Protocole HTTPS : qu'est-ce que c'est ?

Le protocole HTTPS est une version sécurisée du protocole HTTP, où la lettre S fait référence à la sécurité. Quand un navigateur envoie une requête à un serveur, c'est grâce à la couche de sécurité garantie par un certificat TLS (anciennement SSL) que la confidentialité et l'intégrité des données sont assurées. Ce protocole est particulièrement important lorsque des internautes entrent des données sensibles sur des sites web : si un acheteur renseigne ses coordonnées bancaires en ligne, par exemple, le HTTPS permet de chiffrer ces données pendant leur « trajet » jusqu'au serveur, pour éviter leur interception. Face aux menaces cybercriminelles, et dans un contexte où l'éthique des données devient une préoccupation fondamentale, protéger les échanges sur le web grâce au HTTPS est indispensable.

1. Un internaute se rend sur une page web depuis un navigateur (Google Chrome ou Safari, par exemple).
2. Le navigateur de l'internaute envoie une requête au serveur qui héberge toutes les données du site web.
3. Le serveur, en réponse, envoie les données requises au navigateur.
4. Le navigateur affiche la page web.
5. Chaque fois que l'internaute interagit sur la page web, une nouvelle requête est envoyée au serveur et un nouveau fichier de données est envoyé en réponse au navigateur, pour rendre le résultat à l'écran de l'internaute.
6. Chaque fois qu'une requête ou une réponse est envoyée, par le navigateur et par le serveur, c'est via le protocole HTTPS. Grâce à la couche de sécurité, les données de la requête ou de la réponse sont chiffrées avant leur envoi. Si un pirate informatique intercepte les données, il ne peut pas les comprendre, ni les modifier.

À quoi sert le protocole HTTPS ?

1. Chiffrer et sécuriser les données
2. Améliorer l'expérience utilisateur
3. Contribuer à un meilleur référencement

1 - Chiffrer et sécuriser les données

Le rôle du protocole HTTPS est de renforcer la sécurité des données confidentielles sensibles échangées entre un serveur web et le navigateur de l'internaute. Il permet à la fois de chiffrer la communication entre les deux parties, d'assurer l'intégrité des informations et de vérifier l'authenticité du serveur web.

• Le chiffrement : en cas de cyberattaque, les données qui transitent sont incompréhensibles.
• L'intégrité : pendant leur transport, les données ne peuvent être modifiées. Elles arrivent intactes à destination.
• L'authentification du serveur : l'internaute est sur le bon site web, et non sur une version contrefaite par un pirate informatique.

2 - Améliorer l'expérience utilisateur

Sur internet, il n'est pas rare que les sites soient victimes d'actes de cybercriminalité. Le HTTPS permet de protéger toutes les données clients lors d'attaques MITM (man in the middle). Cette méthode d'espionnage a pour objectif d'intercepter les communications entre deux utilisateurs sans qu'ils s'en aperçoivent. Le protocole HTTPS est donc un outil essentiel pour lutter contre ces attaques et accroître la confiance des visiteurs.

Avec un protocole HTTPS, l'internaute est assuré que le site sur lequel il navigue est fiable et sécurisé. S'il a des informations personnelles à échanger (mots de passe, identité, adresse ou encore coordonnées bancaires), il peut le faire en toute confiance. Le HTTPS préserve sa vie privée, améliorant ainsi son expérience utilisateur.

En 2024, la Google Search Console affiche un onglet HTTPS, dans le volet relatif à l'expérience utilisateur. Dans l'onglet HTTPS, l'administrateur d'un site web peut visualiser les « URL non HTTPS », signalées en rouge, pour corriger ce défaut en vue d'améliorer l'UX sur le site.

3 - Contribuer à un meilleur référencement




« Nous commençons à utiliser le protocole HTTPS comme signal de classement. »
Google, à l'attention des développeurs, le 07 août 2014

L'utilisation du protocole HTTPS est un élément déterminant dans le référencement d'un site. En effet, sa présence envoie un signal positif à l'algorithme et favorise l'indexation. Si le site en question est de même envergure que celui des concurrents, Google a tendance à privilégier celui qui utilise un protocole HTTPS et à le positionner par conséquent en première position.

D'où vient le protocole HTTPS ?

