[#Z@tox#]

Bonjour à tous,

au boulo, nous avons un site web avec un module de paiement en ligne sécurisé.

le problème est que l'URL de notre site étant en HTTP, les utilisateurs de firefox voient un message apparaitre dans les champs du module de paiement une petite balise (attention, ce site web n'est pas sécurisé cliquez ici pour plus d'infos) ce message explique aux utilisateurs qu'en l'absence de certificat SSL , l'url est en HTTP et et non en HTTPS .

Qu'à cela ne tienne, je m’apprêtais à faire le nécessaire pour mettre en place le certificat, mais le responsable marketing est en panique car il a peur que cela vienne impacter négativement le référencement naturel du site web.

Après quelques recherches, il semblerait qu'il ait raison.

Avez vous une idée pour minimiser l'impact du passage en HTTPS sur le référencement ?

j'ai bien pensé à laisser le site http actif avec dans l'index une simple redirection sur la page en https, mais je en suis pas certain de l'impact sur le recouvrement.

Merci à vous pour vos conseils.

[wiwiland]

nous avons un site web avec un module de paiement en ligne sécurisé.

Si les données transférées ne sont pas chiffrées, je n'appelle pas ça un module de paiement sécurisé.
Dans ce cas, je pense que le référencement devrait être le cadet de vos soucis.
La sécurisation des échanges avec vos clients est une priorité qui ne devrait pas être négligée, et c'est même une obligation (https://www.service-public.fr/professionnels-entreprises/vosdroits/F23455).

Pour finir, le référencement vous apporte peut-être des clients mais il est probable que le formulaire HTTP en fasse fuir d'autres.

[pixis]

wiwiland fait de bonnes remarques.

Pour compléter la question, je ne suis pas certain du soucis de SEO, mais je vous conseille vivement de faire une redirection http->https, histoire que toutes les URL répondent, mais qu'in fine, ce soit en HTTPS avec un certificat valide.

Code:

RewriteCond %{SERVER_NAME} =monsite.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]

[wiwiland]

Hello pixis, la redirection que tu proposes fonctionne mais Apache recommande désormais d'utiliser "Redirect" pour des cas comme celui-ci

http://httpd.apache.org/docs/current/rewrite/avoid.html#redirect

[#Z@tox#]

Merci à tous les 2 pour vos réponses.

En fait, j'ai voulu trop simplifier mon explication.

Le moteur de paiement en ligne est sécurisé (scellius de la banque postale) en HTTPS.

sauf que pour des raisons esthétiques, une bête page paiement.php sur notre site comporte 2 champs: ID + code PIN et,
ces champs une fois remplis sur notre page, vont remplir automatiquement le formulaire de connexion a la banque postale .La redirection se fait bien sur le portail de la poste en HTTPS (en fait toute la partie paiement se fait chez la banque postale) une fois la transaction OK, une redirection est faite sur notre site.


Le problème est que cette page paiement .php comporte les 2 champs ( ID + code PIN) qui, en l'absence de certificat SSl fait afficher à firefox ce vilain message.

Notre site en lui même ne comporte ni Base de données, ni informations sensibles , c'est juste une "vitrine"

J'ai pensé appliquer le certificat uniquement sur la page de "paiement" ce qui permettrait à la fois de rassurer l'utilisateur et n'impacterait le SEO que de cette page.

Pensez vous que ce soit la bonne solution?

j'espère avoir été clair.

Merci par avance.

[wiwiland]

J'imagine que tu offres aussi au client la possibilité d'avoir un compte sur ton site qui permet de voir l'historique des commandes et ce genre de choses donc il n'y a pas que la page de paiement qui doit être sécurisée. De toute façon il est toujours bon de chiffrer les échanges, même si tu n'as pas l'impression que les données transférées soient très privées. Je n'aimerais pas que mon FAI soit au courant des articles que je consulte sur ton site.

Je suis convaincu que vous devriez réfléchir à une solution pour passer entièrement à HTTPS tout en conservant un bon référencement (de toute façon il me semble que les moteurs de recherche tels que Google privilégient les sites utilisant le protocole HTTPS).

