Google intensifie les signaux pour passer au protocole HTTPS

Ecrit par
le

De nouveaux critères via Google Chrome

Google a communiqué officiellement qu’il affichera dans de plus nombreux cas que votre site n’est pas sécurisé et ce sous certaines conditions. La mise en place de ses règles plus restrictives est prévue à la mise à jour de son navigateur Google Chrome version 62 dès octobre 2017. L’objectif clair de Google est d’amener tous les sites web au passage au protocole HTTPS de manière progressive en élargissant ses critères au fur et à mesure. Vous ne pourrez bientôt plus passer à côté du HTTPS !
Aujourd’hui, le message « not secure » apparaît lorsque qu’un visiteur communique ses coordonnées bancaires ou son mot de passe sur un site en HTTP. Bon nombre de sites web sont passés depuis lors au protocole HTTPS. Google estime à 23% le nombre de sites web qui seraient passés au HTTPS depuis la mise à jour Chrome 56 de ses directives et on comprend bien pourquoi !
En effet pour les sites e-commerce, l’intérêt est vital pour plusieurs raisons. C’est un élément de réassurance au moment du paiement pour l’acheteur mais c’est également un positionnement en terme d’image de marque du site vis-à-vis des clients et des prospects (respect des données personnelles, confidentialité, etc.).

Protocole HTTPS

A la prochaine mise à jour de Chrome 62 en octobre 2017, Google prévoit d’afficher un message « not secure » dans deux nouveaux cas :
– 1er cas : Si l’internaute effectue ses recherches en navigation privée (mode incognito) dès le chargement de la page. Google part du principe que si l’internaute est en mode incognito c’est qu’il souhaite que ses données restent confidentielles
– 2ème cas : L’internaute est en connexion « classique » mais interagit avec le site (formulaire, moteur de recherche interne). Google part du principe que toutes les données tapées dans l’écosystème d’un site sont de fait privées et doivent le rester.
L’affichage d’un avertissement site « Not secure » dans les navigateurs peut dégrader la confiance des internautes dans votre site. Nous avons donc ici encore un signe supplémentaire que Google met tout en œuvre pour qu’un maximum de sites passent rapidement en HTTPS si ce n’est déjà pas le cas (après le not secure pour les données sensibles ou l’AMP).

démo site not secure HTTPS

Des outils qui s’adaptent et se développent

Devant cette accélération de signaux certains outils du marché réagissent comme par exemple SEMrush qui vient de créer un rapport d’implémentation du HTTPS via l’outil « Audit de site » en version bêta (limite fixée à 20 000 URLs crawlées par projet).
Ce rapport SEMrush offre un premier niveau de test et résume en un clin d’œil quelques points de blocage à l’intégration du HTTPS. Il met en avant les optimisations ou les corrections à apporter pour éviter les messages d’avertissement qui s’affichent dans les navigateurs en cas de mauvaise implémentation du HTTPS et altère l’expérience utilisateur.

Eléments analysés:

  • Présence de contenus non protégés sur votre site
    Il subsiste encore des ressources HTTP présentes sur le site (images, scripts etc. )
  • Pages HTTPS contenant encore des liens vers des pages http
  • Absence de redirections ou canonicals d’urls HTTP vers les urls HTTPS
  • Liens HTTP présents dans le sitemap.xml
  • Certificat expiré
  • Certificat enregistré sur un nom de domaine incorrect
  • Ancienne version de protocole de sécurité (TLS 1.0 ou antérieure)
  • Pages non sécurisées avec des entrées de mot de passe
  • Absence de prise en charge de l’extension Server Name Indication (SNI)
  • Absence de prise en charge de HTTP Strict Transport Security (HSTS) sur le serveur

Audit personnalisé HTTPS SEMrush
L’objectif ici est donc de vérifier la bonne intégration des points majeurs du HTTPS lorsque l’on opère la bascule HTTP vers HTTPS ou de monitorer la performance de son site en vérifiant que tout reste opérationnel.
A vous de jouer !