HTTPS, la nouvelle blague de Google

HTTPS, la nouvelle blague de Google

Parfois je me dis que chez Google, ils doivent bouffer du clown pour sortir de telles âneries. La dernière en date consisterait à passer ses sites sous le protocole HTTPS pour davantage de sécurité. Cette blague. Et comme à chaque annonce de Google, la communauté SEO s'enflamme.

La sécurité, le prétexte à deux balles

Et pour inciter les propriétaires de sites Internet, Google annonce (sans rigoler, si si) que le SSL serait un nouveau critère de pertinence pour mieux se positionner dans les SERPs. Mouahahahahahahah, avouez qu'elle est excellente. En fait Google, a trouvé un nouveau moyen pour mettre les SEO au pas. Personnellement je n'y vois qu'un moyen de plus pour Google de repérer les sites saupoudrés de SEO.

A moins de vouloir lécher absolument les bottes de Google, passer ses sites en HTTPS, c'est un coût non négligeable. Un certificat SSL coûte en moyenne 35 €. Vous multipliez ce chiffre par le nombre de sites et vous voyez tout de suite le montant de la facture annuelle. Dans mon cas, cela s'élèverait à 5 000 € minimum par an (+ le temps d'installation).

J'ai regardé chez o2switch et chez PlanetHoster, les hébergements mutualisés ne comprennent pas le coût du certificat. J'imagine qu'il en est de même chez la majorité des prestataires d'hébergement. Ce n'est pas étonnant puisqu'un certificat sécurise un et un seul nom de domaine. Au mieux, l'hébergeur en offre un dans le coût de son offre.

Installer le SSL, oui si vous avez une bonne raison de le faire

Il faut garder à l'esprit que le protocole HTTPS est prévu pour sécuriser certains types de sites. Quelques exemples me viennent à l'esprit :

  • Un webmail
  • Un espace-client
  • Un site communautaire

Bref, dès qu'il y a un système de connexion avec des données privées, il peut être intéressant de sécuriser un site pour éviter que les données confidentielles ne transitent en clair sur le réseau. On pourrait imaginer sécuriser une boutique en ligne mais le principal, c'est que la page de paiement soit elle sécurisée. C'est le rôle des établissements bancaires, pas celui des webmasters. Pour le reste du site, il n'y a aucune obligation de le faire.

Je vais attendre avec impatience les premières statistiques quant aux chiffres concernant la vente de certificats SSL pour faire plaisir à Google. Je suis sur qu'ils seront exponentiels au léchage de cul qu'il aura engendré.

Bref quoi qu'il en soit, si vous possédez un serveur dédié et que vous souhaitez tout de même sécuriser vos sites avec le HTTPS, suivez le tutoriel que j'ai rédigé l'an dernier : Installer un certificat SSL.

Catégorie Référencement - Écrit par le 07/08/2014 - Article lu 1 986 fois - 26 commentaires

26 réflexions sur ce billet

C'est bizarre au SMX ils avaient insisté sur le fait qu'ils voulaient pousser les webmasters a passer en https (sous prétexte de sécurité) mais ils avaient réellement insisté sur le fait qu'ils ne s'en servirait pas en tant que paramètre de ranking. Bref du Google quoi !

Écrit par Sylvain Richard
Le 07/08/2014 à 22h39

Deux choses me sont venus à l'esprit en apprenant cette énormité.

1- On va voir fleurir des promos sur des certificats à 2 balles aussi fiables qu'un fil de laine pour attacher une moto à un poteau.

2- Et je pense à cet abruti de Google qui met 1,5 mois à redonner les positions à un site qui change d'URL. Les e-commerçants qui vont perdre 50% de CA sur cette période vont adorer la blague.