[#Z@tox#]

Merci wiwiland,

en fait non, nous ne vendons rien, pas de compte client sur le site, nous sommes un cabinet juridique et certains débiteurs peuvent payer leur dette en ligne. les données des comptes débiteurs sont stockées sur les serveurs de notre logiciel de compta et une passerelle est faite avec ceux de la banque postale qui vient y récupérer des infos. A Chaque nouveau débiteur inscrit dans notre base, le module de la banque postale installé sur notre logiciel de comptabilité générè un ID et un code pin sur le site de la banque postale.

Les débiteurs ont connaissance de leurs identifiants par courrier.

Rien ne transite donc sur notre site, mais uniquement chez la banque postale et sur notre logiciel de compta.

Les seules pages du site sont des pages HTML qui présentes nos activités, nos collaborateurs , les 2 seuls champs dynamiques sont sur cette page "paiement.php"

le HTTPS n'avait donc aucun intérêt pour nous jusqu'à présent.

Mais il est clair que compte tenu des nouveaux criteres de google et pour simplifier l’expérience utilisateur, nous allons passer en HTTPS tôt ou tard, ne serait-ce que pour améliorer le SEO, Google en effet privilégie le HTTPS par rapport au HTTP. La crainte du responsable marketing étant qu'avant de revenir au plus haut niveau de référencement, nous connaissions une période de vide cidéral    juste après le passage en HTTPS.

je crains cependant que nous ne puissions y échapper.

merci en tout cas pour les réponses

[the lsd]

Alors, wiwiland a tiqué un peu, mais pour aller plus loin...

Qu'à cela ne tienne, je m’apprêtais à faire le nécessaire pour mettre en place le certificat, mais le responsable marketing est en panique car il a peur que cela vienne impacter négativement le référencement naturel du site web.

D'où le responsable marketing sort ça ?

1/ C'est totalement faux. Le HTTP sans SSL est pris en compte de manière négative par google depuis longtemps (cf https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html "so we’re starting to use HTTPS as a ranking signal")
2/ Un responsable marketing, pour moi en tout cas, n'est pas un responsable technique, et encore moins SEO. Ce n'est pas son boulot de dire que le SSL est bien ou pas. En l'occurrence, le SSL c'est bien. Toujours. C'est même plus que bien, c'est une obligation (pas légale pour le moment, mais au moins éthique).

De plus, si tes utilisateurs ont un warning "attention, les données sont en HTTP", cela veut dire qu'entre le moment où ils tapent leurs login+ID et celui où ils sont redirigés vers La Poste, il y a bien des flux non chiffrés. Et à priori, ces flux contiennent donc le login+ID, ce qui permet de les identifier. Un utilisateur malveillant/méchantHacker/Whatever peut donc, en 15 secondes (le temps de taper la commandeKiVaBien) récupérer ces infos.

Donc, pour faire simple :

• Explique à ton responsable marketing son métier qu'il n'est pas dans le technique
• Passe en HTTPS. Tout de suite. Maintenant.

Enjoy

The lsd

Personnellement, un site qui, en 2017, n'est pas en HTTPS, je ne vais plus dessus

[#Z@tox#]

Salut The LSD,

je te remercie.

En fait, nous venons d'avoir une réunion.

il sait tout à fait que le lien en HTTPS sera a terme mieux pris en compte puis plus rassurant pour les utilisateurs.
cependant, il a peur de disparaitre temporairement de l'arborescence de google, ne serait-ce que quelques jours.

Mais la decision est prise, on bascule en HTTPS courant septembre ;-)

merci a tous

[the lsd]

Si le changement est bien fait, pas de souci de référencement, faut juste penser à :

 - passer tout le site en HTTPS, pas seulement quelques parties
 - bien penser à faire une redirection 302 http->https
 - mettre un certificat valide (obviously) et tant qu'à faire, qu'il ait une bonne note sur SSLlabs
 - au passage, c'est pas obligatoire, mais mettre l'option secure sur les cookies, ça évitera quelques problèmes de sécu potentiels

Normalement, avec ça, pas de risque de disparaître de google, ils vont juste actualiser leurs résultats de recherche de manière transparente (normalement)

Enjoy

The lsd

[#Z@tox#]

Merci pour les conseils pratiques ;-)