Vous êtes ici : Accueil > Le blog > Référencement > HTTPS : analyse d’une balle dans le pied

8

aoû
2014

HTTPS : analyse d’une balle dans le pied

Ce mercredi 6 août, Google a annoncé – notamment par une communication sur le Webmaster Central Blog - que les sites en HTTPS seraient dorénavant favorisés dans ses SERPs. Google indique néanmoins que ce critère aura pour le moment un poids très réduit et n’impactera qu’une minorité de sites (1%, selon le chiffre avancé).


En deux temps, trois mouvements, la nouvelle a fait le tour des blogs et réseaux sociaux. Et le moins que l’on puisse dire, c’est qu’elle n’est pas très bien accueillie !

Le coût d’un certificat de sécurité

Il existe différents niveaux de certificats, plus ou moins costauds. Selon les sources que j’ai consultées, les coûts évoqués varient de 40 à 400 euros annuels. C’est loin d’être négligeable, surtout si l’on possède plusieurs sites, et cette nouvelle dépense risque une fois de plus de discriminer les petits sites.

Parmi les premières réactions que l’on peut lire ici et là, d’aucun se demandent (oh les mauvaises langues !) combien de temps Google va mettre avant de vendre des certificats. Il est vrai que le célèbre moteur nous a surtout habitués, ces dernières années, à des mesures favorisant sa monétisation sous couvert d’améliorer ses services [1].

Personnellement, j’irais plus loin encore dans les hypothèses. Imaginons Google mettre à disposition gratuitement des certificats de son cru, s’assurant ainsi le monopole d’accès à des données. Possible, pas possible ? J’avoue ne pas y connaître grand chose en certificats, mais il me semble que des données cryptées ne le sont que si l’on ne possède pas la clé de chiffrement. Don’t be evil…

En tout cas, cette possibilité fait peur. Si quelqu’un qui me lit peut apporter un éclairage là-dessus, qu’il s’exprime, please.

La banalisation comme danger

Déjà, cette volonté d’imposer le HTTPS partout me paraît insensée : autant je peux le comprendre sur des sites sensibles, autant je peux en percevoir l’avantage sur des pages peu sensibles mais exigeant un login / mot de passe (blogs, forums, etc), autant je n’y vois aucune nécessité ni même aucun gain sur des pages de pur contenu.

Au-delà, je ne peux m’empêcher de craindre une certaine banalisation si le HTTPS devient la norme. Pour les gens qui n’y prêtaient pas attention, par négligence ou ignorance, ça ne changera rien. Mais pour les autres, ce HTTPS assorti de son petit cadenas étaient un signal précieux que l’on vérifiait par deux fois. Une certaine certitude, notamment, de ne pas se trouver sur un site de phishing…

Avec la généralisation, on risque bien de ne plus y prendre garde. De la même manière que l’on finit par ne plus voir ce qui fait partie du paysage quotidien.

Les aspects techniques

Passer du HTTP au HTTPS risque de ne pas être une sinécure ! Au-delà de l’installation du certificat, encore faut-il s’assurer que tous les contenus intégrés sont eux-mêmes en HTTPS, sous peine de voir apparaître de jolis messages d’erreur sur les pages : images, vidéos, players … Une partie du code est à adapter.

HTTPS, et contenus, et SEO

Les contenus eux-mêmes devront être mis à jour :

  • modification du robots.txt
  • correction du sitemap s’il n’est pas dynamique
  • changement des liens internes non relatifs (pas bien !) ou pointant vers un site externe qui a basculé en sécurisé (j’ai soudain une pensée émue pour les annuairistes…)
  • intervention sur vos éventuelles redirections… je dirais même plus : intervention obligatoire sur les redirections pour corriger tous ces beaux backlinks glanés par vos robots préférés à la sueur de votre front, et que les sites référents n’auront pas eux-mêmes corrigés.

Bref, un beau boxon !

Ce que Google ne nous dit pas non plus, c’est l’impact SEO des 404 et 301 au passage de l’HTTP au HTTPS.

Enfin, je conclurai cet article en mentionnant l’hypothèse d’Infiniclick, non dénuée de fondement, qui prête à la décision de Google un rôle de "big brother du SEO", ce qui reviendrait, pour ceux qui l’implémenteront, à se tirer une balle dans le pied... (allez lire chez lui, je ne vais pas tout répéter ;-).

[1Souvenons-nous du joli discours pseudo-sécuritaire qu’il nous a servi pour passer lui-même tous ses sites en HTTPS, d’abord pour les utilisateurs connectés - fin 2011 - avant d’étendre le principe à tous, à peine deux ans plus tard. Avec pour conséquence (je cherche toujours le lien de cause à effet) les mots-clés de requête devenus invisibles dans Google Analytics (remplacés par « not provided ») pour de soi-disant raisons de vie privée alors que dans le même temps, ces mêmes mots-clés restaient accessibles dans Google Adwords.

tags Google   •   SEO

Vos commentaires

8 Messages


  • 8 août 2014  à 11:24 — Par Daniel • Site web : http://www.web-eau.net

    Je rejoins la fronde des SEO suite à cette annonce de Google.
    J’ai expliqué sur mon blog mon point de vue de webmaster à ce sujet et il ne diffère pas tellement de ceux déjà exprimés depuis ces derniers jours.
    Reste que les motivations de Google ne sont pas très claires à vouloir imposer une sorte de standard à tout le monde (Big Brother ou pas).