Écrit par Hervé
Le 07/08/2014 à 22h44

@Le Juge : avec Google on est habitués aux changements de cap. ;)

@Sylvain : normalement avec une redirection automatique du http vers le https, il ne devrait pas y avoir de problème. Il faut juste y penser. :-)

Écrit par Rodrigue du site http://cree1site.com
Le 08/08/2014 à 00h03

Je ne vois AUCUN intérêt à passer un site Lambda en https si il n'a pas de données perso à protéger.

J'ai l'impression qu'il y a un gars chez Google, qui d'un coup se lève de sa chaise en disant "Put*** les gars j'ai une idée, ...".

Ce qui me fait rire c'est que d'un coup une tatane d'article nous parlant du https, dont le tiens que tu as twitté ce matin. Mais toi tu as une excuse, il date de plus d'un an ;)

Bref ça va nous couter cher si ça se concrétise pour nos positionnements ! Pour le moment seul très peu de résultats seraient impactés.

Écrit par Hervé
Le 08/08/2014 à 00h07

@Rodrigue : et dans 10 ans, Google nous dira que seuls les sites HTTPS seront indexés. C'est de la connerie mais ça fait fonctionner le business. Sans doute que GG va devenir un vendeur de certificats SSL. Il serait même capable de nous faire croire que seuls les siens seront valides pour tuer la concurrence. ;)

Écrit par Damien
Le 08/08/2014 à 05h11

Google veut réellement sécuriser les données, il y a beaucoup de sites où circulent des données qui ne sont pas "sensibles", mais qui peuvent vite déranger l'utilisateur, mail, n°de téléphone, adresse, typiquement sur les formulaires de demande de devis qui sont légions.

Et d'ailleurs sur ce type de site, une campagne ad sera refusée si le site n'est pas en https, au moins sur la ou les pages proposant un form.

Écrit par Alexandre Santoni du site http://www.keeg.fr/
Le 08/08/2014 à 09h08

C'est dans la logique de ce que souhaite Google depuis longtemps : un web rapide, propre et sécurisé.

Il favorise les sites rapides, il mets de coté les sites spammés et hackés. Sur les sites spammés et hackés, il est dans la logique de l’extrême. En redescendant la ligne rouge, il est assez logique qu'il puisse favoriser à une échelle strictement minimale l'aspect sécurisation. Il suit sa ligne de conduite et communique fortement dessus pour accélérer les choses plus qu'elles ne devraient. Et je doute que ça aille plus loin que ça.

Google se mettrait donc à donner des astuces pour ranker. Google qui rappelons le fait la chasse aux seo, c'est-à-dire aux gens qui cherchent les astuces pour ranker.

Je plains les néophytes en référencement qui se feront vendre cette solution comme l'alpha et l'oméga d'un super positionnement.

Écrit par Jedfolio du site http://www.jedfolio.com
Le 08/08/2014 à 09h13

Est ce une sorte d'aveu sur leur incompétence à tuer tous les MFA et compagnies ? Car comme tu le dis, le SSL deviendra vite cher si certains doivent passer leur X centaines de sites de spam.

A part ce critère, j'ai du mal à voir la réelle motivation de passer tous les sites en SSL qui n'est pas forcément signe de rapidité ou de site "propre".

Tout ça c'est une course à la consommation qui étouffe doucement toute velléité SEO. En effet, *si on s'en tient à l'hypothèse que le https peut réellement améliorer le positionnement d'un site chez Google*, alors qui parmi les SEO éditeurs de sites va s'amuser à déménager tout son réseau depuis des serveurs mutualisés pas chers vers des serveurs dédiés ? Cela représente un coût énorme sans aucune garantie de ROI.

Pour moi encore une annonce à la con et pour le moment je ne demanderai pas à mes clients de bouger pour ce seul prétexte.

@Alex pas d'accord avec toi, le HTTPS est plus lent donc il va y perdre en web rapide. Bref je suis d'accord avec le taulier toujours de bonne humeur de ce magnifique blog, Google va encore affoler le monde du seo pour peanuts.