• 1989 : l'inventeur du World Wide Web Tim Berners-Lee crée concomitamment le protocole de communication HTTP, une des trois technologies indispensables au fonctionnement d'internet. Au moment de sa création, le protocole de communication navigateur-serveur fait transiter les données en clair. Sans chiffrement, le risque de piratage est alors latent.
• Internet se développe progressivement, et la vente en ligne apparaît. Mais les internautes n'ont pas suffisamment confiance en internet pour y renseigner les données de leur carte bancaire, donc le volume des ventes en ligne reste faible.
• 1995 : l'entreprise Netscape, pionnière d'internet avec son navigateur Netscape Navigator, introduit le protocole SSL (Secure Sockets Layer) pour sécuriser les échanges de données, et susciter ainsi la confiance des internautes. HTTP devient HTTPS : un protocole de communication navigateur-serveur enrichi d'un protocole de sécurisation des échanges des données.
• 1999 : l'IETF (Internet Engineering Task Force), en charge de normaliser internet, crée le protocole TLS (Transport Layer Security). Cette version moderne de SSL propose des méthodes de chiffrement avancées, et des liaisons plus rapides.
• 2014 : Google annonce intégrer le protocole de communication sécurisée HTTPS dans ses critères de référencement naturel. Le HTTPS, jusque-là majoritairement utilisé par les sites web manipulant des données particulièrement sensibles, se généralise.
• 2015 : la sécurité des échanges sur internet devient d'intérêt général. L'autorité de certification à but non lucratif Let's Encrypt naît, elle propose des certificats TLS gratuits, pour passer de HTTP à HTTPS gratuitement.
• 2018 : Google sanctionne les sites web qui n'utilisent pas le HTTPS en affichant l'avertissement « La connexion n'est pas sécurisée ». La confiance des internautes, et la crédibilité du site web, décroissent en conséquence. Le trafic est vraisemblablement impacté sur ces sites web.
• 2024 : Hostinger, OVHcloud ou encore IONOS, la majorité des prestataires d'hébergement populaires incluent le certificat « SSL » par défaut dans toutes leurs offres d'abonnement, pour garantir la sécurité des données. Par conséquent, tous les sites hébergés via ces prestataires utilisent le HTTPS. Les prestataires parlent de certificats SSL, plus connu, mais en réalité il s'agit de certificats TLS.
• Le protocole TLS évolue à mesure des nouvelles menaces envers la cybersécurité. Des versions actualisées paraissent régulièrement, avec des algorithmes de chiffrement adaptés.

Comment fonctionne une connexion HTTPS ?

La connexion HTTPS est une connexion HTTP associée à un certificat de chiffrement SSL (Secure Sockets Layer), aussi appelé TLS (Transport Layer Security). Celui-ci prend la forme d'un fichier de données qui lie une clé cryptographique aux informations personnelles d'un utilisateur.

Ce protocole de transport sécurise efficacement les données et les échanges entre les serveurs web et les navigateurs des internautes. Ils sont particulièrement utiles sur des sites de e-commerce pour protéger toutes les informations données par les clients.

Ces certificats ajoutent une sécurité supplémentaire pour les données dites sensibles. Par exemple, lors d'un achat sur une boutique en ligne, le certificat SSL ou le TLS permet aux clients de laisser leurs informations bancaires et personnelles en toute confiance. Ils n'ont pas à craindre qu'elles soient divulguées ou volées par une personne tierce.

Afin de reconnaître un site protégé par le certificat SSL, un cadenas s'affiche dans la barre d'adresse. Cet élément indique aux visiteurs que les échanges sont bien chiffrés.

Quelle est la différence entre HTTP et HTTPS ?

Le HTTP, ou Hypertext Transfer Protocol, traduit en français par « protocole de transfert hypertextuel », est un langage informatique essentiel sur internet. Il sert à transmettre les données des pages web sur un serveur pour qu'elles soient ensuite livrées au navigateur de l'internaute.

C'est l'essence même du web. Sans protocole HTTP, les connexions ne s'établissent pas et le visiteur ne peut pas accéder aux différentes pages web.

Ce protocole toutefois présente une lacune majeure : la sécurité. En effet, les données transférées ne sont pas chiffrées et peuvent être facilement piratées. Lorsqu'un internaute navigue sur un site HTTP et y entre des données sensibles, celles-ci sont à la portée de tous et peuvent être volées. Les pirates informatiques ou les sociétés d'espionnage l'ont bien compris.

Pour corriger ce défaut de sécurité et faire d'internet un lieu sûr, le certificat SSL a été créé. Le HTTPS permet donc de sécuriser tous les échanges d'informations grâce à une clé de chiffrement SSL/TLS.

De plus, le fait qu'un site soit en HTTPS aide à gagner la confiance des clients, de plus en plus soucieux de la protection de leurs données personnelles. Ils seront plus enclins à laisser leurs coordonnées bancaires et autres données sensibles.

Quelles sont les caractéristiques d'un site HTTPS ?

Un site HTTPS est fiable et sécurisé

Le protocole HTTPS est de plus en plus employé par de nombreuses entreprises, tous domaines d'activité confondus, dans un enjeu de sécurité : e-commerce, banques ou encore administrations. Les usages, les exigences de Google et le paramétrage par défaut du certificat TLS par les hébergeurs généralisent l'utilisation du protocole HTTPS par les sites web des entreprises, sans enjeu particulier en matière de sécurité.

Les services de messagerie web et les réseaux sociaux fonctionnent eux aussi sous un protocole HTTPS pour protéger toutes les données personnelles des utilisateurs.

