En date de janvier 2017, environ 50% du web est désormais encrypté grâce au protocole HTTPS. Cela dit, plus de 600 millions de sites web non sécurisés existent au moment d’écrire cet article. Le protocole HTTP (HyperText Transfer Protocol) est ce qui permet à votre navigateur de vous afficher les sites web que vous visitez. Bien que vous ne le voyiez parfois pas directement dans la barre d’adresse, il est toujours présent. De son côté, HTTPS signifie « HyperText Transfer Protocol Secure ». Cette couche de sécurité supplémentaire est essentielle pour protéger les données des utilisateurs, ainsi que l’information qu’ils consultent.
Depuis plusieurs années, les sites de commerce en ligne utilisent ce protocole de sécurité. Cependant, Google Chrome et Firefox (ces navigateurs englobent 60,79% de tous les internautes) ont commencé à instaurer des mesures plus sévères dès janvier 2017. Désormais, ce sont tous les sites web, peu importe leur raison d’être, qui sont touchés par ces lois. Dans le cas de Google Chrome, d’autres modifications importantes verront le jour en octobre 2017.
Pour savoir si vous naviguez sur un site sécurisé en utilisant Google Chrome, regardez à gauche de l’URL du site sur lequel vous vous situez :
Un site en HTTPS vous permet d’entrer des données personnelles (numéro de carte de crédit, par exemple) et de remplir des formulaires en toute sécurité. De plus, cela empêche certains détracteurs (hackers) de modifier le contenu d’un site web.
Le but ultime de Google étant d’afficher la mention « Site non sécurisé » à tous les sites web HTTP, voici tout ce que vous devez savoir à ce sujet pour ne pas être pénalisé.
NOUVEAUTÉ EN OCTOBRE 2017
Présentement, Google Chrome affiche la mention « Site non sécurisé » s’il y a une section transactionnelle ou des formulaires incluant des champs de type « mot de passe » sur un site web qui utilise le protocole HTTP.
Ce qui risque de toucher une quantité énorme de sites (et peut-être le vôtre), c’est la mise à jour prévue pour octobre 2017. Maintenant, tous les sites qui possèdent un minimum d’un formulaire (champ de recherche, formulaire de contact, etc.) afficheront « site non sécurisé » dans la barre d’adresse lors de la saisie de texte. De plus, tous les sites HTTP consultés en navigation privée seront considérés comme non sécurisés par le navigateur. L’illustration qui suit montre un exemple de Google Chrome. La section de gauche (oct. 2017) présente la mention « Not secure » qui sera affichée à tous les utilisateurs qui entrent du texte dans un formulaire si le site n’est pas protégé par HTTPS. La section de droite montre que l’alerte sera affichée en tout temps aux utilisateurs qui naviguent en mode « navigation privée » sur un site HTTP.
Concrètement, cela veut dire que tous les internautes qui naviguent un site HTTP verront, à un moment ou un autre, apparaître la mention « site non sécurisé ». Effectivement, il est rare de trouver un site web ne comportant aucun champ de saisie de texte (page « nous joindre », par exemple). Si vous n’êtes pas encore convaincu, sachez que le but ultime de Google est de considérer comme non sécurisés tous les sites web HTTP, sans aucune autre restriction. Cela ne se produira pas en 2017, mais c’est une certitude pour le futur. Il y a aussi fort à parier que les autres navigateurs (Firefox, par exemple) suivront aussi cette tendance.
Pensez à l’impact que cela aura sur les sites HTTP qui ont comme objectif de générer des conversions pour une entreprise (leads, création de comptes et bien plus). La sensibilisation à la sécurité numérique est de plus en plus présente et une mention « site non sécurisé » en fera certainement fuir plus d’un ! Voilà concrètement de quoi cela aura l’air :
LES IMPACTS DIRECTS SUR VOTRE SITE WEB
Si vous vous demandez toujours les impacts concrets que cela aura sur le site de votre entreprise, voici une liste des principaux enjeux :
- Un impact direct sur vos conversions. En effet, une adhésion en tant que membre ou la complétion d’un formulaire de contact sont souvent des leads importants pour une entreprise. Si le site web utilise le protocole HTTP, les internautes qui remplissent ces formulaires se feront aviser que les données qu’ils fournissent (parfois personnelles) ne sont pas protégées.
- Un effet négatif pour votre référencement naturel (SEO). Puisque l’auteur derrière ces mises à jour est Google, il est évident que le leader des moteurs de recherche y accorde beaucoup d’importance. La potentielle baisse de trafic et les visites écourtées font partie des facteurs qui peuvent nuire au référencement naturel.
- Une tache à l’image d’une entreprise. Par malheur, si quelque chose arrive aux données amassées par un site web (fuite, vole de données, etc.), il arrive fréquemment que les médias en fassent mention. Selon l’ampleur de l’incident, restaurer la confiance envers ses clients ou ses membres peut être très difficile.