Allez on pousse le vice jusqu'au bout en fait c'est un juste un test annonce. Tous les sites qui passeront subitement en https sont entretenus par des seo donc on les plombe mouahaha.

Écrit par Maxime
Le 08/08/2014 à 09h23

C'est encore un moyen d'inciter les webmasters à faire son boulot, son index gagnera en sécurité (potentiellement moins de sites hackés et ultra spammy). Tout comme le fameux temps de chargement - aucune étude vraiment fiable n'a pu prouver qu'un site léger déchirait les SERP - ce signal permettra à Google d'économiser des millions de dollars en ressources. La contre-partie, je n'y crois pas trop, les gros sites trustés continueront à truster.

Écrit par David DEPIERRIS du site http://www.djibouteam.fr/
Le 08/08/2014 à 09h31

Le pire dans tout ça c'est que le https ne protège en aucun cas de failles de sécurité déjà existantes ni même des techniques de spam et quand on voit parfois que certaines requêtes https arrivent à te faire ramer un système de paiement, j'ai hâte de voir ce que cela donnerait sur un e commerce lambda et mal configuré.

Écrit par Benjamin
Le 08/08/2014 à 10h01

Je suis en désaccord assez profond, et ce pour plusieurs raisons :

- une écoute passive du réseau ne verra pas, sur les sites en HTTPS, où vous surfez (au pire il saura sur quel domaine via l'IP cible ou le domaine SNI), ce qui est bien contre la surveillance pervasive de masse (la surveillance la moins légitime telle qu'elle se pratique donc :) )

- un certificat chez Namecheap ça coute 6,66 € (c'est pas une blague) par an et par domaine, donc loin des 35€ surtout si on doit le multiplier par 30 ou 40, et je note que si vous avez 30 ou 40 domaines, vous payez déjà pour l'enregistrement de ces derniers.

- le HTTPS n'est pas plus lent, la montée de session est un peu plus lente (échange de certificat et négociation de clé crypto) mais comparé au temps que met un serveur pour servir une page en moyenne, on est très loin d'être au point ou cela devient un problème (et voir le point suivant). Une fois les clés négociées, on a keepalive http pour avoir plusieurs GET dans le même socket, et si un nouveau socket est créé, la négociation n'est pas à refaire grâce au cache de session TLS.

- SPDY, https://en.wikipedia.org/wiki/SPDY (en gros c'est http 2.0) déjà géré proprement par Safari, IE, Firefox et Chrome depuis quelques années, est très bien géré par nginx apache et lighty, ne fonctionne que sur HTTPS, et accélère les connexions (par le pipelining et la compression systématique). donc les sites en HTTPS pourront, au contraire, faire aller le web un peu plus vite

Enfin, le post des gus de Google est très clair : il explique que ce sera un *petit* facteur de qualité des sites pour eux, pas un truc majeur. Ils expliquent que ce sera, par exemple, moins important que d'avoir du contenu original et de qualité (sic.) Dans l'esprit de vouloir retrouver de la confiance à l'ère Snowden et l'autre esprit consistant à tout faire pour que le web aille plus vite, c'est cohérent.

Écrit par Sylvain
Le 08/08/2014 à 10h10

Salut,

Effectivement l'annonce de big G prête à discussion, comme toujours.

Après, en dehors du SEO, il y a différents types de SSL. Déjà, on peut sécuriser plusieurs URL avec un même certificat, ce sont les certifs UCC.
Ensuite les tarifs d'un certificat varient énormément, mais on ne peut pas mettre dans le même panier un certificat Extended Validation (la barre verte, l'anti malware et tout le tintouin, qui peut couter 2 000 boules) et un certificat Domain Validated (qui lui peut couter 10$).

Donc la question que je me pose sérieusement, c'est est ce que le type de certificat va être pris en compte par google ? Et si oui quelles infos va t il aller chercher dedans (à partir du 2ème niveau de cert, celui ci fait apparaitre le proprio du certificat, donc infos croisées, fake WHOIS out etc...).

