.

migrer en HTTPS

Après avoir dessiné les contours de la migration HTTPS et expliqué ses enjeux dans la première partie de notre dossier, nous continuons de défricher le terrain en vous expliquant pas à pas comment migrer en HTTPS.

Pour vous faciliter la lecture de cet article voici le sommaire :

  1. Le Before : Préparez votre migration vers HTTPS
  2. Migrez vers HTTPS
  3. L'after : Vérifiez que tout est en ordre

 

To do list : comment bien préparer votre migration en HTTPS ?

1. Achetez et installez un certificat SSL

Comme nous vous le disions dans la première partie de notre dossier sur la migration HTTPS, il existe plusieurs types de certificats : les certificats dits “simples” (single domain), les certificats “multi-domaines” et les certificats “wildcards” (adapté pour les sites ayant plusieurs sous domaines).

Si les certificats SSL ont longtemps eu la réputation d’être coûteux et compliqué à déployer, la donne a changé depuis l’arrivée de Let’s Encrypt. Cette nouvelle autorité délivre des certificats SSL valides pour 3 mois (renouvelables) gratuits et déployés automatiquement.

let's encrypt

2. Pensez à modifier vos URL internes

Vous allez désormais servir des pages en HTTP et en HTTPS, ce qui ne pose aucun problème. En revanche, lorsque vous servez des pages mixtes (par exemple une page HTTPS dans laquelle des ressources sont servies en HTTP), votre page n’est plus entièrement sécurisée et vos visiteurs en seront alors informés.
Il vous faudra donc modifier vos URL de type :
URL interne
en :
URL interne HTTPS
ou encore en :
URL interne HTTPS

Vos URL internes deviennent alors relatives au protocole (avec l’écriture //fasterize.com) ou relatives au nom de domaine et au protocole (avec l’écriture /jquery.js).

3. Redirigez les URL HTTP vers HTTPS

Pensez à mettre en place des redirections 301. Vous assurez ainsi la transition de l’ancienne version (HTTP) vers la nouvelle version (HTTPS) de vos pages, en conservant leur popularité et leur trafic.
Cette étape sera bientôt automatisée par Fasterize. Vous n’aurez qu’une case à cocher depuis le dashboard !

warning HTTPS

Attention aux URL dupliquées

Le temps que toutes les redirections soient effectives, les URL seront dupliquées. Il y aura votre ancienne URL en HTTP qui ne doit plus être crawlée et votre nouvelle URL en HTTPS possédant le même contenu que l’ancienne.
Les sites disposant d’un volume important d’URL peuvent voir leur trafic baisser temporairement :

jusqu'à 15 à 20% pendant plusieurs jours.

Aymeric Bouillat

consultant de Résonéo

C’est pourquoi il recommande de ne pas inclure directement le sitemap XML du site sécurisé dans la Search Console. Cette bonne pratique a l’avantage de :

permettre à Google de découvrir directement les URL sécurisées via les redirections 301, et non pas via le crawl du site en HTTPS ou son sitemap, afin de limiter au maximum cette duplication temporaire.

Aymeric Bouillat

consultant de Résonéo

4. ...et assurez-vous que les liens canoniques pointent vers les pages HTTPS

L’URL canonique (canonical URL) est une balise permettant d’indiquer au moteur de recherche, quelle est l’URL « officielle » à crawler. Vous vous éviterez par la même occasion quelques soucis avec Google au sujet des contenus dupliqués.

Voici quelques conseils donnés par Google pour l’utilisation de la balise ‘rel=canonical’ :

  • Les deux pages doivent avoir un contenu identique ou très proche.
  • L’URL indiquée dans la balise “canonical” existe et n’est pas redirigée.
  • Cette page canonique ne contient pas une balise meta robots « noindex ».
  • Une seule balise “canonical” doit être présente dans la page. S’il en existe plusieurs, elles seront toutes ignorées.

5. Veillez au tracking de votre site en HTTPS

Si vous utilisez des outils SEO type SEMRush ou Ahrefs, mettez à jour vos liens !

