HTTP vs HTTPS : la différence
HTTP (HyperText Transfer Protocol) est le protocole de base qui permet l'échange de données entre un navigateur et un serveur web. HTTPS est la version sécurisée : le "S" signifie Secure, et désigne le chiffrement des données via un certificat SSL/TLS.
Concrètement, quand un site est en HTTPS :
- Les données échangées entre le visiteur et le serveur sont chiffrées (mot de passe, formulaire, paiement).
- Le navigateur affiche un cadenas dans la barre d'adresse.
- L'URL commence par
https://au lieu dehttp://.
Sur un site en HTTP, Chrome (et la plupart des navigateurs modernes) affichent un avertissement "Non sécurisé" visible par tous les visiteurs. C'est un signal de méfiance immédiat.
HTTPS comme signal de classement Google
En août 2014, Google a officiellement annoncé que HTTPS est un signal de classement positif. Au départ, son poids était faible (Google parlait d'un "signal léger"). Depuis, il s'est renforcé avec la généralisation du HTTPS sur le web.
En 2025, l'immense majorité des sites bien positionnés sont en HTTPS. Être en HTTP ne disqualifie pas automatiquement, mais c'est un désavantage cumulatif : moins de confiance des visiteurs, potentielle pénalité Chrome, et signal défavorable comparé aux concurrents qui sont tous en HTTPS.
Un visiteur qui voit l'avertissement "Non sécurisé" a une probabilité bien plus élevée de quitter immédiatement le site. Un taux de rebond élevé est un signal indirect négatif pour le référencement.
Comment migrer de HTTP vers HTTPS sans perdre de SEO
Une migration HTTP vers HTTPS mal exécutée peut provoquer une chute de trafic temporaire, voire durable. Voici les étapes à suivre dans l'ordre.
-
Installer le certificat SSL
La plupart des hébergeurs proposent Let's Encrypt gratuitement. Certains hébergeurs premium incluent un certificat SSL payant dans leurs offres. L'installation se fait depuis le panneau de contrôle de l'hébergeur (cPanel, Plesk, etc.).
-
Forcer la redirection HTTP vers HTTPS
Toutes les URLs en HTTP doivent rediriger automatiquement vers leur équivalent HTTPS via une redirection 301. Cela se configure dans le fichier .htaccess (Apache) ou dans la configuration du serveur (Nginx).
-
Mettre à jour les liens internes et les ressources
Les images, scripts CSS et JavaScript encore appelés en HTTP créent du "mixed content" (contenu mixte), ce qui peut bloquer l'affichage du cadenas sécurisé. Il faut mettre à jour toutes les URLs internes vers HTTPS.
-
Mettre à jour la balise canonical
Toutes les balises canonical doivent pointer vers les URLs en HTTPS. Une canonical en HTTP sur une page en HTTPS crée une incohérence que Google lit comme du duplicate content.
-
Mettre à jour Google Search Console
HTTPS et HTTP sont traités comme deux propriétés distinctes dans Google Search Console. Il faut créer une nouvelle propriété pour le domaine en HTTPS, y soumettre le sitemap et vérifier l'absence d'erreurs d'exploration.
Vérifications après la migration
| Point à vérifier | Outil |
|---|---|
| Toutes les pages redirigent bien en 301 | Screaming Frog, navigateur |
| Pas de contenu mixte (mixed content) | Console Chrome (F12), Why No Padlock |
| Le sitemap est soumis en HTTPS | Google Search Console |
| Les backlinks importants pointent vers HTTPS | Ahrefs, Semrush |
| Les positions restent stables | GSC, outils de suivi |
HTTPS est une base non négociable en 2026. Un site en HTTP est vu comme non professionnel par les visiteurs et comme moins fiable par Google. La migration se fait en une demi-journée si elle est bien préparée.
Détecter et corriger le contenu mixte
Le mixed content (ou contenu mixte) survient quand une page en HTTPS charge encore des ressources en HTTP : images, polices, scripts, iframes. Le navigateur bloque les ressources "actives" en HTTP (scripts, iframes) et affiche un avertissement pour les ressources "passives" (images, vidéos). Dans les deux cas, le cadenas sécurisé disparaît ou est altéré.
Pour détecter le mixed content :
- Console Chrome (F12) : l'onglet Console liste toutes les erreurs de mixed content avec l'URL de la ressource concernée. C'est la méthode la plus directe page par page.
- Why No Padlock : outil en ligne qui scanne une URL et liste toutes les ressources chargées en HTTP, sans nécessiter de DevTools.
- Screaming Frog : le rapport "Mixed Content" identifie les pages problématiques sur l'ensemble du site en une seule opération.
La correction passe par la mise à jour des URLs hardcodées dans le code ou dans la base de données (pour un CMS comme WordPress, un outil comme "Better Search Replace" effectue le remplacement en masse).
HSTS : sécuriser la connexion durablement
Le HSTS (HTTP Strict Transport Security) est un en-tête de sécurité qui indique aux navigateurs de ne jamais tenter de charger le site en HTTP, même si l'utilisateur saisit l'URL sans "https://". C'est la couche de sécurité supplémentaire après la migration.
L'en-tête s'ajoute au niveau du serveur ou du fichier de configuration :
Strict-Transport-Security: max-age=31536000; includeSubDomains
Ce paramètre dit aux navigateurs de forcer HTTPS pendant 31 536 000 secondes (1 an) pour le domaine et tous ses sous-domaines. Une fois en place, il protège contre les attaques de type "downgrade" qui tentent de forcer une connexion HTTP non chiffrée.
À noter : HSTS n'est à activer qu'une fois la migration entièrement validée. Si vous activez HSTS alors qu'il reste des ressources en HTTP, cela peut rendre votre site inaccessible sur certaines configurations.
Questions fréquentes
HTTPS est-il vraiment un facteur de classement Google ?
Oui, depuis 2014. Google a confirmé que HTTPS est un signal de classement, certes faible (les autres facteurs comme le contenu et les backlinks pèsent beaucoup plus), mais réel. Surtout, l'absence de HTTPS génère un avertissement "Non sécurisé" dans Chrome qui fait fuir les visiteurs : la chute de trafic indirecte est bien plus pénalisante que le facteur algorithmique direct.
Comment migrer de HTTP vers HTTPS sans perdre son SEO ?
Quatre étapes essentielles : installer le certificat SSL (Let's Encrypt suffit, gratuit), mettre en place des redirections 301 systématiques de toutes les URLs HTTP vers HTTPS via .htaccess, mettre à jour les URLs internes (liens, sitemaps, canoniques), et soumettre la nouvelle propriété HTTPS dans la Google Search Console. La migration bien faite est neutre voire positive pour le SEO.
Quel certificat SSL choisir ?
Let's Encrypt convient à 99 % des sites : gratuit, reconnu par tous les navigateurs, renouvellement automatique. La plupart des hébergeurs (o2switch, OVH, Infomaniak) l'installent en un clic. Les certificats payants (EV, Wildcard) sont utiles uniquement pour des usages spécifiques : sites bancaires, signature des emails, multiples sous-domaines variables. Pour un site web classique, payer n'apporte rien.
Mon site est en HTTPS mais Chrome dit "Non sécurisé". Pourquoi ?
C'est probablement du mixed content : votre page HTTPS charge des ressources (images, scripts, CSS) en HTTP. Le navigateur affiche alors un avertissement de sécurité partiel. Solution : vérifier tous les liens et ressources de la page, les passer en HTTPS (ou en chemins relatifs). Un crawl avec Screaming Frog identifie tous les liens en HTTP encore présents sur le site.