De mon point de vue, si tous les types de certificat sont traités de la même manière et apportent le même "boost" dans les SERP, c'est une hérésie (et la porte ouverte aux excès), mais si seuls les certificats à haute valeur ajoutée étaient pris en compte, ce serait encore pire, car :

- ils coutent cher en ressource serveur
- ils coutent cher tout court
- sont impossible à créer si vous êtes sur un mutu.
- C'est une aberration d'en foutre sur l'intégralité du site.

Enfin, je suis surpris de cette annonce, car depuis le ComodoGate (voir comodohacker), google est clairement hostile au SSL et a même lancé son propre programme alternatif : http://convergence.io/
Donc à moins d'avoir retourné sa veste (c'est un des business les plus rentables, avec très peu de concurrents...) ou d'avoir pactisé avec Symantec, je vois pas bien la finalité !

Mais tout ça c'est de la poésie, car il va falloir un paquet de tests pour connaitre l'impact de cette MAJ, qui sera peut être quasi inexistant.

Après le formulaire de dénonciation, Google admet une fois de plus ne pas avoir l'ensemble des éléments en main pour juger de la qualité d'un site, il compte donc sur les propriétaires pour lui indiquer si le site est fiable.

Les vendeurs de certificats SSL doivent se frotter les mains. Attendons quelques semaines pour voir fleurir les bénéfices SEO miraculeux sur leurs sites ;)

Quid des petits sites n'ayant pas le budget pour investir dans ces certificats ? Quid du temps de chargement avec cet ajout ?

Quoi qu'il arrive pour le moment il y a bien plus urgent en SEO pour un site que de passer en HTTPS, surtout que cela ne touche qu'1 petit % des requêtes !

Toujours est-il que je ne passerai pas en https, que ce soit pour mes propres sites ou pour ceux de mes clients. Au pire des cas, ce ne serait qu'un facteur parmi tant d'autres, sauf que celui-là coûte cher pour pas grand chose. Rien n'est prouvé encore. Donc, autant s'en passer ;-)

Écrit par Baptiste du site http://baptisteplace.fr/
Le 08/08/2014 à 11h29

Je trouve ça tout à fait logique dans l'objectif de mettre en avant les sites des gros qui sont les plus trustés. Aucune "chasse aux seo" là dedans, je n'ai aucun doute que les SERPs sont améliorés sur les requêtes concernées.

Le SSL a un coup c'est sur, variable selon les registrars, mais ça vaut le coup d'y passer d'ici quelques mois pour un site qui rapporte.

A part l'idée que Google s'en servira pour repérer les SEO (pour ma part je n'y crois pas), quelles sont les vraies raisons qui poussent Google à ça ? Car le grand public ne sera pas au courant que c'est pris en compte dans le SEO.

Perso, un certificat est offert pour 3 ans chez 1&1 avec un hébergement mutualisé donc bon. Je crois que c'est idem chez Gandi et OVH. Donc les premiers 3 ans, pourquoi pas ! En juin, on entends que Google va se mettre à nous vendre des domaines, maintenant il met l'accent sur les certificats ! On attend l'annonce que Google va vendre des certificats SSL maintenant =D !

Google serait-il atteint du même syndrome que celui du gouvernement français ? (je ne sais pas où je vais mais j'y cours)

Écrit par Sylvain
Le 08/08/2014 à 13h39

@ Hervé

Bien sur.

Mais en gros, tu repars avec l'équivalent d'un nouveau nom de domaine. Et même avec les 301, je te jure que tu le sens en trafic sur plusieurs semaines.

Autre problème, tes liens acquis de longue date pointent vers ta 301, tu perds donc du jus au passage.

Bref, c'est loin d'être annodin en SEO. Et je passe sur la perte des likes, partages G+, retweet affichés sur les pages.

