Les 3 étapes les plus importantes d'une migration HTTPS de site Web

Publié: 2017-04-12

Si vous avez travaillé sur un site Web au cours des 5 dernières années, il est presque certain que vous avez entendu parler du HTTPS. HTTPS est le nouveau protocole Internet prometteur, rendant le Web plus sûr pour tous les utilisateurs. C'est également l'une des tendances Internet à la croissance la plus rapide, car le nombre de sites HTTPS a doublé en 2016.

Nous avons travaillé avec plusieurs clients pour implémenter HTTPS sur leurs sites et, ce faisant, nous avons appris à résoudre de nombreux problèmes qu'une migration HTTPS peut créer. Notre guide pour une migration HTTPS transparente est ci-dessous, mais d'abord, un aperçu :

Qu'est-ce que le HTTPS ?

Pour tous ceux qui ne connaissent pas HTTPS, voici un aperçu de base du processus : Lors de la navigation sur le Web, le contenu est communiqué via un « protocole de transfert hypertexte ». Il s'agit du préfixe « HTTP » que vous voyez au début d'une URL ( http://www.example.com ), et c'est ce qui permet aux serveurs et aux clients de communiquer et de vous afficher du contenu Internet.

HTTPS est une version plus sécurisée du protocole HTTP. Il ajoute un certificat de sécurité SSL à la communication serveur/client, ce qui garantit que les informations sensibles telles que les mots de passe et les informations de carte de crédit ne peuvent pas être volées par des lurkers malveillants lors d'un voyage entre le serveur et l'ordinateur d'un utilisateur. Plus important encore, il ajoute un indicateur clair pour les utilisateurs que votre site est sécurisé et sûr :

Site sécurisé HTTPS

En principe, migrer vers HTTPS est aussi simple que d'ajouter un certificat SSL à votre site Web. En pratique, cela peut être un processus fastidieux et épuisant. Le Washington Post a décrit leur migration de 10 mois en 2015, expliquant chacun des différents problèmes et obstacles qu'ils ont rencontrés.

Afin d'ajouter un certificat SSL à un site, vous devez d'abord obtenir un certificat, puis l'appliquer sur l'ensemble du site, puis le conserver pour vous assurer qu'il n'expire pas ou n'expire pas à l'avenir. Pour les sites plus importants, en particulier ceux dotés d'une plate-forme de commerce électronique ou d'un portail de connexion, cela peut être un processus très épuisant. De plus, vous courez le risque d'une baisse temporaire à permanente du trafic et du classement des mots clés, comme la baisse organique de 11% de Moz sur plus de 3 mois.

Les migrations HTTPS peuvent entraîner une baisse du classement des mots clés

Pourquoi le HTTPS m'intéresse-t-il ?

Google est l'un des plus ardents défenseurs de l'adoption du HTTPS par les sites Web depuis 2014 et pour une bonne raison. Avoir un web plus sécurisé facilite infiniment le quotidien de la grande majorité des internautes. Combien d'entre vous hésiteraient à acheter sur Amazon si vous saviez que quelqu'un pourrait voler les informations de votre carte de crédit ? Combien d'entre vous utiliseraient le courrier électronique si vous saviez que quelqu'un pourrait fouiner ce que vous envoyez ? La sécurité Web est cruciale de nos jours, mais ne vous trompez pas en pensant que cela la rend facile à mettre en œuvre.

Heureusement pour les internautes (mais peut-être malheureusement pour les webmasters et les référenceurs), le HTTPS est là pour rester. John Mueller, de Google, insiste sur le fait que c'est une décision que les webmasters doivent faire :

@rchtjn Eh bien, désactiver le site Web permet également d'économiser de l'argent.
– John ☆.o(≧▽≦)o.☆ (@JohnMu) 18 décembre 2015

Plus récemment, Gary Ilyes, Webmaster Trends Analyst chez Google, a annoncé un changement majeur dans la façon dont Google mesure le PageRank pour les redirections 301 afin de faciliter cette transition :

Les redirections 30x ne perdent plus le PageRank.

