1

faut il passer au https pour faire plaisir a googleL'automne dernier, j'avais entendu dire que "le grand Google" allait tranquillement forcer les propriétaires de sites internet à passer au protocole sécurisé (HTTPS) s'ils ne voulaient pas être pénalisés dans les résultats de recherche. Aujourd'hui, quelques mois plus tard, je confirme la tendance.

Si la différence entre les sites sécurisés et non sécurisés était minime l'année dernière (environ 1%), l'importance de ce facteur devrait augmenter dans les algorithmes de Google au cours de l'année 2016. L'objectif est ni plus ni moins que de forcer tous les propriétaires "sérieux" de sites internet à passer au HTTPS.

Quelle est la différence entre HTTP et HTTPS?

Allez sur votre site internet et regardez la barre d'adresse où est inscrit l'URL de votre site. Voyez-vous un petit cadenas à gauche de l'URL ? Si oui, vous êtes dans les règles. Sinon, vous n'avez pas de certificat de sécurité et vous risquez tranquillement de céder votre place à d'autres dans les résultats de recherche.

Quel certificat choisir?

Un certificat de sécurité est lié à un nom de domaine et non pas à un hébergeur. Vous ne pouvez donc pas acheter un certificat qui couvrirait à lui seul plusieurs sites résidant sur le même serveur. Ajoutons à cela que si utilisez des sous-domaines, chacun d'eux doit être considéré comme un domaine à part entière. Par exemple, les urls suivants comptent pour deux :

Sur le marché, vous trouverez plusieurs options de certificat SSL (jusqu'à 9 pour Symantec et Geotrust) mais limitons-nous à celles-ci:

  • Single certificate : un certificat pour un nom de domaine (couvre monsite.com ou www.monsite.com seulement).
  • Wildcard certificate : un certificat pour un nom de domaine incluant ses sous-domaines (couvre monsite.com et toutes les sous-variantes comme boutique.monsite.com, mail.monsite.com, etc.)
  • Multi-domain certificate : un certificat pour plusieurs domaines (couvre monsite.com, votresite.com, leursite.com, etc.)
  • Extended Validation (EV) : active le cadenas vert dans le navigateur donc en plus d'avoir un cadenas, il sera vert. Cela signifit que vous avez le plus haut niveau de sécurité offert sur le marché.

À moins de faire de la vente en ligne, un certificat de base convient tout à fait. À la rigueur, pour les petites boutiques en ligne, un certificat simple convient également mais si vous voulez jouer dans les ligues majeures, il faudra songer aux certificats EV. Sachez toutefois que Google ne tient pas compte de la couleur du cadenas.

Combien ça coûte ?

Lorsqu'on se promène sur internet, on voit des offres miraculeuses à 5$ ou 6$ par année pour un certificat SSL de base lié à un nom de domaine. Ce genre d'offre semble effectivement très intéressante a priori et rend la pilule plus facile à avaler. Mais attention, les petits caractères vous dirons sans doute que l'offre n'est admissible que pour la première année. Ensuite, il faut payer plein prix c'est-à-dire peut-être 99$/année chez GoDaddy par exemple. Remarquez que ça vaut quand même la peine de sauver 80$.

Par ailleurs, il y a une question de réputation parmi les organismes qui offrent ce type de produits ce qui explique la différence de prix entre eux pour le même produit.

Il faut aussi faire attention à la devise car le taux de change US vs CAN n'est pas très avantageux en ce moment et peut réserver des surprises majeures.

Voici un petit tableau de prix pour comparer les pommes avec les pommes pour un certificat de base pour un seul nom de domaine.

FounisseurProduitPrix annuel
pour 1 an
Prix annuel
pour 3 ans
Promotion
pour la 1ère année
Devise
Digicert SSL Plus 175$ 139$ aucune US
Symantec Symantec™ Secure Site 329$ 274$ 232.00$ US
GeoTrust GeoTrust® QuickSSL® Premium 79$ 65$ 37.46$ US
Thawte Thawte® SSL123 Certificates 54$ 45$ 29.00$ US
RapidSSL RapidSSL® Certificate 17.95$ 12.99$ 6.66$ US
GoDaddy Standard SSL (DV) 89.99$ 99.00$ 5.99$ CAN

Quelle est la différence entre TLS et SSL ?

Aucune. TLS est le successeur de SSL (en 1999) et a été conçu pour résoudre les insécurités dans le protocole SSL. Comme le terme SSL est resté dans le langage courant, on continue à y référer au lieu de parler de TLS.

Quel sera l'impact sur la rapidité du site web ?

Inutile de se mettre la tête dans le sable, les connexions chiffrées sont plus gourmandes en ressources que les sites non cryptés. Il y a plusieurs années, les impacts pouvaient être importants selon l'hébergeur. Aujourd'hui, le matériel est en mesure de livrer la marchandise assez facilement. Pour vous donner une idée, la différence du temps de réponse entre le même site web chiffré ou non est d'environ 5 millisecondes. Ça représente pour le CPU (le coeur du serveur) environ de 2% à 5% de différence. Donc, si votre hébergeur connait son affaire, ça devrait aller.