Download - SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Transcript
Page 1: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Agence Conseil en stratégie digitale

SEO, CRO, Inbound Marketing, AnalyticsLE 20 Mars 2015 - PARIS

K_lice

FAUT-IL MIGRER VOS SITES EN HTTPS ?

/ SEO

Camille Thomas

Page 2: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

FAUT-IL MIGRER SON SITE EN HTTPS ?

Vous vous lancez

dans la grande

aventure en suivant

les guidelines de

Google

Vous n’y croyez pas

un mot et retourner à

vos autres

préoccupations

Il n’y a pas de machine arrière possible !

Page 3: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

NOMBRE DE SITES UTILISANT HTTPS PAR

DEFAUT

Page 4: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

80 % des urls en HTTPS ne sont pas affichées

dans les résultats de recherche

Page 5: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

6 août 2014 : Google annonce qu’ils ont ajouté l’utilisation du protocole SSL/TLS

dans leurs critères de classement

http://googlewebmastercentral-fr.blogspot.fr/2014/08/le-protocole-https-en-tant-

que-facteur.html

HTTPS : UN BONUS POUR LES PAGES WEB

SECURISÉES

Page 6: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

UN PEU D’HISTOIRE..

Le protocole SSL (Secure Sockets Layer) a été inventé dans un premier temps

par Netscape puis racheté par l’IETF en 2001.

Cela a été rebaptisé ensuite TSL (Transport Layer Security)

On parle donc du protocole de sécurité SSL /TSL

La sécurisation apportée par SSL/TSL est obtenue par l’utilisation conjointe de

deux approches :

- le chiffrement (le cryptage) des données avec une méthode asymétrique (basée sur une clé publique et une clé privée)

- l’authentification du serveur web auquel se connecte le navigateur de l’internaute

Page 7: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

FONCTIONNEMENT PROTOCOLE HTTPS

1. « Handshake »

2. Echange des clés de chiffrement

3. GET du client Envoi de la page en mode crypté

1

2

3

Page 8: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

COMMENT RECONNAIT-ON UNE PAGE WEB

SECURISÉE ?

On reconnait qu’une page web est sécurisée par le protocole http:// à l’aide de

plusieurs indices :

l’url commence par https:// au lieu de http://

un petit cadenas fermé apparaît devant l’url sur la plupart des navigateurs

si le certificat appartient à une hiérarchie de certificats connue par le

navigateur, un affichage supplémentaire permet d’identifier que la page

consultée appartient à un domaine identifié

Page 9: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

MOTIVATIONS DE GOOGLE : HTTP EVERYWHERE

https://www.youtube.com/watch?v=cBhZ6S0PFCY

« We want to make the internet safer more

broadly»

Page 10: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

MOTIVATIONS DE GOOGLE : ELIMINER LE SPAM

Qui risque de sécuriser son site ?

Qui peut se payer un certificat à prix d’or ?

Des sites légitimes

Qui risque d’être gêné par ce changement ?

Les sites de contrefaçons, illégaux et clandestins

Les sites de spam

Page 11: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

QUELLE EST L’IMPORTANCE DU BONUS ?

Cet indicateur a très peu de poids pour le moment

La même communication avait été utilisée pour le vitesse de chargement des

pages… Dans le futur, il pourrait prendre beaucoup plus d’importance

Etude Search Metrics en août 2014 : corrélation non concluante

Pour l'instant, cet indicateur a très peu de poids, et ce afin de laisser le temps aux webmasters de passer au protocole HTTPS. Il

concerne moins de 1 % des requêtes mondiales, et il est moins important que d'autres indicateurs tels que le contenu de haute

qualité. Mais au fil du temps, il est possible que nous décidions de lui donner une plus grande importance, car nous aimerions

encourager tous les propriétaires de sites Web à passer du protocole HTTP au protocole HTTPS pour assurer la sécurité de tous les

internautes sur le Web.

http://blog.searchmetrics.com/us/2014/08/29/https

-vs-http-analysis-do-secure-sites-get-higher-

rankings/

Page 12: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

AVANTAGES ET INCONVENIENT DE L’HTTPS

Page 13: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

AVANTAGES DE L’HTTPS

RENFORCE VOTRE

SECURITE

RASSURER

L’INTERNAUTE

PERENNISER VOTRE

SEO

Page 14: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

AVANTAGES DE L’HTTPS : PLUS DE REFERRER

DATA

Site HTTPS Site HTTPS

Site HTTPS Site HTTP

Referrer data

=Trafic direct

Referrer data

Lorsque le trafic passe d’un site HTTPS vers un site HTTP, celui-ci est

comptabilisé en « trafic direct » dans votre solution analytics

Si le trafic vient vers un site HTTPS, le referrer est conservé !