— Gary Illyes ( ᐛ )ᕗ (@methode) 26 juillet 2016

En permettant aux redirections de passer 100 % du PageRank, au lieu de 80 à 90 % comme auparavant, Google espère inciter de plus en plus de sites à adopter le HTTPS sans avoir à se soucier autant de la perte organique qui pourrait en découler.
Enfin, Google a annoncé qu'à partir de janvier 2017, tous les sites qui collectent des informations de carte de crédit ou des mots de passe qui n'utilisent PAS HTTPS seront marqués comme « Non sécurisé » sur Google Chrome :

HTTPS pour les pages de mot de passe et de carte de crédit

Après avoir travaillé avec plusieurs clients pour implémenter HTTPS, nous avons compilé une liste de ce qui est impliqué dans les 3 étapes principales d'une migration HTTPS :

Pré-migration
Migration
Post-migration

Pré-migration

Sauvegarde, sauvegarde, sauvegarde. Je ne peux pas répéter cela assez. Sauvegardez votre site avant de lancer votre migration HTTPS.

Il y a des milliers de choses qui peuvent mal tourner lors d'une migration HTTPS, y compris des choses que vous ne pensiez même pas pouvoir mal tourner. Téléchargez une sauvegarde de votre médiathèque. Enregistrez des sauvegardes de vos fichiers CSS et JS. Si vous sauvegardez l'ensemble de la configuration de votre site, vous pouvez facilement désactiver votre certificat SSL si vous constatez que des problèmes surviennent après l'activation de SSL.

Encore une fois, je ne peux pas répéter combien de choses peuvent mal tourner que vous n'anticiperez pas dans un million d'années. Sauvegardez votre site.

Migration

Le Saint Graal, la migration elle-même. C'est là que toute la préparation à la douleur et à la souffrance porte ses fruits.

Heureusement pour les webmasters, il existe plusieurs moyens plus simples de migrer vers HTTPS qu'une implémentation SSL conventionnelle. CloudFlare et Let's Encrypt sont deux services que nous avons utilisés avec des sites plus petits que je recommande fortement pour une migration HTTPS.
**REMARQUE : Cloudflare a récemment fait l'objet d'une vulnérabilité de sécurité majeure , alors soyez prudent en adoptant immédiatement Cloudflare SSL. Une fois le problème entièrement résolu, cependant, cela devrait être à nouveau un service viable.

Chacun de ces services est entièrement gratuit. Ils offrent le même niveau de cryptage et de sécurité SSL sans les tracas liés à une implémentation SSL complète. Vous pouvez en savoir plus sur chaque service sur les liens ci-dessus, mais le principe de base de Cloudflare est qu'ils fourniront un certificat SSL gratuitement, puis serviront une version mise en cache de votre site aux chercheurs qui est complètement sécurisée. La communication entre votre serveur et le client ne sera pas sécurisée, mais les visiteurs du site arriveront toujours sur un site sécurisé.

Processus de cryptage SSL Cloudflare

Let's Encrypt, d'autre part, propose un certificat SSL gratuit qui peut être automatiquement configuré via un serveur Web comme WPEngine. Une fois que l'autorité de certification a validé le domaine, Let's Encrypt fournit le certificat SSL à l'ensemble du site.

Let's Encrypt SSL Encryption Process

Si vous choisissez de ne pas utiliser cette option, la meilleure recommandation est de tout tester avant de le diffuser en direct sur votre site. Si vous avez un site intermédiaire, testez l'implémentation SSL sur chaque page avant de migrer votre site en ligne. Examinez tout, y compris les liens dans vos plans de site et fichiers robots.txt, les liens sur votre site, les images, les formulaires de soumission, tout.

Enfin, assurez-vous d'avoir une redirection globale en place pour récupérer tous les liens pointant vers la version HTTP de votre site. CloudFlare et Let's Encrypt (et la plupart des autres environnements) configureront automatiquement cette redirection, mais assurez-vous qu'elle est incluse dans votre transition. La dernière chose que vous voulez est de perdre l'équité de vos backlinks.

Dans le même temps, examinez la structure d'URL que vous utilisez pour les liens sur le site. Si vos liens utilisent un chemin d'URL complet ( http://www.example.com/truc/ ) au lieu de chemins d'URL relatifs (/truc/), ces liens peuvent ne pas être mis à jour après votre migration. Ne donnez pas à Google plus d'excuses qu'il n'en faut pour déprécier votre profil de lien : vérifiez ces deux fonctionnalités.

Post-migration

Ce n'est pas parce que votre migration est terminée que votre travail est terminé. Parfois, les conséquences peuvent être tout aussi difficiles que la migration elle-même.

La première chose que vous voudrez faire est d'examiner les scripts tiers sur votre site. Nous avons eu un client qui a effectué une migration HTTPS pour découvrir que l'intégralité de sa police de caractères sur le site avait disparu. Leurs polices personnalisées ont été remplacées par les lettres majuscules par défaut dans WordPress, donnant au site un aspect maladroit et difficile à manier. Le problème, nous avons découvert, était que leur police de caractères était importée d'un service tiers qui ne fournissait pas la bibliothèque de polices sous forme de fichier HTTPS. Une fois que nous avons pu mettre à jour le fichier vers un protocole HTTPS, les polices sont revenues à la normale.

