HTTPS serait-il plus efficace que le protocole HTTP en réalité ?

Mathieu Chartier Référencement 2 commentaires

Vitesse de chargement, Pagespeed Google avec HTTP, HTTP/2 ou HTTPS

Google incite tous les webmasters à migrer leur site du protocole HTTP classique vers sa version sécurisée en HTTPS. Pléthores de référenceurs ont tenté de démontrer que cela ne valait pas le coup, voire même que cela pouvait ralentir les sites (donc abaisser potentiellement la valeur Page Speed, etc.). Qui plus est, le fait que les certificats SSL nécessaires à HTTPS sont payants, cela rajoute de l'eau à leur moulin. Voyons donc si ce constat est juste, flou, ou tout simplement erroné...

Si vous souhaitez voir le résultat des études sur la vitesse de l'HTTPS, rendez-vous directement en fin d'article...

Rôle du protocole HTTPS en SEO

Google valorise les sites web qui optent pour le protocole HTTPS. C'est tout d'abord lors de la conférence I/O tenue en juin 2014 que Google a invité les webmasters à sécuriser leur site, avant d'en faire un critère à part entière avec un mini boost SEO en août 2014. Après quelques mois d'utilisation, les porte-paroles ont précisé que le boost SEO ne s'applique qu'aux sites web 100% en HTTPS (donc l'ensemble des ressources doit utiliser le protocole) et que ce dernier joue davantage un rôle de départage entre des sites de valeur équivalente que comme un critère classique de positionnement.

En d'autres termes, opter pour HTTPS ne va pas révolutionner votre ranking dans les SERP de Google. Toutefois, cela peut aider en cas de doute pour le moteur, et surtout, cela peut tout de même rassurer quelque peu vos utilisateurs. Un article de juillet 2017 publié par Olivier Andrieu (Abondance) reprend d'ailleurs deux études qui démontrent que beaucoup de pages en HTTPS se retrouvent souvent en première page des SERP. Cela peut s'expliquer par le fait que Google les favorise, ou parce que leur multiplication provoque forcément une remontée de ces pages. Quoi qu'il en soit, il est difficile de passer outre en 2017 (et même plus tard...).

Au rayon des arguments anti-HTTPS souvent utilisés par les spécialistes du référencement :

  • HTTPS n'apporte pas vraiment de boost donc ne vaut pas le coup ;
  • le protocole ralentit le chargement des pages web en général ;
  • les migrations de HTTP à HTTPS causent souvent des soucis et font perdre des positions quand c'est mal fait ;
  • les certificats SSL de qualité sont souvent payants.

Ces arguments se tiennent, et peuvent même se révéler tous réels dans certains cas. Cependant, devons-nous nous concentrer sur des cas spécifiques ou sur la majorité des sites web ? La question du boost est en partie éludée déjà, nous allons voir si la vitesse est réellement impactée négativement et si les certificats SSL ont un rôle si important.

Il ne reste donc qu'à évoquer le cas des migrations en quelques mots. Oui, une migration peut faire perdre des positions, à partir du moment où elle est mal réalisée, mais cela n'est pas dû à HTTPS. C'est le cas pour toutes sortes de migration de sites, dès lors que les URL changent de nom ou de forme. Sans vouloir faire mon commercial, sachez que je peux vous accompagner en tant qu'indépendant pour réaliser votre migration HTTP => HTTPS si nécessaire (me contacter par www.internet-formation.fr). Hormis quelques rares cas complexes, il ne faut en général que quelques petites heures pour réaliser ce travail, avec un tarif convenable.

Quid des certificats SSL payants ?

Les spécialistes ont raison, il existe des certificats SSL payants qui sont de meilleure qualité que d'autres. Depuis plusieurs années, le projet Let's Encrypt propose des certificats SSL gratuits. Et pour tout dire, Let's Encrypt va même proposer des certificats SSL WildCard en janvier 2018 (ils ont l'avantage de gérer un domaine et ses sous-domaines d'un seul coup).

Il faut d'abord bien connaître le rôle d'un certificat SSL pour savoir si ce dernier a un impact en SEO. Pour faire très simple, il s'agit de petits fichiers dans lesquels sont notifiés des informations sur le site web. Ces fichiers sont contrôlés à la volée par les navigateurs afin de protéger au mieux les noms de domaine (vérification des informations). Parallèlement à cela, toutes les données transmises entre les pages peuvent ainsi être cryptées pour éviter d'être transmises "en clair", sans protection.

Est-il donc toujours intéressant d'acheter des certificats SSL payants plutôt que de passer par Let's Encrypt ? À ce jour, la réponse est non, sauf dans un cas particulier. Si votre objectif est d'obtenir une validation complète avec le nom de l'entreprise noté en vers dans les navigateurs (voir capture ci-dessous pour Twitter par exemple), il faut opter pour un certificat SSL EV (Extended Validation).

Certificat extended validation (EV) de Twitter pour HTTPS

Dans les autres cas, Let's Encrypt répond parfaitement aux besoins des utilisateurs et surtout du référencement. En effet, Google ne regarde pas le niveau de cryptage des SSL, il vérifie juste que l'ensemble des URL des pages est en HTTPS. Qui plus est, même si le moteur cherchait à vérifier le niveau de cryptage, sachez que Let's Encrypt fournit des certificats SSL cryptés au moins en 2048 Bits, soit aussi bien voire mieux que la majorité des certificats payants. Donc arrêtons de suite les fausses rumeurs, les certificats SSL gratuits sont de très bonnes factures pour de nombreux sites web...

Les navigateurs et CMS aiment-ils HTTPS ?

