HTTPS (HyperText Transfer Protocol Secure)

Le HTTPS est la version sécurisée du protocole HTTP, qui chiffre les échanges de données entre le navigateur de l’utilisateur et le serveur web via un certificat SSL/TLS. En SEO, le HTTPS est un signal de classement confirmé par Google depuis 2014 et une condition technique indispensable pour la confiance utilisateur, l’accès au protocole HTTP/2, et la compatibilité avec les fonctionnalités modernes du navigateur. Un site non HTTPS affiche l’avertissement « Non sécurisé » dans Chrome, ce qui impacte directement le taux de rebond et la crédibilité perçue.

Fonctionnement

Lorsqu’un utilisateur accède à une URL en HTTPS, le navigateur et le serveur effectuent un handshake TLS : le serveur présente son certificat SSL/TLS, le navigateur vérifie sa validité auprès de l’autorité de certification (CA), puis les deux parties négocient une clé de chiffrement symétrique pour la session. Une fois le canal sécurisé établi, toutes les données échangées (HTML, cookies, formulaires, requêtes API) sont chiffrées et protégées contre l’interception (man-in-the-middle), la falsification et l’écoute passive.

Impact SEO

Google a annoncé le HTTPS comme signal de classement en août 2014 (HTTPS everywhere). Son poids est considéré comme un tiebreaker — un facteur de départage à pertinence égale — plutôt qu’un signal dominant. En revanche, ses effets indirects sont significatifs : l’avertissement « Non sécurisé » de Chrome dégrade les métriques d’engagement (taux de rebond, temps passé), le HTTPS est requis pour activer HTTP/2 (gain de performance qui impacte les Core Web Vitals), et les données de referrer ne sont pas transmises d’un site HTTPS vers un site HTTP, ce qui fausse les analytics.

Certificats SSL/TLS

DV (Domain Validation) — Vérifie uniquement la propriété du domaine. Délivré en quelques minutes, gratuit via Let’s Encrypt ou inclus chez la plupart des hébergeurs. Suffisant pour le SEO et la majorité des sites.

OV (Organization Validation) — Vérifie l’identité de l’organisation. Processus de validation plus long. Aucun impact SEO supplémentaire par rapport au DV.

EV (Extended Validation) — Vérification approfondie de l’entité juridique. N’affiche plus la barre verte dans les navigateurs modernes. Aucun avantage SEO par rapport au DV ou OV.

Wildcard — Couvre un domaine et tous ses sous-domaines (*.mondomaine.fr). Pratique pour les architectures multi-sous-domaines.

Impact sur la performance

Le handshake TLS ajoute un aller-retour réseau supplémentaire (1-2 RTT) qui impacte le TTFB et donc le LCP. Cet impact est largement compensé par les optimisations que le HTTPS débloque : HTTP/2 (multiplexage des requêtes, compression des headers, server push), HTTP/3 (basé sur QUIC, réduit encore la latence du handshake), et le HSTS preloading qui élimine la redirection HTTP → HTTPS. Un site HTTPS bien configuré avec HTTP/2 est systématiquement plus rapide qu’un site HTTP/1.1.

Migration HTTP → HTTPS

La migration HTTPS est une opération technique critique qui, mal exécutée, peut provoquer une chute d’indexation et de trafic. Les étapes essentielles : installer le certificat sur le serveur, mettre en place des redirections 301 de chaque URL HTTP vers son équivalent HTTPS, mettre à jour les URLs internes (liens, images, scripts, canonical, hreflang, sitemap XML), soumettre la propriété HTTPS dans Google Search Console, configurer le HSTS pour forcer le HTTPS sans redirection côté client, et auditer le mixed content.

Erreurs fréquentes – HTTPS

Mixed content — La page est servie en HTTPS mais charge des ressources (images, scripts, CSS, iframes) en HTTP. Le navigateur bloque les ressources actives (scripts) et affiche un avertissement pour les ressources passives (images). La page perd le cadenas de sécurité et la confiance utilisateur est compromise.

Certificat expiré — Un certificat non renouvelé déclenche un écran d’avertissement bloquant dans le navigateur (« Votre connexion n’est pas privée »), qui empêche l’accès au site et stoppe le crawl de Googlebot.

Chaîne de certificats incomplète — Le serveur ne fournit pas les certificats intermédiaires nécessaires. Certains navigateurs et bots ne parviennent pas à valider le certificat, générant des erreurs de connexion aléatoires.

Redirections manquantes ou en boucle — Absence de redirection 301 de HTTP vers HTTPS (les deux versions coexistent, causant du duplicate content), ou boucle de redirection entre HTTP et HTTPS due à une mauvaise configuration du serveur ou du CDN.

HSTS non configuré — Sans l’en-tête Strict-Transport-Security, chaque première visite passe par une redirection 301 HTTP → HTTPS, ajoutant un aller-retour réseau inutile et laissant une fenêtre de vulnérabilité.

Canonical en HTTP — Après migration, les balises rel="canonical" pointent encore vers les anciennes URLs HTTP, envoyant un signal contradictoire à Google.

Outils de diagnostic – HTTPS

• SSL Labs (ssllabs.com) → Audit complet du certificat SSL/TLS : validité, chaîne de certificats, protocoles supportés, vulnérabilités connues, note de A+ à F
• Chrome DevTools → onglet Security → Vérifie le statut du certificat, le protocole TLS utilisé et détecte le mixed content en temps réel
• Chrome DevTools → Console → Les erreurs de mixed content sont signalées comme warnings ou erreurs dans la console
• Screaming Frog → Détection des URLs internes en HTTP sur un site HTTPS (mixed content au niveau des liens, images, scripts), certificats expirés, redirections HTTP → HTTPS manquantes
• Google Search Console → Rapport HTTPS → Identifie les pages servies en HTTP vs HTTPS et les problèmes de migration
• Why No Padlock (whynopadlock.com) → Diagnostic rapide du mixed content pour une URL spécifique
• Hardenize → Monitoring continu de la configuration TLS, des certificats et des headers de sécurité (HSTS, CSP)
• Mozilla Observatory → Audit des headers de sécurité HTTP avec recommandations

Entités liées (→ définitions dédiées)

→ Certificat SSL/TLS · Mixed Content · HSTS · HTTP/2 · Redirection 301 · Core Web Vitals · TTFB · Duplicate Content