Selon Google, HTTPS devient de plus en plus important, il est déjà considéré comme un des facteur de ranking ou “small ranking factor”. Donc, maintenant il n’est plus possible de ne pas prendre en compte HTTPS. Les pages sécurisées influencent positivement l’expérience utilisateur et rendent votre site plus crédible pour les internautes et les moteurs de recherche. Nous avons récemment réalisé une étude intéressante sur les erreurs les plus communes d’implémentation de HTTPS. Pendant cette conférence, Natalia vous fera découvrir les résultats de cette recherche exclusive et partagera avec vous des recommandations pour corriger les erreurs HTTPS. --------------- The most common HTTPS implementation issues According to Google, HTTPS is becoming more and more important, it is already considered as a “small ranking factor”. So now, it is no longer possible to ignore HTTPS. Secure pages positively influence user experience and make your website more credible for users and search engines. Recently SEMrush has carried out an interesting study on the most common HTTPS implementation mistakes. During this conference, Natalia presents the results of this exclusive research and shares tips on how to fix these problems.

1. LES DÉFIS LES PLUS FRÉQUENTS
DANS L’IMPLÉMENTATION DE
HTTPS
NATALIA ZHUKOVA

2. NATALIA ZHUKOVA
SEMrush France
Responsable Marketing

3. LE PROTOCOLE
HTTPS
SECURITÉ
CRÉDIBILITÉ
TENDANCE
"SMALL RANKING FACTOR"
MEILLEURE EXPÉRIENCE
UTILISATEUR
Hypertext Transfer Protocol Secure
Protocole de transfert hypertexte sécurisé

4. TRANSPORT LAYER SECURITY (TLS)
1. Chiffrement
2. Intégrité des données
3. Authentification
3 NIVEAUX CLÉS DE PROTECTION :

5. “DÉBUT JANVIER 2017 (CHROME 56), ON VA
MARQUER LES PAGES HTTP QUI DEMANDENT
LES MOTS DE PASSE OU LES CARTES DE
CRÉDIT COMME NON SÉCURISÉES, COMME
UNE PARTIE D'UN PLAN À LONG TERME POUR
SIGNALER TOUS LES SITES HTTP COMME
NON SÉCURISÉS."
Google Security Blog
GOOGLE SECURITY BLOG
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

6. Il s'agit de la sécurité, la confiance et l'expérience d'utilisateurs
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
Pourquoi faire la migration à HTTPS ?

7. LE BUT
Vos utilisateurs peuvent naviguer en
toute sécurité et vous gagnez leur
confiance

8. AU LIEU DE CELA :(
:( OOPS !!!

9. https://letsencrypt.org/stats/
Plus de 50% des pages chargées par Firefox sont
désormais en version HTTPS

10. https://moz.com/blog/half-page-one-google-results-https
65% des résultats de la 1ère page de Google seront en
HTTPS jusqu'à la fin de 2017

11. https://www.udomo.fr/statistiques-sur-linternet-francais
Actuellement, environ 17% de
l'Internet français est
desservi par le protocole
https sécurisé.

12. Encore un signal positif de
ranking pour Google
https://webmasters.googleblog.com/2014/08/https-as-
ranking-signal.html

13. L'occasion idéale pour commencer à utiliser
HTTP / 2 et améliorer la vitesse de votre site
http://searchengineland.com/everyone-moving-http2-236716

14. TOP 100,000 DES DOMAINES
x3
BASE DE DONNÉES US

15. HTTPS IN TOP 10 US
TOUTES LES CATÉGORIES
24/04/2017

16. HTTPS IN TOP 10 FR
TOUTES LES CATÉGORIES
24/04/2017

17. TOP 20 SUBDOMAINS MOZCAST
AVEC POURCENTAGE D'URLS EN HTTPS

18. TOP 5,000 DES DOMAINES
BOOM !!!
30% 47% 77%
Arts et loisirs
Shopping
Informatique et électronique
Emploi et formation
Finance
Alimentation
Voyage
Santé
Commerce et industriel
Internet et télécom
Droit et gouvernement
Jeux
Autos et véhicules
Immobilier
Animaux de compagnie et autres
25 INDUSTRIES
EN 2017

19. FORTUNE 500 - TOP GLOBAL COMPANIES
PAR SECTOR D'ACTIVITÉ
WALMART
APPLE
GENERAL MOTORS
FORD MOTOR
GENERAL ELECTRIC
AMAZON.COM
ALLIANCE
HP
.......
FORTUNE 500 :
EN 2017
FINANCE
TECH
TÉLÉCOMMUNICATIONS
TRANSPORT
COMMERCE DE GROS
SERVICES AUX ENTREPRISES
50% 70%

20. CERTIFICAT
Activer le protocole HTTPS pour votre site
Obtenir un certificat de sécurité délivré par l'autorité de
certification (AC) / certificate authority (CA) /
Validez votre SSL certificat & statut de contenu sécurisé
ETC.

