Google met en avant l'HTTPS (et les protocoles SSL) depuis plus d'un an, avec un petit boost SEO à la clé. Il y a peu, John Mueller avait indiqué qu'il fallait que la totalité des ressources des pages web soient en HTTPS pour profiter du boost de ranking, ce qui constitue un frein en soi. Depuis le 17 décembre 2015, c'est un nouveau pas qui est passé puisque Google officialise un nouveau système d'indexation, privilégiant les pages HTTPS à leur équivalent en HTTP simple.
L'objectif de la firme est de basculer au maximum vers le "tout HTTPS" en proposant aux internautes de plus en plus de résultats sécurisés dans les SERP. Les diverses démarches de Google prouvent que l'HTTPS continue d'intéresser la firme, même quand il est couplé avec HTTP/2 (censé être déjà plus sécurisé par défaut qu'HTTP 1.0)...
La communication autour de ce changement est assez importante, les blogs officiels de chaque langue l'ont indiqué (ce n'est pas le cas pour toutes les informations), les comptes Twitter et Google+ des principaux acteurs de Google ont relayé l'information également, etc. En France, c'est Zineb Ait Mahajji qui a pris la tâche à son compte sur le blog officiel francophone.
Le nouveau système d'indexation des pages en HTTPS est particulier, car il fonctionne en quelque sorte en parallèle de celui en HTTP, un peu à l'image de ce qui pourrait être fait pour AMP HTML. En effet, les robots vont explorer les pages HTTPS en priorité lorsqu'elles répondent à une page HTTP classique. Si une page HTTPS est trouvée, elle sera généralement indexée en lieu et place de la page HTTP, mais il faut qu'elle réponde à ces quelques conditions :
- L'ensemble des ressources internes sont également sécurisées (liens vers des images, JS, Google Fonts, etc.).
- Pas de blocage par un fichier robots.txt.
- Pas de redirection vers ou via une page HTTP non sécurisée.
- Pas de lien "rel="canonical"" vers la page HTTP.
- Pas de balise meta "noindex" pour bloquer le crawl des robots.
- Pas de liens sortants à partir de l'hôte redirigeant vers des URL HTTP.
- Le sitemap intègre les URL en HTTPS (ou n'intègre pas la version HTTP de l'URL).
- Le serveur dispose d'un certificat SSL/TLS valide.
Comme l'indique l'article, il est possible de forcer le passage à l'HTTPS en configurant l'entête HSTS. Il ne s'agit que de quelques lignes de code. Les entêtes HSTS (pour HTTP Strict Transport Security) ne sont pas compatibles avec l'ensemble des navigateurs mais fonctionnent avec bon nombre d'entre eux malgré tout, c'est une sorte de redirection côté serveur automatique, c'est très pratique en cas de migration vers HTTPS. Voici un exemple de code PHP pour ajouter l'entête HSTS :
// Vérification en PHP de la présence d'HTTPS ou non
if (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
header('Strict-Transport-Security: max-age=31536000');
} else {
header("Status: 301 Moved Permanently", false, 301);
header('Location: https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
exit();
}
Notons tout de même quelques points particuliers qui peuvent surprendre. Il est écrit qu'il faut que toutes les ressources soient en HTTPS dans les pages, cela rejoint les déclarations de John Mueller du 29 août 2015 assurant que le boost SEO n'est donné qu'aux pages 100% sécurisées. Qui plus est, il est bien précisé qu'il ne faut pas de balises rel="canonical" dans les pages HTTPS. Si cela peut surprendre, c'est assez logique en réalité. En effet, le nouveau système indexe distinctement les pages HTTP ou HTTPS, et ne conserve que la meilleure version selon les cas. Partant de ce constat, si la page HTTPS est indexée, son équivalent HTTP est "oublié" et ne constitue plus un contenu parallèle traînant sur le web, l'URL "canonique" n'a donc plus d'intérêt, elle constituerait une erreur voire aurait tendance à ramener le robot vers une ressource en HTTP inutile et obsolète...
Quoi qu'il en soit, l'HTTPS devient de plus en plus important, n'en déplaise aux détracteurs. Google l'avait dit, Google le fait, et nous pouvons craindre que ce rôle soit de plus en plus important encore à l'avenir si le nombre d'attaques se multiplient (injections SQL, etc.). Bref, après le boost SEO, c'est au tour de l'indexation de privilégier l'HTTPS, en attendant la suite... :D