Le passage d'un site de HTTP à HTTPS n'est pas aussi rapide qu'il n'y paraît de prime abord. Revue de détail des choses à faire pour une transition en douceur.
Vous le savez déjà ou vous allez l’apprendre maintenant, Google a annoncé au mois d’août sa décision de favoriser dans les résultats de recherche les sites utilisant le protocole HTTPS en lieu et place de HTTP. La problématique du passage de HTTP à HTTPS va donc se poser pour mal de webmasters désireux de conserver un « ranking optimal ».
Voici une petite check-list des diverses choses à entreprendre pour un passage en douceur de votre site en HTTPS. C’est la procédure que j’ai suivi pour l’ensemble des sites de la galaxie Check my Website qui sont désormais tous opérés avec le plus haut niveau de sécurité SSL histoire de préparer la commercialisation du service qui ne saurait tarder désormais.
1 : Choisir et acheter un certificat SSl
Il n’est pas question dans le contexte présent d’utiliser un certificat auto-signé, Google n’apprécierait que moyennement, pour ne pas dire plus !
Choisir un certificat SSL n’est pas toujours une sinécure. Il en existe de plusieurs types et les dénominations commerciales des uns et des autres rendent les comparaisons entre ceux-ci assez difficiles.
Les prix profitent de la confusion des genres bien sûr puisque ils vont du simple à plus du triple pour le même type de certificats et de garantie.
En fonction du niveau de confiance dont vous avez besoin, optez au choix pour un certificat SSL simple ou au contraire comme nous l’avons fait pour un certificat avec « Extended Validation ». C’est celui qui permet l’affichage de la fameuse barre verte à côté du traditionnel cadenans dans le navigateur.
La procédure d’obtention de ce type de certificat est plus contraignante puisque vous devez validez la structure opérant le site web à protéger et pas seulement le domaine.
2 : Configurer le serveur web pour utiliser SSL/TLS
Il y a pléthore de tutoriaux bien faits pour installer un certificat SSL sur Nginx ou Apache. N’ayant rien de plus à apporter, je me contenterais donc de vous renvoyer vers ces deux-ci :
- Installer un certificat SSL pour Nginx
- Installer un certificat SSL pour Apache
2.1 : SPDY, En attendant HTTP/2
Cerise sur le gâteau et en attendant HTTP/2 qui intégrera le protocole en standard, vous pouvez activer SPDY sur votre couche SSL histoire d’améliorer les performances de votre nouveau site en HTTPS.
Pour Nginx
Après avoir vérifié qu evotre installation de Nginx supporte SPDY, ce qui est le cas sur mon Ubuntu avec la version des dépôts, remplacez simplement la déclaration habituelle de la directive listen
listen 10.10.10.10:443 ssl;en
listen 10.1.2.3:443 ssl spdy;Pour Apache
Comme toujours avec Apache, il faut charger le module mod_spdy et compléter la configuration comme suit pour chaque hôte virtuel :
SpdyEnabled onVous pouvez vérifier la prise en compte de SPDY pour votre serveur avec ce service en ligne. Voilà par exemple le rapport pour la console Check my Website.
3 : Rediriger tout le trafic vers HTTPS
Le but est bien sûr de mettre en place une redirection 301 « redirection permanente » pour l’ensemble des pages présentes sur le site.
Il est également possible de mettre en place une redirection directement interprétéee côté navigateur. Utilisez pour cela HTST et HSTS preload, pour une redirection pérenne et fiable vers vos sites sécurisés.
Que ce soit pour Nginx ou Apache, la manipulation est très simple et ne demande que quelques minutes.
Pour Nginx
Un bloc de ce type par domaine à rediriger et puis c’est tout.
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}Pour Apache
Un bloc comme celui du dessous devrait pouvoir faire l’affaire.
Redirect permanent / https://www.domain.tld/4 : Mettre à jour les Google Webmaster Tools
La première idée qui vient est de changer l’adresse des sites déjà existants dans les GWT par la nouvelle adresse commençant par https://. Que nenni ! Cela aurait été trop simple et la procédure à suivre est un peu plus contraignante puisqu’il faut déclarer le site en HTTPS comme un nouveau site.
Et si vous avez des liaisions avec des comptes analytics, elles sont aussi à redéclarer. Un peu lourd mais bon !
5 : mettre à jour les liens
Alors là, c’est carrément le morceau fastidieux de l’affaire et le travail à faire dépend grandement du type d’outil de publication que vous utilisez.
N’hésitez pas à vous aider de l’un des vérificateurs de liens dont nous avons déjà parlé. Ils détectent les redirections et permettent donc ce genre de travail.
N’oubliez pas les liens comme les appels aux librairies et feuilles de style externes qui doivent désormais se faire en HTTPS sous peine de warning.
Ainsi un appel vers les Google Fonts qui était auparavant en
http://fonts.googleapis.com/css?family=Roboto:400,300,300italic,400italic,700,700italic|Bree+Serif:400devienthttps://fonts.googleapis.com/css?family=Roboto:400,300,300italic,400italic,700,700italic|Bree+Serif:400ou mieux//fonts.googleapis.com/css?family=Roboto:400,300,300italic,400italic,700,700italic|Bree+Serif:400qui permet de continuer à utiliser le protocole demandé pour la page.
6 : Mettre à jour votre supervision
Comme vous êtes un webmaster soucieux de la qualité de votre site web « sinon pourquoi vouloir passer en HTTPS ? » ; vous supervisez votre site web avec un ou plusieurs outils de supervision. N’oubliez donc pas de les mettre à jour même si une redirection est en place.
Et puis, maintenant, il vous faut en plus monitorer la date de fin de validité de votre certificat SSL sous peine d’avoir quelques soucis de connexion à la date d’anniversaire du renouvellement.
Ce type de contrôle devrait bientôt faire parti des outils offerts par le service Check my Website.
6.1 : Mise à jour des sites dans la console Check my Website
Le service Check my Website accepte depuis toujours de contrôler indifféremment les sites en HTTP et HTTPS.
Du coup, la seule chose à faire est de vous rendre dans les préférences du ou des sites web à changer et de cliquer sur l’url dans le panneau Général. Remplacez simplement HTTP par HTTPS et basta !!!
Ouf c’est fini… Enjoy !
Rien de bien compliqué donc pour passer son site de HTTP à HTTPS mais quand même un ensemble de petites choses à penser qui font que la procédure demande pas mal de temps. En espérant que ce petit pense-bête vous aidera à ne rien oublier et si jamais vous voyez un manquement, les commentaires sont là pour compléter.
Vous pourriez également apprécier
Ghost: Blogging sauce 2.0 ?
Ghost, le fantôme qui pourrait faire de l'ombre à Wordpress est une toute nouvelle application Open Source de blogging écrite en Javascript.
Sitespeed.io: La rolls du test de performance de sites web ?
Si vous cherchez un outil simple pour générer des rapports de performance de votre site web, ne cherchez plus. Sitespeed.io est ce qu'il vous faut.
Yeoman: Outils et méthodes pour améliorer son code
Vous pouvez simplement faire passer n'importe quel projet web vers une nouvelle productivité avec cette suite d'outils et de méthodes de travail.