Écrit par Charles du site http://www.gdm-pixel.fr
Le 08/08/2014 à 15h05

+1000 avec Sylvain (quand on a connu l'enfer chez certains distributeurs de SSL, on se reconnait) ;)

Google réussit encore à faire le buzz.

Pour ma part, c'est tout vu : je continue de sécuriser les pages contact, paiement, connexion etc, mais de là à tout mettre en HTTPS, ils peuvent se brosser chez Google.

A mon avis, il vaut mieux investir son énergie dans une chasse au bon BL, et à la création de contenu de qualité, plutôt que de perdre son temps (et une partie de son positionnement) dans une migration full-https qui sert à rien.

Écrit par Hervé
Le 09/08/2014 à 02h48

@Damien : J'ai du mal à croire que Google se prive d'une rentrée d'argent si un site récoltant des données et affichant de l'Adsense si le site n'est pas en HTTPS. Mais bon, tout est possible avec lui.

@Alexandre : Yep, on verra si c'est juste une annonce... ou pas

@Iona : C'est pas faux. Un nouvel argument pour les personnes peu scrupuleuses pour vendre de la presta supplémentaire.

@Jedfolio : Carrément. Y'a bien des mecs qui passeront leurs MFA en HTTPS pour passer sous le radar... ou pas.

@Yann : Pour moi, c'est du flan. Google en tirera forcément un bénéfice.

@Raph : J'ai plusieurs sites en HTTPS et je n'ai pas remarqué de lenteur particulière suite à la mise en place de ce protocole.

@Maxime : Je le vois comme un appât pour débusquer les sites propulsés au SEO.

@Benjamin : Perso, je suis persuadé que Google a les moyens et l'intelligence d'écouter tout ce qu'il veut. Merci pour Namecheap, je ne connaissais pas. Quant au fait de vouloir retrouver la confiance des internautes, c'est du flan. Google n'y voit que son intérêt, il ne faut pas l'oublier. ;)

@Sylvain : Ta question est pertinente en rapport avec le type de certificat. Cela risque encore d'avantager les gros sites.

@StevO : HTTPS ou pas, rien ne prouve qu'un site est fiable, ni le contraire. Ton argument sur le fait qu'il faut aider Google, tiens la route. Mais est-ce la seule raison ?

@Gianluca9 : Moi non plus, je n'y passerais pas pour un site classique (par ex mon blog, le site de mon agence ou mes annuaires).

@Baptiste : Il est trop tôt pour mesurer l'impact sur les sites qui font un gros CA.

@Olivier : Le facteur de ranking ressemble à une grosse carotte non ?

@C_drik : LOL 1&1. Y'a sérieusement des agences et freelance qui bossent avec eux ? :-)

@l'Ours : De quel syndrome tu parles, tu peux préciser ? ;)

@Sylvain : Je n'ai pas dit que tu ne perdais pas de jus à cause de la 301. Passer un site en HTTPS demande beaucoup de travail qu'un client ne sait pas mesurer pour ne pas flinguer son SEO. Ne parlons pas des réseaux sociaux qui ne sont pas foutus de traiter les 301. C'en est même lamentable.

@Charles : Entièrement d'accord avec toi. Rédiger du contenu de qualité nous bouffe déjà bien assez de temps et d'énergie.

Écrit par Greg
Le 05/02/2015 à 12h52

@Yann : Pour moi, c'est du flan. Google en tirera forcément un bénéfice.

Ou un moyen supplémentaire et simple de faire le ménage entre les sites vraiment suivis et les autres.

Écrit par Sebastien
Le 13/09/2016 à 11h51

Bien sûr que c'est un prétexte mais au final avec les prochaines mises à jour des navigateurs, un site non https va être stigmatisé ou bloqué, on va donc tous être obligés d'y passer hélas !

Les commentaires de ce billet sont fermés

Haut de page