TROIS SOLUTIONS POUR PASSER AU HTTPS
En forçant de plus en plus les sites à migrer vers HTTPS, Google vise à améliorer l’expérience des utilisateurs et leur sécurité. Par contre, cela créer énormément de travail et de casse-têtes pour les webmestres. Pour un site comportant des milliers de pages, une migration vers HTTPS peut prendre plusieurs mois. Il est certain que du temps et de l’argent seront investis dans le processus, mais cela est sujet à varier selon l’envergure de votre site et la méthode que vous choisissez. Il est bien important de noter que lorsque vous migrer votre site web vers HTTPS, la version HTTP de votre site ne doit plus être en ligne ou ne doit plus être indexable. Si les deux versions sont en ligne simultanément, cela sera considéré comme du contenu dupliqué par les moteurs de recherche et des pénalités au niveau de référencement suivront.
Ces trois techniques de migration ont chacune leurs avantages et désavantages :
Implantation HTTPS traditionnelle
La première étape pour une configuration HTTPS standard est de se munir d’un certificat SSL provenant d’un fournisseur de confiance (Comodo ou Digicert, par exemple). Une fois que vous avez un certificat valide en main, vous devez l’installer sur votre serveur. Cet article de namecheap explique bien la procédure à suivre pour y arriver selon votre type de serveur.
Cette méthode, même si elle demande un bon investissement, reste la plus sécuritaire. De plus, un certificat SSL valide vous permet d’afficher le nom de votre entreprise directement dans la barre du navigateur pour rassurer davantage vos clients.
Il s’agit aussi de la meilleure solution pour les sites comportant plusieurs sous-domaines. Certains certificats SSL sont faits expressément pour ce genre de structure.
Let’s Encrypt
Let’s Encrypt est une organisation sans but lucratif qui a comme objectif de contribuer à la sécurité sur le web. Pour ce faire, ils procurent des certificats SSL gratuitement aux sites qui en font la demande. Évidemment, comme avec la méthode traditionnelle, le certificat doit être validé et implanté sur le serveur. L’installation d’un certificat SSL provenant de Let’s Encrypt est souvent beaucoup plus simple grâce à des services tiers comme Certbot.
Avec Let’s Encrypt, vous pouvez profiter d’un certificat 100% gratuit et tout aussi sécuritaire qu’avec la méthode traditionnelle. Par contre, ces certificats sont seulement valides pour une durée de 90 jours et doivent constamment être renouvelés pour éviter tous problèmes.
Cloudflare
Cloudfare est certainement la méthode la plus simple pour migrer votre site web vers HTTPS. Vous n’avez pas à installer un certificat SSL directement sur votre site web, car Cloudfare utilise sa propre protection SSL et son « cloud » pour héberger et sécuriser la connexion entre les internautes et votre site. Cette image résume le principe de cette solution :
Comme avec Let’s Encrypt, le service de Cloudflare est offert gratuitement (ils offrent des plans payants pour débloquer des paramètres plus avancés). Le principal défaut de Cloudfare est au niveau de la sécurité. Bien que la connexion entre les visiteurs et votre site soit protégée, la connexion entre votre site et votre serveur ne l’est pas (dans le plan gratuit, du moins). De plus, même si les compagnies de ce genre travaillent sans cesse à améliorer la sécurité de leur cloud, la possibilité de piratage informatique est toujours présente.
QUELLE EST LA MEILLEURE SOLUTION ?
La réponse à cette question dépend de votre site web. Si vous avez un site de petite envergure et que vous désirez seulement ne pas être puni par les lois de Google, Cloudfare est probablement une solution intéressante. Cloudfare est aussi à prioriser si vous êtes une agence ayant comme mandat de migrer le site d’un client vers HTTPS, mais que vous n’avez pas un accès total au développement du site. Dans un autre cas, si vous avez un site web transactionnel générant beaucoup de trafic ou un site où les utilisateurs sont invités à fournir des données privées, une implantation traditionnelle et personnalisée est la meilleure solution.
Pour en savoir plus sur les méthodes d’implantation, consultez cet article de MOZ.
BREF
Le web ne cesse de grandir et la sécurité y est de plus en plus présente. Les immenses compagnies comme Google se battent pour que le plus grand nombre possible de sites web soient sécuritaires et cela devrait commencer par le vôtre. Comme mentionné un peu plus haut, tous les sites devront utiliser HTTPS dans un futur qui n’est pas si lointain. Avec les mises à jour de Google Chrome prévues pour octobre 2017, il est plus temps que jamais de faire la transition. Si cela n’est pas déjà dans votre cas ou pour vos clients, qu’attendez-vous ?
N’hésitez pas à nous contacter si vous avez des questions concernant les protocoles HTTP et HTTPS ou tout autre sujet !