  • 8 août 2014  à 14:47 — Par Olivier • Site web : http://www.webrankinfo.com/

    Je suis globalement d’accord, d’ailleurs je mets en garde les webmasters dans mon article http://www.webrankinfo.com/dossiers/conseils/https-critere-seo

    Par contre, sauf cas particulier éventuel, il n’y a pas besoin de modifier le fichier robots.txt car il ne fait que lister des URL relatives (au sous-domaine). Evidemment, il devra être déplacé sur l’URL en HTTPS, comme toutes les autres URL du site.



  • 8 août 2014  à 15:22 — Par Charles • Site web : http://www.gdm-pixel.fr

    Bonjour, juste une petite précision : ce n’est pas parce que le site présente "le petit cadenas" qu’on n’est pas sur un site de phishing...

    On peut tout à fait commande un nom de domaine avec une "faute" de typo, et qui ressemble à un vrai nom de domaine, et prendre un certificat domain-validated (une dizaine d’euros, obtention en quelques heures maximum), et après spammer comme un fou des mails scrappés.

    Mme Michu, qui pense arriver sur le site de sa banque, vérifie l’URL d’un air goguenard, ne voit pas la faute de typo (un l à la place d’un i, deux "s" au lieu d’un etc), et, voyant le petit cadenas, se dit "c’est bon, y a le petit cadenas".

    La suite, c’est la joie d’un hacker à l’autre bout de la planète, qui bénit l’ignorance des citoyens et la crédulité du noob en matière de SSL.

    Pour être sur qu’on est bien sur le "bon" site, c’est d’ouvrir les infos contenus dans le certificat SSL : si c’est un domain-validated, il n’y a que le domaine, si c’est un 3-facteurs, on trouve le nom de la société qui l’a commandé (si on est parano, on peut même chercher si la société existe toujours bien au RCS), et si c’est un EV y a carrément la barre verte...

    Donc, pour résumer "petit cadenas = https" (rien de plus), "petit cadenas + identité du propriétaire de certificat + société active au RCS = propriétaire identifié et OK", "barre verte = je peux y aller sans problème".

    Charles, ancien collaborateur chez un revendeur de SSL...



  • 8 août 2014  à 15:36 — Par Vincent • Site web : http://www.exacompare.fr/

    Hormis le coût qui risque d’être prohibitif pour les petits sites, en matière de SEO, la tâche promet d’être rude pour mettre tous les liens pointant depuis les sites (annuaires, backlinks, etc.), sans compter que sur les réseaux sociaux les compteurs de partages seront également tous remis à zéro - ceci est à confirmer par les spécialistes, s’il y en a ici, ont-ils des infos à ce sujet ?



  • 8 août 2014  à 17:10 — Par Carine (eComPosition) • Site web :

    @Olivier
    Flattée d’avoir ton commentaire sur mon petit blog. Tu as bien sûr raison pour les liens relatifs du robots.txt. Par contre, celui-ci intègre généralement un lien "en dur" vers le sitemap qui lui, devra être corrigé. C’est vrai que j’ai manqué de précision sur ce coup-là.
    Merci pour le lien vers ton article, très complet.

    @Charles
    Sympa d’avoir des précisions d’un ancien "pro du SSL". J’imaginais bien que cadenas n’était pas gage absolu de sécurité (d’où ma nuance en écrivant "une certaine certitude") mais je n’imaginais pas que c’était aussi facile pour les hackers. Quant à lire les infos du certificat, qui le fait ? A peu près personne. Et même : encore faut-il comprendre ce qu’on y lit. En tout cas, grand merci pour ton éclairage.

    @Vincent
    Sorry pour la 302 qui t’a poussé à poster plusieurs fois (du moins je suppose que c’est à cause de ça) : petit bug dont je ne suis pas encore parvenue à trouver l’origine.
    Pour ta question sur les compteurs des réseaux sociaux, l’article d’Olivier (lien dans son commentaire) le confirme.



  • 8 août 2014  à 17:39 — Par Carine (eComPosition) • Site web :

    En complément du commentaire de Charles, je conseille à mes lecteurs d’aller lire son article, abordant plus spécifiquement les difficultés et conséquences de l’ajout d’un certificat : http://www.gdm-pixel.fr/https-et-seo/



  • 8 août 2014  à 17:53 — Par Sylvain Richard • Site web : https://twitter.com/axenetwit

    Et pendant ce temps là, l’internaute moyen continue de mettre sa date de naissance en mot de passe sur la plupart des services web qu’il utilise...



  • 2 septembre 2014  à 12:53 — Par Stéphane • Site web :

    Moi je fais le pari que l’IP V6 va jouer un role dans le SEO dans quelques temps, au même titre que l’https:-)

Vous brûlez d'envie de laisser un commentaire ?

Qui êtes-vous ?
Votre message

 Merci de prendre le temps de lire les conditions d'utilisation du blog avant de poster