Page 15: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

INCONVENIENTS DE L’HTTPS : LE TEMPS DE

TELECHARGEMENT

En pratique, la phase de handshake,

d’échange de clés, et le cryptage crée un

délai supplémentaire (et accessoirement,

une charge serveur accrue). Mais ce délai

supplémentaire ne dépasse pas dans la

pratique quelques dizaines de

millisecondes.

Solution :

1. changer les en-têtes de vos pages pour permettre la mise en

cache des pages en https://

2. Utiliser des solutions comme SPDY qui est HTTPS friendly

https://developers.google.com/speed/spdy/

Page 16: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

INCONVENIENTS DE L’HTTPS : PAGES

COMPOSITES

Ce message désagréable s’affiche lorsqu’une page comporte des frames ou des

iframes ou des appels externes à des pages non sécurisées.

Problématique donc lorsqu’on utilise des flux externes ou des publicités issus

de serveurs non sécurisés..

Page 17: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

INCONVENIENTS DE L’HTTPS : REVENUS

ADSENSE

Pour palier au problème précédent, Google a pris une décision radicale

Si vous décidez de convertir votre site HTTP en HTTPS, sachez que les annonces diffusées sur vos pages HTTPS risquent

de générer des revenus moins élevés que celles diffusées sur vos pages HTTP. Cela s'explique par une pression plus faible

au niveau des enchères, car les annonces non conformes à SSL ne participent plus à la mise en concurrence.

Ainsi si la page web est sécurisée, seules les publicités appelées via un

protocole sécurisé sont sélectionnées

Il faut donc s’attendre à une chute de manière sensible des revenus adsense

d’un site

https://support.google.com/adsense/answer/10528?hl=fr

Page 18: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

INCONVENIENTS DE L’HTTPS : COÛT DES

CERTIFICATS

Tous les prix existent, de la quasi gratuité à des centaines de milliers de dollars

- les certificats “simples” (single domain) : ils ne sécurisent qu’un seul host (donc

www.votresite.com et pas unsousdomaine.votresite.com

- les certificats “multidomaines” : beaucoup plus chers, ils permettent de sécuriser plusieurs

domaines avec le même certificat. Le coût est le plus souvent proportionnel au nombre de

domaines à sécuriser

- les certificats “wildcards” : ils couvrent tous les hosts appartenant à un domaine donné (donc

www.votresite.com, ssdomaine1.votresite.com, ssdomaine2.votresite.com…) Plus chers que les

certificats “single domain”, à l’usage ils sont plus économiques dès lors que l’on utilise plusieurs

sous domaines.

La longueur de la clé est également un critère important. Google recommande

des clés de 2048 bits de longueur

En dessous de 100 dollars annuels, le sérieux du fournisseur de certificat peut-

être mis en doute, et doit être soigneusement vérifié..

Page 19: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

PERTE DES SOCIALS SHARES

Vous pouvez utiliser les APIs pour mettre à jour les compteurs mais cela met

plusieurs semaines / mois

- Facebook : oui

- Twitter : Non

- G+ 1 : Oui

- Gooogle Shares : Non

- Linkedin : Oui

- Pinterest : non

Ou alors, utilisez ce tuto pour avoir un effet immédiat mais sans mise à jour des

futurs shares (utiles pour les vieux posts)

http://searchenginewatch.com/sew/how-to/2172926/maintain-social-shares-site-migration

Page 20: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

AVANTAGES ET INCONVENIENT DE L’HTTPSCOMMENT REUSSIR SA MIGRATION HTTPS ?

Page 21: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

LES GRANDES ETAPES

Installer les

certificats

MAJ urls /

ressources

Checklist

SEO

Plan de

redirections

TEST

Page 22: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

Pour l’instant Google est neutre vis-à-vis de la sélection des certificats mais à

l’avenir cela pourrait être un moyen de gager la confiance des sites.

