En tant que propriétaire de site web, voir un avertissement « non sécurisé » dans la barre d’adresse de ton navigateur est la dernière chose dont tu as besoin. Non seulement cela donne une image peu professionnelle, mais cela signifie aussi que ton site met potentiellement tes visiteurs en danger.
Pourquoi ton site affiche « non sécurisé » ? Voici un processus simple en quatre étapes pour trouver la cause. Et la corriger.
Pourquoi mon site affiche-t-il « non sécurisé » ?
Obtenir un message « non sécurisé » dans la barre d’adresse de ton navigateur signifie essentiellement : « Attention ! Saisis des données sur cette page web à tes risques et périls ! »
Sans certificat SSL/TLS installé, ton site utilise le protocole HTTP classique au lieu du protocole sécurisé HTTPS. Cela veut dire que des pirates pourraient potentiellement lire toutes les données transmises entre le site et les visiteurs.
Un certificat SSL/TLS chiffre le flux de données à l’aide d’algorithmes complexes pour brouiller les informations. Imagine ça comme une lettre : l’enveloppe SSL/TLS empêche les regards indiscrets de la lire pendant le trajet
L’avertissement « non sécurisé » apparaît ainsi dans la barre du navigateur des utilisateurs :
Recevoir cet avertissement n’inspire certainement pas confiance, surtout du point de vue d’un client. Les alertes du navigateur peuvent donner l’impression que ton site n’est pas fiable. En conséquence, des clients potentiels pourraient être découragés de visiter ton site ou de finaliser leurs achats.
Moins de visiteurs signifie moins de ventes. Avec le temps, cela peut sérieusement impacter ton activité.
HTTPS vs HTTP
Pour comprendre les risques liés à un site non sécurisé, il est utile de commencer par expliquer la différence entre HTTP et HTTPS.
HTTP signifie « protocole de transfert hypertexte ». C’est le protocole de base qui définit la façon dont les navigateurs et les serveurs web communiquent. Quand tu accèdes à un site en HTTP, toutes les données transmises entre ton ordinateur et le serveur sont envoyées en texte clair.
HTTPS signifie « protocole de transfert hypertexte sécurisé ». La seule différence est l’ajout d’un certificat SSL/TLS qui chiffre les échanges de données, ce qui empêche les pirates de lire les informations sensibles, comme les identifiants, mots de passe ou détails de carte bancaire.
En résumé, les sites en HTTPS sont sécurisés, tandis que les sites en HTTP ne le sont pas.
Pour un aperçu plus détaillé du fonctionnement du chiffrement SSL/TLS et TLS, consulte notre article sur SSL/TLS vs TLS.
Comment résoudre l’indicateur « non sécurisé » de la connexion ?
Si tu as remarqué l’indicateur « non sécurisé » sur ton site web et que tu veux régler le problème, suis ces instructions étape par étape pour le corriger :
Étape 1 : Installer un certificat SSL/TLS
Puisque la cause principale de l’avertissement « non sécurisé » est l’absence de chiffrement, installer un certificat SSL/TLS est la première étape pour corriger ce souci.
Tu as plusieurs options pour obtenir un certificat SSL/TLS :
Depuis ton hébergeur web
L’option la plus simple consiste à obtenir un certificat SSL/TLS via ton hébergeur web. Beaucoup d’hébergeurs incluent des certificats SSL/TLS gratuits avec leurs offres payantes. (Tu peux consulter notre liste des meilleurs services d’hébergement web pour les fonctionnalités pour en savoir plus.)
L’installation est aussi simple que de contacter leur support par chat et de demander l’activation sur ton compte. Le processus complet prend en général seulement quelques minutes.
Avec un fournisseur tiers
Tu peux aussi acheter des certificats SSL/TLS auprès d’Autorités de Certification (CA) reconnues. Parmi les références du secteur, on retrouve Symantec, GeoTrust et Sectigo (anciennement Comodo).
Installer ces certificats peut demander un peu plus de manipulation. La procédure varie selon l’hébergeur, même si la plupart fournissent des instructions détaillées. Cela implique souvent de remplir un formulaire avec les infos de ton site et d’ajouter un code dans le fichier .htaccess de ton site.
Si tu n’es pas à l’aise avec le code ou les réglages de ton site, n’hésite pas à demander de l’aide à un développeur ou à ton hébergeur.