To do list : migrer en HTTPS

1. Activez le HTTPS sur vos serveurs

Il existe quelques bonnes pratiques pour bien configurer son serveur pour HTTPS, pour cela, je vous invite à lire cet article >>. Ces bonnes pratiques sont déjà activées pour tous les sites branchés à Fasterize et nous veillons à mettre à jour régulièrement notre configuration serveur pour être conforme au PCI DSS.

Notez qu’il n'existe plus de configuration SSL sécurisée (ie. qui ne fait pas l'objet d'une faille de sécurité) permettant de supporter Internet Explorer sur Windows XP.
Voir pour IE6 sur XP >>
Voir pour IE8 sur XP >>

2. Pensez à soumettre un nouveau sitemap avec des urls en HTTPS

Vous ne pourrez pas indiquer votre transition dans vos comptes Search Console ou BING Webmaster Tools actuels (celui qui gère vos pages HTTP). Il vous faudra donc en créer un nouveau et lui soumettre un nouveau sitemap avec les URL en HTTPS de votre site Web.
Notez que si vous avez un fichier disavow, il vous faudra aussi le répliquer dans votre nouveau compte.

3. Vérifiez que vos pages HTTPS sont bien indexables

Ce serait dommage de faire tout ce travail et de ne pas être indexé !
Dans le cas où vous bloquiez précédemment l’indexation de vos pages HTTPS, pensez à modifier votre fichier robots.txt afin que celles-ci soient désormais crawlées et supprimez les balises Meta noindex de vos pages HTTPS. Pour en savoir +

4. Activez le Strict Transport Security (HSTS) et sécurisez vos cookies

Le HSTS (un mécanisme de sécurité) permet d’informer un agent utilisateur (tel qu’un navigateur) compatible que désormais les interactions entre client et serveur se feront par le biais d’une connexion sécurisée.
Il est aussi important de sécuriser vos cookies en ajoutant le mot-clef “secure”. Sans cela, le navigateur qui accèdera à une page HTTP non sécurisée après une navigation sécurisée, transmettra par la même occasion le cookie (précédemment protégé) en clair sur le réseau.

5. Paramétrez vos CDN

Déployez votre certificat SSL sur votre CDN.

6. Mettez à jour les paramètres Admin Google Analytics

Sélectionnez la version « HTTPS » et enregistrez les paramètres. Cela garantit que toutes les données rapportées dans Google Analytics seront désormais mesurées pour le site en HTTPS (nouvelle version).


To do list : que faut-il faire après votre migration HTTPS ?

1. Veillez à maintenir vos éléments externes

  • La chasse aux URL
    Que ce soient les URL de vos réseaux sociaux pointant vers votre site, les URL de vos landing pages, de vos campagnes payantes (Google AdWords, Ads, etc.), des comparateurs de prix, de vos signatures d’e-mail, ou encore de vos emailing, pensez à mettre à jour les URL pour drainer du trafic en HTTPS sur votre site web. Exit les liens en HTTP !
  • Les plugins externes
    Mettez à jour vos plugins externes (WordPress, Prestashop, Magento, …) pour vous assurer qu’ils soient bien compatibles HTTPS.
  • Les Social Share
    En migrant vers HTTPS, vous perdez l’indication du nombre de likes, tweets, partages, etc. Pas de panique, vous pouvez les récupérer, en suivant le guide !
social share https

2. Après l’effort .... la vérification !

Vous ne pensiez tout de même pas qu’on allait s’arrêter là ? 🙂
Maintenant que vous avez migré, il y a quelques “détails” à vérifier :

  • Quelle note vous donne Qualys Lab ? Visez le A ou le A+ ! Toute note inférieure doit être considérée comme un bug.
  • Votre site mobile fonctionne-t-il comme il faut ?
  • Votre moteur de recherche interne fonctionne-t-il correctement ?
  • Le flux RSS de votre site / blog fonctionne-t-il bien sur la nouvelle version du site ?
  • Mesurez vos temps de chargement.
  • Contrôlez pendant quelques semaines le trafic sur les anciennes et sur les nouvelles URL.

Cette fois-ci vous avez fini de scroller. Vous êtes arrivés au bout de votre migration ! Bienvenue dans le monde du web sécurisé 🙂

Cet article vous a plu ?
Vous aimerez aussi cet article :

Lire l'article