Le petit cadenas dans la barre du navigateur ? C'est le HTTPS.
Quand vous visitez un site et voyez un cadenas à côté de l'URL, ça signifie que la connexion entre votre navigateur et le serveur est chiffrée. Sans lui, Chrome affiche « Non sécurisé » — et Google le remarque aussi.
Depuis 2014, HTTPS est un signal de classement confirmé. Depuis 2018, Chrome marque toutes les pages HTTP comme « Non sécurisé ». Rester en HTTP n'a plus aucun sens.
Ce qui se passe sans HTTPS
Les données circulent en clair. Mots de passe, formulaires, requêtes — n'importe qui sur le même réseau peut les intercepter. Sur le Wi-Fi d'un café, c'est tout le monde.
Les navigateurs effraient les visiteurs. L'avertissement « Non sécurisé » tue la confiance instantanément. Les conversions chutent, les rebonds explosent.
Vous perdez du pouvoir de classement. Google est très clair : à conditions égales, la page HTTPS l'emporte.
Les fonctionnalités modernes sont bloquées. HTTP/2, service workers, API de géolocalisation — beaucoup de fonctionnalités du navigateur nécessitent HTTPS.
Le piège du contenu mixte
Votre site est en HTTPS, mais certaines ressources (images, scripts, feuilles de style) chargent encore en HTTP. C'est du contenu mixte, et ça peut déclencher des avertissements du navigateur même sur des pages HTTPS.
C'est l'un des problèmes HTTPS les plus courants — et les plus faciles à rater.
Problèmes fréquents
| Problème | Conséquence |
|---|---|
| Pas de certificat SSL | Le navigateur affiche « Non sécurisé » |
| Certificat expiré | Le navigateur bloque l'accès complètement |
| Contenu mixte | Ressources en HTTP, déclenche des avertissements |
| HTTP ne redirige pas vers HTTPS | Contenu dupliqué, équité de liens divisée |
| Certificat ne correspond pas au domaine | Le navigateur refuse la connexion |
Comment bien faire
Installez un certificat SSL/TLS valide. Let's Encrypt en offre gratuitement. La plupart des hébergeurs en incluent un.
Redirigez tout le HTTP vers HTTPS. Chaque URL HTTP doit faire un 301 vers son équivalent HTTPS. Sans exception.
Corrigez le contenu mixte. Mettez à jour toutes les références internes pour utiliser HTTPS.
Mettez à jour sitemap et canonical tags. Tout doit pointer vers les versions HTTPS.
Audit HTTPS à grande échelle
Une seule page peut sembler correcte, mais les problèmes de contenu mixte se cachent dans les profondeurs du site. Un audit automatisé devrait :
- Vérifier que chaque page est servie en HTTPS
- Détecter le contenu mixte sur chaque page
- Vérifier les redirections HTTP→HTTPS
- Contrôler la validité et la date d'expiration du certificat
- Signaler les erreurs de décalage de certificat
Kaitico vérifie le statut HTTPS et le contenu mixte de chaque page explorée, vous aidant à trouver et corriger les problèmes de sécurité sur l'ensemble de votre site.