Choisir de préférence un certificat utilisant une encryption SHA-2

Activer le support SSL/ TLS sur vos serveurs webs

CHOISIR LES CERTIFICATS

https://www.youtube.com/watch?v=fKQULFm2BQA&feature=youtu.be&t=33m

Validation standard : 0-100 $ / an

Validation étendue : 100 – 500 $ / an

Page 23: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

CHECK LIST SEO

Utiliser des urls relatives ne mentionnant pas le protocole HTTPS

- Requêtes SQL

- Rechercher + remplacer tout avec votre editeur de texte préféré

- Mettre à jour les liens interne en durs

Toutes les ressources d’une page doivent être appelées via https (CSS, JS,

JSON, Images etc..)

Mettre à jour votre robots.txt, compte GWT / BINGWT / paramétrages CDN

Mettre à jour les sitemaps. Garder l'ancien sitemap sur le HTTP pendant 30

jours afin que Google crawl votre site sans encombres

S'assurer que les balises canonicals pointent vers la version HTTPS de l'url

Les instructions de mise en cache dans les headers doivent être changées

systématiquement pour éviter les problèmes de performance

Si vous avez un fichier de disavow, il faut le répliquer dans votre nouveau

compte GWT

Page 24: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

OUTILS DE BONNE IMPLEMENTATION

https://shaaaaaaaaaaaaa.com

https://www.ssllabs.com/ssltest/

Page 25: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

PLAN DE REDIRECTION

Utilisation de redirections 301 uniquement, la 302 est à proscrire

TESTER LES REDIRECTIONS 301 en pré-prod

Utiliser la fonction « FETCH AS GOOGLE » pour vérifier que Google crawl

correctement votre site

NB : la fonctionnalité changement d’adresse de GWT ne fonctionne pas pour la

migration HTTPS

Page 26: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

HSTS : HTTP STRICT TRANSPORT SECURITY

Ce code de reponse indique aux user agents d'accéder uniquement aux versions

HTTPS des pages même quand dirigé vers une HTTP page. Cela élimine les

redirections, le temps de réponse..

Par exemple dans cette configuration, on force le navigateur à afficher du

HTTPS si l'on requête du HTTP via le cache et cela pour un an à partir

d'aujourd'hui (max-age=31536000)

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security

Page 27: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

EFFETS DE BORDS

Mettre à jour votre code de tracking analytics : les derniers code Google

analtyics supportent le HTTPS mais le problème peut se poser sur des plus

anciennes versions

Forcer les cookies à être déposés sur vos versions HTTPS grâce à Secure Flag

https://www.owasp.org/index.php/SecureFlag

Pour les sites utilisant des technologies anciennes voire obsolètes, il peut

s’avérer difficile de réaliser ce type de migration sans faire des changements

importants (comme passer à une nouvelle version d’un CMS, renoncer à un

plugin, refondre le code de zones entières du site)

Page 28: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

PRÊT POUR LE GRAND SAUT ?

Page 29: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

SONDAGE WEBMASTERS

Page 30: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

CONCLUSION

RESTEZ EN HTTP PASSEZ EN HTTPS

Votre business

dépend

d’ADSENSE ?

OUI NON

Vous avez

prévu une

refonte,

changement de

CMS en 2015 ?

OUI NON

Votre roadmap

SEO 2015 est

pleine à

craquer ?

OUI NON

Page 31: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

ET ENSUITE ?ET ENSUITE ?

Page 32: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

HTTP 2 : LE FUTUR STANDARD

Depuis 15 ans nous sommes sur le protocole 1 de HTTP

Le 18 février 2015, le président du HTTP Working Group a annoncé que le futur

standard HTTP/2 est désormais finalisé

Fondé sur la technologie SPDY, il va permettre d’accélérer considérablement le

chargement des pages webs et de mieux sécuriser les connexions

Cela utilise le mutliplexage :

Page 33: SEO CAMPUS 2015 : Faut il migrer vos sites en https ?

Camille Thomas : www.search-foresight.comK_lice

DES QUESTIONS ?

Merci pour votre attention !

Camille Thomas

Consultant SEO chez Search Foresight

K_lice