SSL / HTTPS : pourquoi c'est obligatoire en 2026

Sécurité web 23 juin 2026 ⏳ 5 min de lecture

Si votre site affiche encore "Non sécurisé" dans la barre d'adresse du navigateur, vous perdez des visiteurs — et vous avez probablement aussi d'autres problèmes de sécurité de votre site web — et probablement aussi des positions sur Google. Le HTTPS n'est plus une option depuis plusieurs années. Voici pourquoi, et comment ça fonctionne concrètement.

SSL, TLS, HTTPS — c'est quoi exactement ?

SSL (Secure Sockets Layer) est l'ancien protocole de chiffrement, remplacé par TLS (Transport Layer Security) depuis les années 2000. Dans les faits, on dit encore "SSL" par habitude alors qu'on utilise TLS. Le HTTPS (HTTP Secure), c'est simplement HTTP qui passe par une connexion chiffrée TLS.

Concrètement : sans HTTPS, toutes les données échangées entre le navigateur et votre serveur circulent en clair sur le réseau. N'importe qui entre les deux (fournisseur internet, WiFi public, routeur intermédiaire) peut lire ou modifier ces données. Avec HTTPS, tout est chiffré de bout en bout.

Ce que Google en pense

Google a commencé à pénaliser les sites HTTP dans son classement en 2014. Depuis 2018, Chrome affiche explicitement "Non sécurisé" sur tous les sites HTTP. En 2026, un site sans HTTPS est pénalisé à la fois dans les résultats de recherche et dans la confiance que lui accordent les visiteurs.

Impact SEO direct : le HTTPS est un signal de classement confirmé par Google. À contenu équivalent, un site HTTPS sera mieux classé qu'un site HTTP. Pour les sites locaux (Fréjus, Saint-Raphaël), où la concurrence est moindre, c'est souvent la différence entre la 1ère et la 3ème position.

Let's Encrypt : des certificats SSL gratuits

Avant 2015, un certificat SSL coûtait entre 50€ et plusieurs centaines d'euros par an. Let's Encrypt a tout changé : des certificats valides, reconnus par tous les navigateurs, entièrement gratuits et automatisés. Il n'y a plus aucune excuse économique pour rester en HTTP.

# Installer Certbot sur Debian (Apache) apt install certbot python3-certbot-apache # Générer et installer le certificat automatiquement certbot --apache -d votre-domaine.fr -d www.votre-domaine.fr # Renouvellement automatique (toutes les 90 jours) # Certbot installe automatiquement un timer systemd systemctl list-timers | grep certbot # Vérifier que le renouvellement fonctionne certbot renew --dry-run

HTTPS ne suffit pas : les points à vérifier

Avoir un cadenas dans la barre d'adresse c'est bien, mais ça ne veut pas dire que la configuration TLS est optimale. Voici ce qu'on vérifie en plus :

Version TLS utilisée

TLS 1.0 et 1.1 sont obsolètes et vulnérables. Seuls TLS 1.2 et TLS 1.3 doivent être acceptés par votre serveur. La configuration Apache à ajouter dans votre virtualhost :

# Dans la configuration Apache (ex: /etc/apache2/sites-available/votre-site.conf) SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:... SSLHonorCipherOrder off SSLSessionTickets off

HSTS (HTTP Strict Transport Security)

HSTS indique au navigateur de toujours utiliser HTTPS pour votre domaine, même si l'utilisateur tape l'URL en HTTP. Ça empêche les attaques de type "SSL stripping" et accélère légèrement le chargement (une redirection HTTP→HTTPS en moins).

# En-tête à ajouter dans Apache Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Tester votre configuration SSL

SSL Labs propose un test gratuit complet : ssllabs.com/ssltest/. Visez la note A ou A+. La plupart des hébergeurs modernes l'obtiennent par défaut avec une configuration Let's Encrypt correcte.

Migrer un site HTTP existant vers HTTPS

La migration demande quelques étapes supplémentaires pour ne pas perdre son référencement :

  1. Installer le certificat SSL
  2. Mettre en place les redirections 301 HTTP → HTTPS dans le .htaccess
  3. Mettre à jour toutes les URLs internes (liens, images, scripts) en HTTPS
  4. Mettre à jour les balises canonical dans le HTML
  5. Déclarer la nouvelle URL HTTPS dans Google Search Console
  6. Mettre à jour le sitemap.xml

C'est faisable en une journée pour un site vitrine simple. Pour un site e-commerce ou un site avec beaucoup de contenu, il faut être plus méthodique pour éviter les contenus mixtes (images ou scripts encore en HTTP sur une page HTTPS).

← Perte de données

Une question sur ce sujet ?

► Me contacter