Google veut faire d'Internet un endroit plus sûr… et à partir du 1er février, il commencera à afficher un avertissement de navigateur (via la barre d'adresse Chrome) pour tout site qui rassemble des informations sensibles qui ne sont pas cryptées avec le protocole HTTPs. C'est vrai: si votre site n'utilise pas les HTTP à la fin du mois de janvier, Google marquera votre site comme non sécurisé, ce qui peut également être pris en compte dans votre classement de recherche.
Nouvelles exigences HTTP de Google - Quelles données sont considérées comme sensibles?
Si votre site collecte des données telles que des informations de carte de crédit, des mots de passe, des adresses, etc., il est essentiel que votre site soit de toute façon sécurisé. HTTPs (qui signifie HyperText Transfer Protocol Secure) offre une couche de protection supplémentaire pour les utilisateurs de votre site, garantissant que les informations qui passent entre vos utilisateurs et votre serveur sont cryptées (ce qui les rend inutiles si elles sont capturées dans certains types d'attaques). En d'autres termes, une connexion HTTP standard donne aux utilisateurs non autorisés une chance encore plus grande de surveiller les données sensibles.
Avec la sortie de Chrome 56 à la fin du mois, Google impose désormais de passer aux HTTP en marquant toutes les pages avec des champs de mot de passe ou de carte de crédit avec une connexion HTTP comme «non sécurisée». Ce n'est qu'une première étape dans la quête de Google pour faire d'Internet un endroit plus sûr pour les données privées et sensibles.
Ce qui est en jeu en ne passant pas aux HTTP
Un certain nombre de choses sont en jeu si vous refusez de passer aux HTTP.
Confiance des utilisateurs . Tous les utilisateurs souhaitent que leurs données les plus précieuses et les plus sensibles soient sécurisées lorsqu'ils visitent ou utilisent un site. HTTPs protège mieux les données des utilisateurs; aussi simple que cela. Puisque HTTPs devient la norme, ne PAS avoir de HTTP est un signal d'alarme pour les utilisateurs qui reconnaissent le plus souvent que HTTP n'est pas sécurisé.
Rechercher des classements . Dès 2014, Google a commencé à inciter les propriétaires de sites à chiffrer leurs sites en faisant de la sécurité du site un signal SEO. Mais, à la manière de Google, ils font monter les enchères - et rapidement - en forçant (presque) les HTTP. Cela signifie qu'ils vous pénaliseront essentiellement si vous ne faites pas le changement. Votre classement de recherche ne souffrira peut-être pas beaucoup le premier jour, et Google peut offrir des conseils de référencement liés à la nouvelle exigence, mais nous n'attendons pas et vous ne devriez pas non plus. Nous sécurisons immédiatement tous les domaines de notre portefeuille.
Votre temps de chargement . Les sites sécurisés se chargent plus rapidement que les sites non sécurisés . Un site à chargement plus rapide garantit une plus grande satisfaction des utilisateurs. Le temps de chargement de la page devient également un facteur de classement important . Toutes choses étant égales par ailleurs, un site plus lent aura un classement inférieur.
Comment savoir si votre site web est sécurisé
Cherchez la serrure! Si vous voyez une icône de cadenas vert ou un autre message indiquant «sécurisé», votre site devrait déjà être protégé par HTTP. Sinon, vous pouvez voir un avertissement rouge ou un triangle jaune indiquant que le site n'est pas sécurisé. L'affichage de ces messages dépend de votre navigateur (Chrome, Firefox, Internet Explorer). À l'heure actuelle, cette mise à jour affecte uniquement Chrome. Gardez toutefois à l'esprit que Chrome est en tête du marché. Quoi qu'il en soit, les autres navigateurs suivront certainement.
Ce que vous pouvez faire pour le sécuriser
Si votre site est toujours HTTP, vous devrez mettre à jour votre serveur avec un certificat de sécurité valide dès que possible. Commencez par obtenir un certificat SSL auprès d'une autorité de certification ou utilisez un serveur prenant en charge la norme Let's Encrypt . Cela cryptera et protégera les données de vos utilisateurs sur votre site. Un certificat SSL agit également comme un tampon d'approbation d'une source de confiance qui indique que votre domaine et / ou votre entreprise est légitime et sécurisé. Vous pouvez acheter votre certificat directement auprès de producteurs comme GeoTrust, Verisign et Comodo. Vous pouvez acheter un certificat auprès de votre hébergeur, garantissant une compatibilité parfaite avec ses serveurs ou auprès d'un service de couche de domaine comme CloudFlare.
Nous sommes fans de Let's Encrypt qui est pris en charge par notre hôte O2switch.
Ce guide étape par étape décrit toutes les étapes de la migration vers HTTP, mais sachez que ce processus nécessite des redirections de liens approfondies et des mises à jour de liens externes. Si vous ne vous sentez pas à l'aise de faire ce processus par vous-même, contactez un développeur Web de confiance qui peut faire tout cela pour vous.
Réflexions sur le HTTPS
Franchement, il n'y a aucune raison pour que votre site ne soit pas déjà sécurisé. La sortie de Chrome 56 par Google témoigne de leur engagement plus profond dans cette nouvelle ère sécurisée où les mesures de sécurité transparentes sont la norme, et non l'exception. Si votre site n'utilise pas de HTTP, le moment est venu. Offrez à vos utilisateurs la sécurité qu'ils méritent et protégez vos classements de recherche dans le processus.