s encrypt« , même si elle est un peu technique de mise en place sur votre serveur, ou celle de « ssls » qui démarre à 5€/an.

Pour plus d’informations, je vous invite à vous rendre sur l’article du mois de février du Google Security Blog : https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html.