Depuis maintenant trois mois, le site du journal «Le Temps» est uniquement disponible en HTTPS. Pour rappel, il s’agit un mode de communication – entre le serveur qui héberge letemps.ch et celui du visiteur – qui est chiffré, et donc incompréhensible à tout intermédiaire.
Deux raisons nous ont poussés à faire ce choix:
1. Garder la confiance de nos lecteurs
Sur notre site, nos lecteurs doivent pouvoir lire en toute sécurité, sans risque d’être épiés. Dans un contexte qui a vu les révélations de Snowden et l’augmentation des moyens offerts aux agences de renseignement par certains gouvernements, il est de notre devoir de nous assurer que chacun reçoive librement l’information que nous publions, sans qu’elle soit modifiée par un intermédiaire peu scrupuleux. Le passage en HTTPS nous permet de garantir la confidentialité des informations que nos lecteurs nous confient (nom, adresse, e-mail, mot de passe).
2. Améliorer l’expérience utilisateur
Les temps de chargement sur notre site sont rapides. Pour les plus connaisseurs d’entre vous, il faut savoir que la prochaine norme HTTP, HTTP/2, est beaucoup plus rapide. De nombreux navigateurs l’adoptent déjà, mais uniquement avec le HTTPS. Grâce à ce changement, nous avons réussi à rendre notre site 1 seconde plus rapide, en passant en moyenne de 5 à 4 secondes pour charger une page entière, publicités incluses.
Le HTTPS favorise aussi un meilleur référencement. Google encourage depuis 2014 les sites à passer au HTTPS et, depuis quelques mois, leur offre un petit bonus dans les résultats de recherche. Il est donc logique que nous passions également à cette norme, afin de bénéficier de ce bonus.
Enfin, le HTTPS nous offre de nouvelles fonctionnalités pour encore mieux enrichir l’expérience de l’internaute sur notre site, comme les notifications web depuis le navigateur ou les pages AMP de Google, qui se chargent plus vite sur mobile. Cette première brique étant maintenant en place, nous allons pouvoir proposer des nouveautés dans les prochains mois.
Comment nous avons migré notre site en HTTPS
Pour ceux qui sont un peu plus techniques, voici comment nous avons procédé pour une migration – en douceur – vers un site entièrement HTTPS.
Prendre contact avec le département publicité
Notre première étape a été de prendre contact avec notre département publicité afin de mettre à jour les spécifications techniques du matériel publicité pour le site. Encore beaucoup d’agences ne pensent pas au HTTPS et nous avons donc dû rendre cela obligatoire dans nos spécifications. Le risque, c’est que le matériel publicitaire soit bloqué par le navigateur et ne soit donc pas affiché aux internautes.
Une fois ces spécifications mises à jour, il nous a fallu également adapter nos tags de pub sur le site pour ne servir que du HTTPS. Malheureusement, certaines de nos publicités dépendent d’autres prestataires, il a donc fallu également les contacter pour les inviter à faire une migration de leurs tags vers le HTTPS. Cette procédure est longue. Parfois il ne faut pas hésiter à prendre directement contact avec le responsable technique afin de trouver une solution, au lieu de laisser votre département publicité faire les démarches.
Effectuer progressivement la migration
Certains l’ont peut-être remarqué, notre site a été disponible pendant une période autant en HTTP qu’en HTTPS. C’est une bonne pratique pour s’assurer que la version HTTPS fonctionne bien et qu’il n’y ait pas de gros problèmes.
De plus, rien de mieux que d’avoir une base d’utilisateurs qui visite le site en HTTPS et qui permet de remonter directement les problèmes. Nous avons donc poussé tous les journalistes de notre rédaction à naviguer uniquement en HTTPS pour déceler des problèmes majeurs rapidement.
Une fois cette étape effectuée, nous avons pu ouvrir le HTTPS à un plus large public. Afin de ne pas trop perturber notre SEO, nous avons mis les liens «canonical» vers la version HTTP alors que toutes les pages redirigent les visiteurs vers la version HTTPS en redirection temporaire 302.
Une bonne pratique: coupler la redirection avec un header HTTP, «CSP Report-Only». Ainsi, nous avons pu constituer en quelques jours une liste de pages avec des problèmes très récurrents – images bloquées ou tags pubs bloqués en HTTPS – pour pouvoir les résoudre.
Enfin, ces problèmes majeurs corrigés sur la version en HTTPS public, nous avons changé nos «canonical» pour ne servir que la version HTTPS du site et mis en place une redirection 301 permanente vers les pages en HTTPS.
Il ne faut pas oublier également d’ajouter votre site dans Google Webmaster Tools en HTTPS et de soumettre vos sitemaps en HTTPS également. En effet Google considère qu’un site en HTTP ou HTTPS ne sont pas les mêmes.
Conclusion
Notre migration s’est très bien passée, nous avons remarqué une petite progression dans les sources organiques dans nos statistiques d’audience. Aucun positionnement n’a été perdu dans les résultats de Google et notre nombre de pages indexées est resté constant.
Google a très vite fait le changement dans ses résultats de recherche, cela étant sûrement dû à la période de redirection en 302.
Nous allons terminer notre migration par l’activation du HSTS, une norme qui indique aux navigateurs que le site n’est disponible qu’en mode HTTPS et qu’ils ne doivent même pas tenter de se connecter en HTTP. Activer cela doit seulement être fait quand vous êtes absolument sûr que tout fonctionne bien à tous les niveaux, y compris les sous-domaines.
Si vous avez des questions, n’hésitez pas à nous laisser un commentaire.