De HTTP à HTTPS : Guide de Migration Pas à Pas

La migration HTTPS fait bien plus que sécuriser votre site : elle protège votre référencement, supprime l'avertissement "Non sécurisé" du navigateur et renforce la confiance des visiteurs. Ce guide rassemble tout le processus de bout en bout, de l'obtention du certificat à la vérification, et se termine par une checklist prête à l'emploi. Comme les détails figurent dans nos autres articles, nous nous concentrons ici sur le flux global.

1. Obtenez et installez un certificat SSL

Tout commence par le certificat. Vous pouvez obtenir notre certificat DV gratuit de 90 jours signé Let's Encrypt en quelques minutes, sans compte. Notre assistant SSL gratuit vous remet un seul ZIP contenant les fichiers CRT, KEY, CA Bundle, fullchain et PFX.

Téléversez les bons fichiers selon votre panneau (cPanel, Plesk, IIS) : généralement le certificat (CRT), la clé privée (KEY) et la chaîne (CA Bundle). Sous IIS, le seul fichier PFX contient tout.

2. Passez tous les liens et ressources internes en https

Mettez à jour les liens internes ainsi que les chemins d'images, de CSS et de JavaScript en https://. L'approche la plus robuste consiste à utiliser des chemins https absolus, et non relatifs au protocole. Sur un CMS comme WordPress, réglez l'adresse du site en https dans le tableau de bord et effectuez un remplacement en masse des références http:// restantes dans la base de données.

3. Redirection 301 de HTTP vers HTTPS

Déplacez définitivement tout le trafic http vers la version https. Une redirection 301 permanente envoie à la fois les visiteurs et les moteurs de recherche vers la nouvelle adresse et préserve la valeur de référencement de vos anciennes URL.

Pour Apache (.htaccess) :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Pour Nginx :

server {
    listen 80;
    server_name exemple.com www.exemple.com;
    return 301 https://$host$request_uri;
}

4. Nettoyez le contenu mixte

Si une page se charge en https mais qu'une de ses ressources est encore appelée en http, le navigateur affiche un avertissement de contenu mixte et le cadenas se casse. Examinez les avertissements dans la console développeur du navigateur et passez toutes les ressources http:// restantes en https. Pour le contenu mixte, le https est obligatoire ; les ressources qui ne se chargent pas (surtout les scripts) sont bloquées par le navigateur.

5. Ajoutez HSTS en dernier

L'en-tête HSTS (HTTP Strict Transport Security) indique au navigateur d'ouvrir votre site toujours en https. Comme c'est une protection très forte, elle doit être la dernière étape : ajoutez-la seulement une fois que la redirection et le contenu mixte fonctionnent parfaitement.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Testez d'abord avec un max-age court, puis augmentez-le une fois que tout est validé.

6. Propriété https et sitemap dans la Search Console

Dans la Google Search Console, la version https:// compte comme une propriété distincte. Ajoutez et vérifiez la nouvelle propriété https, puis renvoyez votre sitemap (qui contient désormais des URL https). Continuez aussi à surveiller l'ancienne propriété http pour confirmer que les 301 sont bien traitées.

7. Canonical, analytics et balises publicitaires

Mettez à jour vos balises rel="canonical" vers la version https. Réglez aussi l'adresse du site en https dans Google Analytics, Tag Manager, les régies publicitaires et les pixels sociaux, afin que la mesure et le suivi des conversions ne soient pas rompus.

8. Vérification

Contrôlez votre chaîne de certificats avec un outil de test SSL, confirmez le cadenas dans le navigateur et visitez quelques anciennes URL http pour voir que les 301 aboutissent bien en https.

Checklist de migration

  • Certificat : certificat SSL obtenu et installé sur le serveur.
  • Liens internes : tous les chemins de liens et de ressources en https.
  • 301 : redirection permanente HTTP→HTTPS active (www inclus).
  • Contenu mixte : plus d'avertissements en console, cadenas intact.
  • HSTS : en-tête ajouté en dernier, alors que tout fonctionne proprement.
  • Search Console : propriété https ajoutée, sitemap renvoyé.
  • Canonical et balises : adresses canonical, analytics, pub et pixels en https.
  • Vérification : test SSL réussi, 301 et cadenas vérifiés.

Résumé

La migration HTTPS est un déménagement planifié où le certificat, la redirection, le contenu mixte et HSTS sont réalisés dans le bon ordre. La première étape, la plus importante, est le certificat. Obtenez votre certificat de 90 jours via notre assistant SSL gratuit et déroulez la checklist de haut en bas. Un rappel par e-mail vous avertira aussi avant l'expiration.