Selon la configuration du serveur web et des sites internet, il existe 4 types de certificats SSL :

• Domain validated (DV), qui permet une sécurisation dite basique d'un site internet.
• Organisation validated (OV), qui s'applique aux sites web des institutions et des organisations.
• Extended validated (EV), qui renforce la sécurité d'un site. Ce certificat est indispensable pour assurer la protection des données utilisateurs sur des banques en ligne et des sites de e-commerce.

Un site HTTPS est garanti authentique

L'utilisation du protocole HTTPS permet de vérifier l'identité du site web et de rassurer l'internaute sur son authenticité. Il garantit la confidentialité et l'intégrité des données partagées par l'utilisateur. Il se distingue par l'icône cadenas située sur le côté droit de la barre d'adresse et inclut le terme « HTTPS » au début de l'URL.

Le protocole HTTPS améliore la vitesse d'un site

Le protocole HTTPS permet aussi d'améliorer la vitesse d'un site, car les tailles des données transférées sont réduites en comparaison avec le protocole HTTP.

Comment réaliser un audit du SEO technique ?

Téléchargez ce guide gratuit et définissez une stratégie de SEO technique efficace pour optimiser les performances de votre site.

• Objectifs de l'audit
• Outils à utiliser
• Performances serveur
• Structure internationale

Télécharger En savoir plus Télécharger

Télécharger

Tous les champs sont obligatoires.

Merci d'avoir soumis le formulaire

Cliquez sur le lien pour accéder au contenu en tout temps

Télécharger

Comment passer mon site web en HTTPS ?

Utiliser un prestataire d'hébergement notoire facilite considérablement la procédure : l'hébergement inclut un certificat TLS par défaut, qui permet d'avoir automatiquement son site en HTTPS. Pour choisir son propre certificat, et l'installer soi-même pour passer son site web en HTTPS, la procédure est relativement plus technique.

Générer le certificat

La première étape consiste à acheter ou à obtenir gratuitement un certificat TLS auprès d'un fournisseur tel que DigiCert, GlobalSign ou Let's Encrypt.

Installer le certificat sur le serveur

La procédure d'installation du certificat SSL/TLS dépend du serveur.

Vérifier les liens internes

Les liens entre les pages du site doivent être en format relatif (/catégorie/page-produit), ou rediriger vers les URLs avec le préfixe HTTPS. Il faut vérifier chaque lien interne.

Gérer le contenu mixte

L'ensemble des images, vidéos, plugins ou scripts provenant de sites HTTP doivent être modifiés en HTTPS. Il est possible de vérifier le contenu mixte avec un outil tel que JitBit.

Rediriger le HTTP vers le HTTPS

Toutes les adresses URL existantes sous HTTP doivent faire l'objet d'une redirection 301 dans le fichier .htaccess du serveur du site afin d'éviter une perte de trafic.

Créer une URL canonique en HTTPS

L'URL canonique correspond à l'adresse finale de la page web. Elle doit, elle aussi, être en HTTPS pour faciliter la migration par Google.

Vérifier la validité du SSL

Des outils tels que SSL Labs permettent de vérifier le niveau de sécurité du site HTTPS. Il valide, entre autres, que le SSL est correctement installé.

Mettre à jour la Google Search Console

Il est important de renseigner la nouvelle adresse du site en HTTPS sur la Search Console et de soumettre le sitemap afin d'aider Google à comprendre la nouvelle structure du site et, ainsi, à mieux l'indexer.

Est-ce qu'un site HTTPS est 100 % sécurisé ?

Un site HTTPS est mieux sécurisé qu'un site HTTP. Le HTTPS est indispensable pour la sécurité d'un site web, car il atténue considérablement le risque d'attaques. Un site HTTPS, toutefois, n'est pas 100 % sécurisé.

• Le protocole TLS n'est pas conçu pour protéger contre l'intégralité des menaces contre la sécurité d'un site web. Une attaque de type XSS (Cross-Site Scripting), par exemple, ne relève pas du rôle du TLS : c'est au niveau du code, pendant le développement du site web, qu'il faut agir.
• Les utilisateurs d'un site web ont une grande part de responsabilité dans la sécurité de leurs données. Le site web peut utiliser le HTTPS et autres mesures de sécurisation avancée, les données d'un utilisateur sont compromises s'il ne prend pas, de son côté, des mesures de protection de ses identifiants personnels.
• Le protocole TLS chiffre les données pour les rendre inexploitables en cas de cyberattaque. Des pirates informatiques peuvent réussir à trouver une faille dans l'algorithme, ou à obtenir la clé de déchiffrement, auquel cas le site HTTPS n'est plus sécurisé. À cet égard, il est important de veiller à avoir toujours la dernière version du TLS.
  
  

Pour aller plus loin dans votre stratégie web, évaluez votre site internet avec l'outil Website Grader, ou découvrez le logiciel CMS de Hubspot.