Dans le but de mieux protéger ses utilisateurs contre les cyber-attaques, Google a annoncé qu'il commencera à prioriser l’indexation des pages sécurisées HTTPS par rapport aux pages HTTP ordinaires.
En d’autres termes, le référencement HTTPS devient maintenant la priorité pour Google, après en avoir fait un critère de classement avec un tout petit "boost" au départ.
Toutefois, les pages HTTP ne seront probablement pas pour l’instant affectées dans les résultats de recherche. Google ne cherche qu’à fournir plus de pages sécurisées dans ses résultats, mais on peut s’attendre à ce que l’étape suivante, comme il l’a fait avec le mobile-friendly, sera de déclasser les pages non-sécurisées.
Ainsi, maintenant, lorsqu’un site web aura deux pages aux contenus identiques dont l’une est en HTTP et l’autre en HTTPS, il favorisera l'indexation de la page sécurisée HTTPS dans ses résultats de recherche. Et ce, mêmes si cette page HTTPS ne bénéficie d’aucune redirection à partir d'une autre page HTTP.
@BrianHarnish @google Sites rank fine with HTTP too, but long-term there are good reasons to move to HTTPS regardless of Google.— John Mueller (@JohnMu) December 18, 2015
Comme le dit John Mueller (voir tweet ci-dessus) de chez Google, le référencement HTTPS s'imposera à long terme.
Mais, pour l'instant, pour que cette indexation par défaut puisse se faire, certains critères devront être remplis.
Critères de l’indexation du HTTPS par défaut
Comme le dit Google, lorsque deux URL associées au même nom de domaine semblent avoir le même contenu, mais sans avoir le même protocole de diffusion, la priorité sera accordée à l'URL HTTPS, si cette dernière remplit les conditions suivantes :
- Elle ne contient pas de dépendances non sécurisées.
- Son exploration n'est pas bloquée par un fichier robots.txt.
- Elle ne redirige pas les internautes vers ou via une page HTTP non sécurisée.
- Elle ne possède pas de lien "rel="canonical"" vers la page HTTP.
- Elle ne contient pas de balise Meta "noindex" pour les robots.
- Elle ne comprend pas de liens sortants à partir de l'hôte redirigeant vers des URL HTTP.
- Le sitemap répertorie l'URL HTTPS, ou ne mentionne pas la version HTTP de l'URL.
- Le serveur dispose d'un certificat TLS valide.
Donc, en ce qui concerne Google, la version HTTPS de votre site, si vous en avez, sera prioritaire par défaut.
Mais, en ce qui concerne les autres moteurs de recherche, vous pouvez les forcer à considérer vos pages HTTPS comme prioritaires en configurant votre site HTTP de sorte qu'il redirige vers la version HTTPS équivalente et en mettant en œuvre l'en-tête HSTS (HTTP Strict Transport Security) sur votre serveur.
Qu’est-ce que le HTTP Strict Transport Security (HSTS)
Le HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS).
La politique est donc communiquée à l'agent utilisateur par le serveur via la réponse HTTP, dans le champ d'en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l'agent utilisateur doit accéder au serveur uniquement de façon sécurisée.
Ainsi, lorsque la politique HSTS est active pour un site web, l'agent utilisateur compatible opère comme suit :
- Remplace automatiquement tous les liens non sécurisés par des liens sécurisés. Par exemple, http://www.exemple.com/une/page/ est automatiquement remplacé par HTTPS://www.exemple.com/une/page/ avant d'accéder au serveur.
- Si la sécurité de la connexion ne peut être assurée (par exemple, le certificat TLS est auto-signé), celui-ci affiche un message d'erreur et interdit à l'utilisateur l'accès au site à cause de cette erreur.
La politique HSTS aide à protéger les utilisateurs de sites web contre quelques attaques réseau passives (écoute clandestine) et actives. Une attaque du type man-in-the-middle ne peut pas intercepter de requête tant que le HSTS est actif pour ce site.
