Check liste pour passer un site de HTTP à HTTPS

Le passage d'un site de HTTP à HTTPS n'est pas aussi rapide qu'il n'y paraît de prime abord. Revue de détail des choses à faire pour une transition en douceur.

Vous le savez déjà ou vous allez l’apprendre maintenant, Google a annoncé au mois d’août sa décision de favoriser dans les résultats de recherche les sites utilisant le protocole HTTPS en lieu et place de HTTP. La problématique du passage de HTTP à HTTPS va donc se poser pour mal de webmasters désireux de conserver un « ranking optimal ».

Voici une petite check-list des diverses choses à entreprendre pour un passage en douceur de votre site en HTTPS. C’est la procédure que j’ai suivi pour l’ensemble des sites de la galaxie Check my Website qui sont désormais tous opérés avec le plus haut niveau de sécurité SSL histoire de préparer la commercialisation du service qui ne saurait tarder désormais.

1 : Choisir et acheter un certificat SSl

Il n’est pas question dans le contexte présent d’utiliser un certificat auto-signé, Google n’apprécierait que moyennement, pour ne pas dire plus !

Choisir un certificat SSL n’est pas toujours une sinécure. Il en existe de plusieurs types et les dénominations commerciales des uns et des autres rendent les comparaisons entre ceux-ci assez difficiles.

Les prix profitent de la confusion des genres bien sûr puisque ils vont du simple à plus du triple pour le même type de certificats et de garantie.

En fonction du niveau de confiance dont vous avez besoin, optez au choix pour un certificat SSL simple ou au contraire comme nous l’avons fait pour un certificat avec « Extended Validation ». C’est celui qui permet l’affichage de la fameuse barre verte à côté du traditionnel cadenans dans le navigateur.

La procédure d’obtention de ce type de certificat est plus contraignante puisque vous devez validez la structure opérant le site web à protéger et pas seulement le domaine.

2 : Configurer le serveur web pour utiliser SSL/TLS

Il y a pléthore de tutoriaux bien faits pour installer un certificat SSL sur Nginx ou Apache. N’ayant rien de plus à apporter, je me contenterais donc de vous renvoyer vers ces deux-ci :

2.1 : SPDY, En attendant HTTP/2

Cerise sur le gâteau et en attendant HTTP/2 qui intégrera le protocole en standard, vous pouvez activer SPDY sur votre couche SSL histoire d’améliorer les performances de votre nouveau site en HTTPS.

Pour Nginx

Après avoir vérifié qu evotre installation de Nginx supporte SPDY, ce qui est le cas sur mon Ubuntu avec la version des dépôts, remplacez simplement la déclaration habituelle de la directive listen

listen 10.10.10.10:443 ssl;

en

listen 10.1.2.3:443 ssl spdy;

Pour Apache

Comme toujours avec Apache, il faut charger le module mod_spdy et compléter la configuration comme suit pour chaque hôte virtuel :

SpdyEnabled on

Vous pouvez vérifier la prise en compte de SPDY pour votre serveur avec ce service en ligne. Voilà par exemple le rapport pour la console Check my Website.

3 : Rediriger tout le trafic vers HTTPS

Le but est bien sûr de mettre en place une redirection 301 « redirection permanente » pour l’ensemble des pages présentes sur le site.

Que ce soit pour Nginx ou Apache, la manipulation est très simple et ne demande que quelques minutes.

Pour Nginx

Un bloc de ce type par domaine à rediriger et puis c’est tout.

server {
  listen 80;
  server_name _;
  return 301 https://$host$request_uri;
}

Pour Apache

Un bloc comme celui du dessous devrait pouvoir faire l’affaire.

Redirect permanent / https://www.domain.tld/

4 : Mettre à jour les Google Webmaster Tools

La première idée qui vient est de changer l’adresse des sites déjà existants dans les GWT par la nouvelle adresse commençant par https://. Que nenni ! Cela aurait été trop simple et la procédure à suivre est un peu plus contraignante puisqu’il faut déclarer le site en HTTPS comme un nouveau site.

Et si vous avez des liaisions avec des comptes analytics, elles sont aussi à redéclarer. Un peu lourd mais bon !

5 : mettre à jour les liens

Alors là, c’est carrément le morceau fastidieux de l’affaire et le travail à faire dépend grandement du type d’outil de publication que vous utilisez.

N’hésitez pas à vous aider de l’un des vérificateurs de liens dont nous avons déjà parlé. Ils détectent les redirections et permettent donc ce genre de travail.

N’oubliez pas les liens comme les appels aux librairies et feuilles de style externes qui doivent désormais se faire en HTTPS sous peine de warning.

Ainsi un appel vers les Google Fonts qui était auparavant en

  • http://fonts.googleapis.com/css?family=Roboto:400,300,300italic,400italic,700,700italic|Bree+Serif:400 devient
  • https://fonts.googleapis.com/css?family=Roboto:400,300,300italic,400italic,700,700italic|Bree+Serif:400 ou mieux
  • //fonts.googleapis.com/css?family=Roboto:400,300,300italic,400italic,700,700italic|Bree+Serif:400 qui permet de continuer à utiliser le protocole demandé pour la page.

6 : Mettre à jour votre supervision

Comme vous êtes un webmaster soucieux de la qualité de votre site web « sinon pourquoi vouloir passer en HTTPS ? » ; vous supervisez votre site web avec un ou plusieurs outils de supervision. N’oubliez donc pas de les mettre à jour même si une redirection est en place.

Et puis, maintenant, il vous faut en plus monitorer la date de fin de validité de votre certificat SSL sous peine d’avoir quelques soucis de connexion à la date d’anniversaire du renouvellement.

Ce type de contrôle devrait bientôt faire parti des outils offerts par le service Check my Website.

6.1 : Mise à jour des sites dans la console Check my Website

Le service Check my Website accepte depuis toujours de contrôler indifféremment les sites en HTTP et HTTPS.

Du coup, la seule chose à faire est de vous rendre dans les préférences du ou des sites web à changer et de cliquer sur l’url dans le panneau Général. Remplacez simplement HTTP par HTTPS et basta !!!

Ouf c’est fini… Enjoy !

Rien de bien compliqué donc pour passer son site de HTTP à HTTPS mais quand même un ensemble de petites choses à penser qui font que la procédure demande pas mal de temps. En espérant que ce petit pense-bête vous aidera à ne rien oublier et si jamais vous voyez un manquement, les commentaires sont là pour compléter.

Olivier Jan

À propos de l’auteur

| Cofondateur de Check my Website

Check my Website est un service pour la supervision et la surveillance à distance de la disponibilité, de la performance et du bon fonctionnement des sites et applications web.

Suivez @olivjan sur Twitter !

Laissez un commentaire

comments powered by Disqus