Sécurité SSL/TLS lors de la migration : certificat, HTTPS et confiance client
Sans certificat SSL valide, un avertissement rouge s’affiche dès la barre d’adresse : assez pour faire fuir la majorité des visiteurs.
- HTTPS doit être opérationnel avant de basculer le trafic réel, jamais après
- La redirection 301 de http vers https doit couvrir chaque sous-page, pas seulement la racine
- Un certificat gratuit (Let’s Encrypt) suffit pour la grande majorité des sites
- Une alerte de renouvellement 60 jours avant l’expiration évite toute coupure
Pourquoi SSL/HTTPS est indispensable lors d’une migration
C’est le premier signal de confiance affiché par les navigateurs modernes. Sans certificat valide, un avertissement rouge apparaît dès la barre d’adresse. Google a aussi intégré HTTPS comme facteur de classement depuis 2014 : migrer sans SSL fait risquer une chute du référencement. Si l’ancien site était déjà en HTTPS, la cohérence préserve l’historique de confiance accumulé.
Choisir le bon type de certificat SSL
Wildcard
Couvre tous les sous-domaines d’un domaine.
Multi-domaine
Sécurise plusieurs domaines distincts en un certificat.
Simple
Le plus courant, pour un domaine unique.
Les trois offrent le même niveau de chiffrement : la différence tient à la couverture de domaines. Beaucoup d’hébergeurs proposent un certificat gratuit (Let’s Encrypt) qui suffit pour la grande majorité des sites vitrines.
Installer et configurer HTTPS avant la migration effective
HTTPS doit fonctionner avant de basculer le trafic réel. Procurez le certificat, générez la demande de signature (CSR), validez la possession du domaine, puis installez certificat et clé privée sur le nouveau serveur. Testez ensuite avec un outil gratuit (SSL Labs) pour vérifier l’absence d’erreur et la compatibilité avant de déclencher la migration DNS.
Redirections 301 vers HTTPS : éviter les erreurs qui brisent le SEO
Une redirection 301 de http vers https préserve tout le référencement accumulé. Configurez-la au niveau du serveur (Apache, Nginx), pas de l’application. Erreur fréquente : rediriger toutes les pages http vers la racine https au lieu de leur page équivalente. Vérifiez que chaque sous-page suit bien sa propre redirection avant de considérer la migration terminée.
La configuration HTTPS et les redirections propres font partie des fondations posées dès le départ dans chaque projet de création et refonte de site internet.
Surveiller et renouveler le certificat après la migration
Un certificat expiré génère une erreur critique pour tous les visiteurs. Configurez une alerte 60 jours avant l’expiration, ou utilisez un outil de monitoring qui teste régulièrement le certificat. Avec Let’s Encrypt, le renouvellement est automatique tous les trois mois, mais vérifiez que la tâche planifiée est bien active. Après la migration, contrôlez Search Console pour détecter tout contenu mixte (HTTPS avec ressources chargées en HTTP).
Questions fréquentes
Un certificat gratuit est-il suffisant ?+
Oui pour la grande majorité des sites : le chiffrement est identique à un certificat payant.
Que se passe-t-il si j’oublie une redirection sur une sous-page ?+
La page tombe en erreur 404 et perd tout son référencement accumulé : testez un échantillon large avant de valider.
Combien de temps un certificat SSL reste-t-il valide ?+
De 90 jours (Let’s Encrypt, renouvelé automatiquement) à 1-3 ans pour les certificats payants classiques.