Il faut savoir que de plus en plus de navigateurs, dont Google Chrome et Mozilla Firefox, notifie les visiteurs lorsqu'un site n'est pas sécurisé (ou pas entièrement en HTTPS). Sachez également que WordPress bloque l'accès à certaines de ses API si le site n'est pas en HTTPS. Par conséquent, il devient difficile de profiter pleinement du Web et d'offrir à ses visiteurs un confort de navigation en restant en HTTP...

HTTPS est-il si lent que les "experts" le prétendent ?

C'est l'argument le plus souvent mis en avant mais nous allons voir que les récentes études tendent à prouver que HTTPS peut même être bien plus rapide que HTTP. En réalité, tout n'est pas dû uniquement au protocole en lui-même, mais surtout à sa combinaison avec le protocole HTTP/2 qui remplace peu-à-peu HTTP/1.0 (ou 1.1) sur les serveurs web. En effet, HTTPS rajoute à l'origine un contrôle supplémentaire du certificat SSL, d'où la vitesse "perdue" souvent évoquée par les experts SEO. Mais c'est méconnaître le fait qu'HTTPS est souvent utilisé en adéquation avec HTTP/2, bien plus intéressant que son prédécesseur en matière de vitesse et de sécurité...

Par exemple, le site web httpvshttps.com fait état d'un même test en HTTP et HTTPS. Vous noterez la différence de vitesse entre les deux. Cela s'explique par le fait que HTTP/2 envoie les requêtes dans une seule connexion TCP (un seul envoi), là où HTTP le fait paquet par paquet (et quand des paquets de données sont perdus, il faut attendre pour les renvoyer, etc.). C'est donc relativement important comme différence en termes de vitesse, comme le montre la capture suivante...

Test de vitesse de chargement : HTTP VS HTTPS

Un autre Benchmark entre HTTP et HTTPS a été effectué par le site keycdn.com. Une fois encore, on remarque qu'avec 5 tests sur l'excellent outil WebPageTest, HTTPS se révèle toujours plus rapide que son confrère HTTP. Ici, les différences sont moins nettes et sûrement plus réalistes que dans l'exemple précédent. Toutefois, on retient encore la fausse idée du ralentissement des pages en HTTPS par rapport à leur équivalent HTTP...

Jennifer Slegg, une SEO reconnue de tous dans le monde, a même publié un tweet pour vanter la vitesse de chargement accélérée avec HTTPS. Il faut aussi regarder du côté des articles de Troy Hunt, souvent intéressants à ce sujet. Enfin, regardez du côté du site istlsfastyet.com si vous voulez savoir comment optimiser au maximum HTTPS.

Retenez donc qu'HTTPS n'est pas forcément plus lent qu'HTTP. Parfois oui, si aucune optimisation n'est apportée et si l'architecture serveur est dépassée. Mais si votre serveur est en HTTP/2 et que vous apportez des optimisations de PageSpeed, cela peut être bien différent, avec des gains rarement mis en avant par les référenceurs. Dommage, cela fait un argument de plus pour justifier son expertise pourtant... ;-)

2 commentaires

  • Jessyseonoob dit :

    Yes, souvent c'est pas un problème d'https. D'ailleurs le boost attendu, tout le monde l'a, google ne fait qu'une regex sur les 5 premiers caractères pour l'appliquer (dixit Gary Ilyes), il n'est juste pas aussi fort, et le vrai boost est l'adjonction du https+http2.

    Il faut que je rejette un coup d'oeil à la doc, mais le vrai avantage de http/2 c'est qu'il n'est plus limité à 10 slot d'envoi de fichier, http/2 permet d'envoyer en parallèle les fichier, et il n'et à pripori même plus nécessaire de ne faire qu'un seul fichier rassemblant tous les css et tous les js. Http/2 crache le contenu avant que le navigateur le demande, tout ce qui est certain d'être téléchargé par la suite (css, etc,...)

    On met aussi en avant que le SSL permet d'avoir un site sécurisé, je vais nuancer ce point, si votre site se fait hacker, le fait d'avoir un certificat SSL valide ne protégera pas l'utilisateur, il verra le petit cadenas en vert car le propriétaire est identifié par le certificat, et les données seront cryptées entre le navigateur et le serveur, mais pas ce qui se passe derrière.

    J'ai trouvé le cas d'un site qui a juste eu un petit hack mineur : une redirection sur la page home en javascript par exemple.

    J'avais expliqué le principe avec Chuck Norris dedans, et comment migrer vers https également pour les mutus OVH

    http://www.love-moi.fr/2017/06/migrer-son-site-en-https-sur-ovh.html

    • Entièrement d'accord, on se trompe de débat en général en critiquant HTTPS. Je ne dis pas que c'est parfait, je ne l'ai jamais dit, même dans le guide que j'avais rédigé pour Abondance à ce sujet à l'époque. HTTPS n'apporte qu'un micro-boost à lui seul, et ne fait que crypter des données transférées, c'est tout... :D

      Pour ce qui est d'HTTP/2, normalement il n'y a plus à combiner les fichiers, il peut gérer ça seul puisqu'il traite l'envoi en un minimum de paquets (un seul idéalement). D'ailleurs, dès HTTP/1.0 sur Apache par exemple, il était inutile de compresser les ressources JS et CSS, c'était fait à la volée. Mais comme Google le demande pour son foutu PageSpeed Score, je recommande toujours de minifier les fichiers voire de les combiner (ça fait moins de requêtes dans le navigateur donc ça accélère le temps de chargement).

  • Déposer un commentaire

    L'adresse de messagerie ne sera pas publiée.* Champs obligatoires