21. CERTIFICAT
DÉTERMINEZ LE TYPE DE CERTIFICAT DONT VOUS AVEZ BESOIN :
Simple pour une seule origine sécurisée WWW.EXAMPLE.COM
WWW.EXAMPLE.COM, CDN.EXAMPLE.COM, EXAMPLE.CO.UK
Multi-domaine pour de multiples origines sécurisées bien connues
A.EXAMPLE.COM, B.EXAMPLE.COM
À caractère générique pour une origine sécurisée avec de nombreux
sous-domaines dynamiques

22. CERTIFICAT
SANS PROTECTION
LE NOM DE DOMAINE
EST CERTIFIÉ
LA SOCIÉTÉ ÉDITRICE
DU SITE WEB A ÉTÉ
VÉRIFÉE

23. IL EST FACILE D'ÉCHOUER LORS DE
LA MISE EN PLACE DE
HTTPS

24. RECOMMENDATIONS DE
Utilisez les certificats de sécurité solides
Utilisez les redirections 301 côté serveur
Vérifiez que vos pages HTTPS peuvent être
explorées et indexées par Google
Prenez en compte le mécanisme HSTS
302
noindex
robots.txt

25. HSTSNOUVELLE TECHNOLOGIE POUR
SÉCURISER LES UTILISATEURS
HTTP STRICT-TRANSPORT-SECURITY

26. HSTS
À DES FINS DE COMPATIBILITÉ, UTILISEZ UN SERVEUR WEB QUI ACCEPTE LE
MÉCANISME HTTP STRICT TRANSPORT SECURITY (HSTS) ET AUTORISEZ-LE.
https://support.google.com/webmasters/
answer/6073543?hl=fr

27. HSTS
HTTP Strict Transport Security
Remplace automatiquement tous les liens non sécurisés par des
liens sécurisés
HTTP://WWW.EXEMPLE.COM/UNE/PAGE/ ---> HTTPS://WWW.EXEMPLE.COM/UNE/PAGE/
MINIMISE LE RISQUE DE DIFFUSION DE CONTENU NON SÉCURISÉ
À VOS INTERNAUTES
HSTS NE PROTÈGE QU'APRÈS LA PREMIÈRE CONNEXION

28. PENSEZ AU PRÉCHARGEMENT HSTS
NAVIGATEUR MÉMORISE HSTS
Plus rapidement
Connexion est plus sécurisée
REDIRECT AUTOMATIQUE
Les sites peuvent s'enregistrer sur https://hstspreload.org/ (EN),
pour demander de les inclure dans cette liste
Définir l'instruction includeSubDomains dans le header HSTS
Si le site www.example.com présente un header HSTS avec includeSubdomains

29. DÉFIS
https
dans l'utilisation de

30. ÉTUDE
45% HTTPS

31. NO-SECURE
9%
NO-SECURE PAGES
BOOM
!!!

32. LES PROBLÈMES DÉTECTÉS
CÉRTIFICAT
CONFIGURATIONS DE SERVEUR
ARCHITÉCTURE DE SITE
ERREUR AVERTISSEMENT AVIS

33. CéRTIFICAT

34. GARDER UN OEIL SUR LA DATE D'EXPIRATION
Ranking
Mauvaise expérience utilisateur
CERTIFICAT EXPIRÉ 2%

35. Info correcte sur le propriétaire du site dans un certificat
www.example.com et example.com sont des sites différents pour Google
Cértificat pour root domain uniquement ne marche pas pour les sous-domaines
PENSEZ DES SOUS-DOMAINES Multiple domain certificate
CERTIFICAT ENREGISTRÉ
AU NOM INCORRECT 6%

36. Configurations
du serveur

37. SSL 3.0 Versions TLS 1.0 (2006), 1.1, 1.2, etc.
ANCIENNE VERSION DU
PROTOCOLE DE SÉCURITÉ 3.6%
MISE À JOUR DES BIBLIOTHÈQUES DE TLS
Opportunités pour les hackers

38. Extension du protocol TLS qui permet de maintenir de multiples serveurs et
avoir multiples cértificats dans la même adresse IP
AUCUN SUPPORT POUR SNI 0.56%
METTRE AU POINT LE SNI
Pas touts les navigateurs ont le support SNI
Utilisation SNI résout le problème CERTIFICAT ENREGISTRÉ AU DOMAINE INCORRECT

39. AUCUN SUPPORT DE HSTS
86%
Nouvelle technologie, prise en charge par les navigateurs récemment
IMPLÉMENTER HSTS
Risque de man-in-the-middle attack

40. Architécture du site

41. PROBLÈMES AVEC LE
CONTENU MIXTE 50%Mix des contenus sécurisés et non sécurisés
MODIFIER LES LIENS VERS LE CONTENU À LA FAÇON INDÉPENDANTE
(GENRE // OU HTTPS:// )
Bloque du contenu par les navigateurs
Problèmes de sécurité lors de l'affichage d'une page
IMG
IFRAME
SCRIPT
LINK (STYLE)

42. PAS DE 301 OU CANONICAL VERS
LA PAGE D'ACCEUIL EN HTTPS À
PARTIR DE LA VERSION HTTP 8%
Utilisation de redirect ou canonical à la façon intelligente améliore le positionnement
IMPLÉMENTER REDIRECT, CANONICAL OU HSTS
302
Pas sécurisé

43. URL HTTP DANS SITEMAP.XML
POUR LE SITE HTTPS 5.5%
N'OUBLIEZ PAS DE MODIFIER TOUS LES URL HTTP VERS HTTPS
Pages HTTP dans sitemap.xml ou hreflang plutôt que la
version HTTPS

44. LES LIENS INTERNES
CONDUISENT AUX PAGES
HTTP À LA PLACE DE HTTPS
50%
CORRIGER LES LIENS // OU HTTPS://, POUR LA SÉCURITÉ

45. OUTILS POUR DÉTECTER LES
PROBLÈMES LIÉS AUX HTTPS

47. MERCI !