Karim's Blog

Un peu de tout sur CSS, HTML, AngularJS, JavaScript, Php et le reste

5 mythes concernant la migration vers HTTPS

5 mythes concernant la migration vers HTTPS

Bon nombre de géants du Web chiffrent désormais les pages de leurs sites grâce au protocole SSL (qu'on devrait d'ailleurs désormais appeler TLS). Google l'a ainsi, par exemple, mis en place sur ses pages de résultats. Le moteur a d'ailleurs annoncé cet été qu'il accorderait un bonus SEO aux sites qui feraient comme lui et migreraient vers HTTPS. Certains vont donc être tentés. Avant qu'ils se lancent, voici plusieurs mythes qu'il vaut mieux ne pas croire au sujet de cette migration.
 

1- Pas de gain SEO

Passer au HTTPS ne va pas propulser automatiquement les pages d'un site en tête des résultats remontés par Google. Le moteur a certes annoncé une petite prime, mais ce bonus a clairement été présenté comme mimine. De plus, un mois après l'annonce de Google, une étude n'avait relevé aucun changement SEO sur les pages passées en SSL, sur des centaines de milliers de requêtes observées et analysées en détails. Même si cette étude mériterait d'être actualisée, il serait de toute manière pour le moins inattendu que Google accorde subitement un poids SEO majeur aux certificats SSL.
D'autres raisons peuvent motiver le passage au HTTPS, et bien mieux justifier le ROI d'une migration. "Lorsque je l'ai déployé, les beta testeurs de mon service d'hébergement ont applaudi. Le SSL sécurise un site, et je pense que cela peut mettre en confiance les clients comme les prospects", explique Fabrice Ducarme, webmaster expérimenté et formateur WordPress, qui l'a déployé pour son site WPServeur.net - qui proposera en janvier prochain des services d'hébergement de sites WordPress. Selon lui, si cette approbation des clients constitue déjà un retour sur investissement à considérer, "le gain SEO du passage en HTTPS reste à prouver".

2- Pas de chute de la webperf

D'après certaines légendes, le passage au HTTPS conduirait inévitablement à un ralentissement conséquent du site web, avec une inévitable chute de sa "webperf". C'est possible, mais ce n'est pas toujours vrai. "Je ne l'ai pas constaté", témoigne par exemple Fabrice Ducarme, qui affirme ne pas avoir vu baisser ses statistiques sur l'outil de mesure spécialisé de Pingdom.
 

3- Pas de réapparition des mots clés not provided dans Google Analytics

Une autre légende fait croire que migrer vers le SSL va permettre de récupérer les mots clés devenus "not provided" dans Google Analytics. C'est faux, même si c'est vrai que cela aurait normalement dû être le cas.

En effet, le fameux referer, qui permet aux outils de web analytics d'indiquer la source d'une visite ne peut être connu quand le visiteur passe d'une page HTTPS à un page HTTP. Mais... pas s'il passe d'une page HTTPS à une autre page HTTPS ! Dans ce dernier cas de figure, le referer est bien transmis, et peut apparaître dans les outils de web analytics. C'est le cas lorsqu'une page de recherche en HTTPS de Bing envoie un internaute sur une page également HTTPS. De quoi motiver la migration vers SSL des sites présents aux Etats-Unis, où Bing a une part de marché plus conséquente qu'ici.

4- Pas d'installation et de certificat nécessairement hors de prix

Dernier mythe qui mérite d'être cassé, ou du moins relativiser : les prix des certificats SSL, et de leur installation, qui reviendraient toujours trop chers. Ce n'est pas forcément exact. Ce qui est vrai, c'est qu'il y a de nombreuses offres, avec des prix très variés... et pas toujours justifiés ou intéressants.

Il faut cependant avoir en tête les différences entre les offres. Il y a notamment plusieurs niveaux de sécurisation. Certains certificats peuvent être délivrés en un quart d'heure pour un site, d'autres nécessitent plusieurs jours, plusieurs documents et plusieurs examens. Les certificats SSL à Validation Etendue ("Extended Validation") sont les plus chers. Les sites qui les utilisent sont reconnaissables car la barre d'adresse des navigateurs affiche un vert différent, bien repérable, lorsqu'on les visite (voir l'exemple en capture ci-dessus avec Chrome). Ces certificats à Validation Etendue peuvent coûter plusieurs centaines de dollars par an, et évidemment, ce n'est pas un investissement rentable pour tous les sites.
Si les prix montent haut, ils peuvent aussi descendre assez bas. Pour son service d'hébergement, Fabrice Ducarme, qui est également connu pour son site Wpformation.com, a déboursé 9 dollars. Une somme qui lui permet de bénéficier d'un certificat pendant un an. Sans offrir une inutile sécurisation maximale, ce certificat Comodo répond au besoin, et offre un ROI intéressant. "Et encore, son prix a augmenté suite à l'annonce de Google d'accorder un bonus SEO. Ils ont été malins", remarque l'auteur du site Wpformation.com. C'est tout ce que cela lui a coûté : il a réalisé tout le déploiement tout seul, sur une installation WordPress/Apache, sur un serveur dédié donc (il détaille d'ailleurs sur son site toutes les manipulations techniques à réaliser, de manière très claire et très complète pour cette configuration assez classique).

5 - Pas la fin des problèmes de sécurité

Utiliser SSL va mieux protéger les communications entre un site et l'internaute, mais ne met nullement à l'abri de toutes les menaces de sécurité. Plusieurs failles concernant ce protocole SSL ont pu être exploitées ces dernières années, qu'il s'agisse d'exploits de chercheurs ou encore de pirates volant les certificats.
D'ailleurs, ironie du sort, les trois plus grosses failles de cette année 2014 auront toutes concerné ce protocole SSL, censé sécuriser les échanges. Il y a d'abord eu la faille à peine croyable "Goto fail" puis l'inquiétante "Heartbleed" et enfin récemment, la non moins redoutable "Poodle". Pour être sûr qu'un site avec SSL n'est pas exposé, la société spécialisée Qualys a mis en ligne un test gratuit assez efficace. Incontournable pour les sites ayant mis en place SSL, récemment... ou pas.