Qu'est-ce que HTTPS ?
HTTPS (HyperText Transfer Protocol Secure) est la combinaison du protocole HTTP standard avec une couche de chiffrement TLS (Transport Layer Security). Là où HTTP transmet les données en clair — lisibles par n'importe qui interceptant le trafic — HTTPS les chiffre, les rendant illisibles pour tout tiers.
Le S de HTTPS signifie simplement "Secure". C'est aujourd'hui le standard minimum attendu pour tout site web.
HTTP vs HTTPS : les différences concrètes
| Critère | HTTP | HTTPS |
|---|---|---|
| Chiffrement | Aucun | TLS (asymétrique + symétrique) |
| Port par défaut | 80 | 443 |
| Certificat requis | Non | Oui |
| Vitesse | Légèrement plus rapide | HTTP/2 disponible (plus rapide) |
| Indicateur navigateur | "Non sécurisé" | Cadenas |
| SEO | Neutre/pénalisé | Favorisé par Google |
Le handshake TLS en détail
Lorsqu'un navigateur se connecte à un site HTTPS, un "handshake" (poignée de main) s'effectue en quelques millisecondes :
- ClientHello — Le navigateur envoie les versions TLS et algorithmes de chiffrement qu'il supporte.
- ServerHello — Le serveur choisit les paramètres de chiffrement et envoie son certificat SSL.
- Vérification du certificat — Le navigateur vérifie que le certificat est signé par une autorité de certification reconnue et valide pour le domaine.
- Échange de clés — Une clé de session temporaire est négociée de manière sécurisée.
- Communication chiffrée — Toutes les données suivantes sont chiffrées avec cette clé de session.
Avec TLS 1.3 (version la plus récente), le handshake est encore plus rapide : certaines étapes sont fusionnées, réduisant le délai de connexion initiale.
Pourquoi HTTPS est incontournable
Sécurité des données
Sans HTTPS, tout ce qui transite entre votre visiteur et votre serveur est lisible en clair par quiconque intercepte le trafic (réseau Wi-Fi public, FAI, opérateur). Mots de passe, numéros de carte bancaire, messages privés — tout est exposé.
Référencement Google
Depuis 2014, Google utilise HTTPS comme signal de classement. En 2024-2026, les sites HTTP sont explicitement défavorisés. Migrer en HTTPS n'est plus une option, c'est une nécessité SEO.
Confiance des utilisateurs
Chrome (65 % de part de marché) affiche "Non sécurisé" sur les sites HTTP, particulièrement sur les pages avec formulaires. Cette mention suffit à décourager la majorité des visiteurs.
RGPD et conformité
En France et en Europe, collecter des données personnelles sur un site non chiffré est contraire au RGPD. Une faille de sécurité causée par l'absence de HTTPS peut engager la responsabilité du responsable de traitement.
HTTP/2 et performances
Le protocole HTTP/2, bien plus performant qu'HTTP/1.1 (multiplexage, compression des en-têtes, server push), n'est disponible qu'en HTTPS. Passer en HTTPS améliore donc aussi les performances.
Redirections HTTP vers HTTPS
Une fois votre certificat SSL installé, il est impératif de rediriger automatiquement tout trafic HTTP vers HTTPS. Sous Apache (hébergement cPanel), cela se fait via le fichier .htaccess :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ou plus simplement via cPanel : SSL/TLS → Activer la redirection HTTPS.
HTTPS chez Gaprod
Tous les hébergements Gaprod incluent des certificats SSL Let's Encrypt gratuits, avec activation et renouvellement automatiques. La redirection HTTP → HTTPS peut être activée en un clic depuis cPanel.
HSTS
Pour aller plus loin dans la sécurité HTTPS, activez le HSTS (HTTP Strict Transport Security). C'est un en-tête HTTP qui force les navigateurs à toujours utiliser HTTPS pour votre domaine, même si un lien HTTP est utilisé. cPanel permet de l'activer facilement.