Un autre client travaillant sur une migration avait un certain nombre de formulaires de soumission sur le site importés de Pardot.com. Malgré le fait que la plupart des autres ressources du site ont migré correctement, ces formulaires de soumission ne l'ont pas fait, laissant une série de zones de saisie vides là où il y avait auparavant des formulaires d'abonnement complets. Comme auparavant, il s'est avéré que les formulaires d'abonnement ne migraient pas vers HTTPS par défaut. Une fois les liens mis à jour, les formulaires étaient prêts à être utilisés.

Formulaires de soumission Pardot vierges après la migration HTTPS

Les problèmes les plus courants que nous avons rencontrés sont les images non sécurisées. L'un des premiers avertissements que vous remarquerez est probablement un message d'erreur comme celui ci-dessous :

Site non sécurisé après migration HTTPS

Souvent, lors d'une migration de site, les images incluses sur le site ont des adresses URL non sécurisées. Même après la migration de votre site, les images importées de sites externes ont souvent une URL non sécurisée, ce qui incite Google Chrome à avertir les utilisateurs que le contenu du site peut être compromis.

Certains d'entre vous disent en ce moment : « Mais comment suis-je censé vérifier chaque image de mon site pour savoir lesquelles sont sécurisées et lesquelles ne le sont pas ? » Heureusement pour vous, nous avons une solution. Dans Screaming Frog, lors de l'exploration d'un site, vous pouvez définir une extraction personnalisée pour rechercher des images avec une adresse HTTP.

Extraction personnalisée de Screaming Frog

L'extraction personnalisée doit être définie sur un type XPath et définie pour extraire un élément HTML. Ensuite, utilisez l'extrait suivant comme code d'extraction :

 //img[contient(@src,'http://')]

Une fois votre exploration terminée, l'onglet « Extraction » aura une liste complète de pages avec des images non sécurisées et le code source de ces images. À partir de là, vous pouvez mettre à jour les URL en adresses HTTPS.

Liste des images HTTP non sécurisées sur le site

La deuxième chose que vous voudrez faire est d'ajouter la version HTTPS de votre site à Google Search Console. Il faudra un certain temps à Google pour reconnaître que votre site est désormais sécurisé et pour faire passer les résultats de classement qu'il affiche aux utilisateurs. Plus tôt vous vérifierez la version HTTPS de votre site dans la Search Console, plus vite Google pourra commencer à indexer le site sécurisé et à le proposer aux utilisateurs dans les résultats de recherche.

Vérifier le site HTTPS dans la console de recherche Google

Troisièmement, en plus de HTTPS, vous voulez vous assurer que votre serveur utilise HTTP/2.0, la dernière version du protocole Internet général. Si vous utilisez CloudFlare ou Let's Encrypt ci-dessus, votre serveur doit être compatible HTTP/2.0 par défaut. Juste au cas où, cela ne fait jamais de mal d'effectuer une vérification rapide sur https://tools.keycdn.com/http2-test .

La dernière étape à franchir après votre migration consiste à surveiller en permanence votre trafic organique au cours des semaines et des mois suivants. Comme Rand Fishkin l'a noté dans le lien ci-dessus, Moz a perdu 11% de son trafic de recherche au cours des 3 mois suivant sa migration, et de nombreux autres sites ont signalé des pertes similaires.

Bien que vous ayez peu d'options pour récupérer ce trafic immédiatement, vous voudrez faire attention aux requêtes de recherche pour lesquelles vous avez perdu du classement ou aux pages qui voient une baisse du trafic organique. En supposant que ces pages ne récupèrent pas rapidement, cela peut être le signe que vous avez un problème plus grave sur le site. S'il s'agit d'un problème plus grave, suivez les étapes pour savoir quoi faire lorsque votre trafic organique diminue .

Encore une fois, la migration vers HTTPS est une étape que vous devez franchir. Google insiste de plus en plus à ce sujet, et cela fait également partie intégrante de la fourniture d'une expérience utilisateur positive aux visiteurs de votre site. Malheureusement, ce n'est pas parce que c'est important que c'est rapide ou facile. Suivez notre guide ci-dessus et vous pourrez éviter les pièges et les pièges les plus courants d'une migration HTTPS. Les avantages en valent la peine.