HTTPS (Hypertext Transfer
Protocol Secure ou protocole de transfert hypertexte sécurisé) est un protocole de communication Internet qui protège l'intégrité ainsi que la confidentialité des données lors du transfert d'informations entre l'ordinateur de l'internaute et le site. Les internautes s'attendent à bénéficier d'une expérience en ligne sécurisée et confidentielle lorsqu'ils consultent un site Web. Nous vous conseillons d'adopter le protocole HTTPS afin de permettre aux internautes de consulter votre site Web
en toute sécurité, quel que soit son contenu. Les données envoyées à l'aide du protocole HTTPS sont sécurisées via le protocole Transport Layer Security (TLS), qui offre trois niveaux clés de protection : L'activation du protocole HTTPS pour votre site implique l'obtention d'un certificat de sécurité. Ce certificat est délivré par une autorité de certification (CA), qui prend des mesures pour vérifier que votre adresse Web appartient bien à votre entreprise, et protège ainsi vos clients contre les attaques MITM. Lors de la configuration de votre certificat, assurez-vous
de bénéficier d'un haut niveau de sécurité avec une clé de 2 048 bits. Si vous avez déjà un certificat avec une clé plus faible (1 024 bits), passez à 2 048 bits. Lorsque vous choisissez le certificat de votre site, tenez compte de ce qui suit : Redirigez les internautes et
les moteurs de recherche vers la page ou la ressource HTTPS à l'aide de redirections permanentes côté serveur. Nous recommandons aux sites HTTPS de prendre en charge
le mécanisme HSTS (HTTP Strict Transport Security). Ce mécanisme indique au navigateur de demander automatiquement des pages qui utilisent le protocole HTTPS, même si l'utilisateur saisit http dans la barre d'adresse du navigateur. Il nous indique également de diffuser des URL sécurisées dans les résultats de recherche. Tout cela minimise le risque de diffuser du contenu non
sécurisé à vos internautes.Bonnes pratiques d'implémentation du protocole HTTPS
Utiliser
de solides certificats de sécurité
Utiliser des redirections permanentes côté serveur
Vérifier que vos pages HTTPS peuvent être explorées et indexées par Google
Accepter le mécanisme HSTS
Pour prendre en charge le mécanisme HSTS, utilisez un serveur Web compatible et activez la fonctionnalité.
Bien qu'il soit plus sécurisé, le mécanisme HSTS accroît la complexité de votre stratégie de restauration. Nous vous recommandons de l'activer comme suit :
- Déployez d'abord vos pages HTTPS sans le mécanisme HSTS.
- Commencez à envoyer des en-têtes HSTS avec un max-age court. Contrôlez le trafic provenant à la fois des utilisateurs et d'autres clients, ainsi que la performance des éléments dépendants, comme les annonces.
- Augmentez petit à petit le paramètre max-age pour HSTS.
- Si le mécanisme HSTS n'affecte pas vos internautes et les moteurs de recherche de manière négative, vous pouvez ajouter votre site à la liste de préchargement HSTS, utilisée par la plupart des principaux navigateurs. Vous renforcez ainsi la sécurité tout en améliorant les performances.
Éviter ces pièges courants
En procédant à la sécurisation de votre site à l'aide du protocole TLS, évitez les erreurs suivantes :
Certificats arrivés à expiration | Assurez-vous que votre certificat est toujours à jour. |
Certificat enregistré pour un nom de site incorrect | Vérifiez que vous avez obtenu un certificat pour tous les noms d'hôte utilisés par votre site. Par exemple, si votre certificat ne couvre que www.example.com, un visiteur qui charge votre site en utilisant seulement example.com (sans le préfixe www.) sera bloqué par une erreur de correspondance de nom de certificat. |
Non-compatibilité avec l'Indication du nom du serveur (Server name indication, SNI) | Assurez-vous que votre serveur Web accepte la SNI et que votre audience utilise des navigateurs compatibles de manière générale. La SNI est compatible avec tous les navigateurs récents. Toutefois, vous aurez besoin d'une adresse IP dédiée pour les navigateurs plus anciens. |
Problèmes d'exploration | Ne bloquez pas l'exploration de votre site HTTPS à l'aide du fichier robots.txt. En savoir plus |
Problèmes d'indexation | Autorisez autant que possible l'indexation de vos pages par les moteurs de recherche. N'utilisez pas la balise noindex. |
Anciennes versions du protocole | Les anciennes versions du protocole sont vulnérables. Assurez-vous que vous utilisez les versions les plus récentes des bibliothèques TLS, et mettez en œuvre les dernières versions du protocole. |
Éléments de sécurité mélangés | Intégrez uniquement du contenu HTTPS sur les pages HTTPS. |
Contenu différent sur le HTTP et le HTTPS | Assurez-vous que le contenu de vos sites HTTP et HTTPS est le même. |
Erreurs de code d'état HTTP sur un site HTTPS | Vérifiez que votre site renvoie le bon code d'état HTTP. Par exemple, 200 OK pour les pages accessibles, ou encore 404 ou 410 pour les pages qui n'existent pas. |
Passer du protocole HTTP au protocole HTTPS
Si vous faites passer votre site du protocole HTTP au protocole HTTPS, Google considère cela comme un déplacement de site avec changement d'URL. Cela peut affecter temporairement vos chiffres de trafic. En savoir plus sur les recommandations pour toutes les migrations de site.
Assurez-vous d'ajouter la propriété HTTPS à la Search Console. La Search Console traite séparément les protocoles HTTP et HTTPS. Les données de ces propriétés ne sont pas partagées dans la Search Console.
Pour obtenir d'autres conseils sur l'utilisation de pages HTTPS sur votre site, consultez les questions fréquentes relatives à la migration HTTPS.
Ressources supplémentaires sur la mise en œuvre du protocole TLS
Voici d'autres ressources concernant la mise en œuvre du protocole TLS sur votre site :
- Les bonnes pratiques relatives aux protocoles SSL et TLS de Qualys (en anglais)
- Le wiki de Mozilla relatif au SSL et au TLS
Si vous utilisez la Search Console et que vous rencontrez des problèmes de sécurité permanents ou non résolus sur votre site, vous pouvez nous le signaler.
Signaler un problème de sécurité
Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see the Google Developers Site Policies. Java is a registered trademark of Oracle and/or its affiliates.
Last updated 2022-08-27 UTC.
[{ "type": "thumb-down", "id": "missingTheInformationINeed", "label":"Il n'y a pas l'information dont j'ai besoin" },{ "type": "thumb-down", "id": "tooComplicatedTooManySteps", "label":"Trop compliqué/Trop d'étapes" },{ "type": "thumb-down", "id": "outOfDate", "label":"Obsolète" },{ "type": "thumb-down", "id": "translationIssue", "label":"Problème de traduction" },{ "type": "thumb-down", "id": "samplesCodeIssue", "label":"Mauvais exemple/Erreur de code" },{ "type": "thumb-down", "id": "otherDown", "label":"Autre" }] [{ "type": "thumb-up", "id": "easyToUnderstand", "label":"Facile à comprendre" },{ "type": "thumb-up", "id": "solvedMyProblem", "label":"J'ai pu résoudre mon problème" },{ "type": "thumb-up", "id": "otherUp", "label":"Autre" }]