Avec une extension WordPress
Si tu as construit ton site sur WordPress, tu peux utiliser des extensions pour simplifier l’installation et la gestion du SSL/TLS. Par exemple, des extensions comme Really Simple SSL peuvent t’aider à configurer ton site pour utiliser HTTPS et à t’assurer que toutes les redirections sont en place. Si tu utilises un certificat gratuit de Let’s Encrypt, il te faudra un outil comme Certbot ou un hébergeur qui automatise la génération et le renouvellement des certificats.
- Va dans le tableau de bord WordPress.
- Cherche l’onglet « extensions ».
- Recherche l’extension que tu souhaites utiliser (exemple : Really Simple SSL).
- Clique sur « Installer ».
- Une fois installée, clique sur « Activer ».
Étape 2 : S’assurer que tous les liens internes et externes sont en HTTPS
Après avoir installé ton certificat SSL/TLS, la majeure partie de ton site doit être sécurisée. Cependant, certains liens, images, vidéos, feuilles de style ou scripts — surtout sur les anciennes pages — peuvent encore utiliser HTTP plutôt que HTTPS. On parle alors de soucis de contenu mixte, qui peuvent fragiliser la sécurité de la page entière.
Les navigateurs modernes bloquent ou dégradent souvent les requêtes HTTP non sécurisées pour protéger l’utilisateur. Voici comment t’assurer que tous tes liens internes et externes passent bien en HTTPS :
Où vérifier la présence de liens HTTP
- Fichiers HTML : liens dans le contenu du site, comme les balises
<a>,<img>et<script>. - Feuilles de style (CSS) : vérifie que toutes les règles @import ou les fichiers CSS externes sont chargés en HTTPS.
- Scripts et bibliothèques : assure-toi que les fichiers JavaScript ou les bibliothèques externes (par exemple jQuery) utilisent HTTPS.
- Contenus intégrés : contrôle les iframes ou les intégrations tierces.
- Configuration du CMS : pour WordPress ou d’autres CMS :
- Mets à jour l’URL du site et l’URL d’accueil vers HTTPS (c’est souvent dans les paramètres du CMS).
- Mets à jour les fichiers sitemaps et robots.txt pour utiliser les URL en HTTPS.
Outils pour automatiser la mise à jour
- Utilise des outils de recherche et remplacement pour convertir tous les liens HTTP en HTTPS. Avec WordPress, des extensions comme Better Search Replace ou Really Simple SSL peuvent faire cela automatiquement.
- Utilise un contrôleur SSL/TLS pour identifier les liens ou ressources non sécurisés.
- Utilise des logiciels SEO ou des outils d’audit de site pour détecter les soucis de contenu mixte. Beaucoup d’outils génèrent des rapports qui mettent en avant les ressources non sécurisées.
Redirections et configuration serveur
Tu devras mettre en place des redirections pour que les visiteurs et les moteurs de recherche soient automatiquement dirigés vers la version sécurisée de ton site. Pour la plupart des hébergeurs, cela se fait dans le fichier .htaccess (pour les serveurs Apache) ou dans la configuration du bloc serveur (pour Nginx).
Voici un exemple de code à copier-coller dans tes fichiers de configuration :
Pour Apache (.htaccess) :
<br>RewriteEngine On
<br>RewriteCond %{HTTPS} !=on
<br>RewriteCond %{HTTPS} !=on
<br>RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
Pour Nginx :
server {
<br> listen 80;
<br> listen 80;
<br> server_name yourdomain.com www.yourdomain.com;
<br> return 301 https://$host$request_uri;
<br>}
Maintenance continue
Des problèmes de contenu mixte peuvent apparaître de temps en temps au fil du temps. Pense donc à vérifier régulièrement ton site pour détecter d’éventuels soucis de contenu mixte après chaque mise à jour ou ajout de nouveau contenu. Tu peux aussi ajouter cette vérification à ton plan de maintenance de site web afin de t’assurer que tous les liens et ressources futurs restent sécurisés.
Étape 3 : Vérifie que tu suis bien HTTPS dans Google Search Console
Google considère les sites en HTTP et HTTPS comme des entités distinctes. Tu dois donc ajouter la version HTTPS comme nouvelle propriété dans Search Console. Assure-toi aussi que toutes les balises canoniques et les sitemaps utilisent des URLs en HTTPS pour éviter les problèmes d’indexation.
Une fois tout mis en place, vérifie qu’aucune page HTTP n’est indexée en utilisant le rapport HTTP dans le menu Expérience, sous HTTPS. Vérifie que toutes les balises canoniques de ton site pointent vers la version HTTPS et mets à jour ton sitemap afin qu’il n’inclue que des URLs HTTPS. Cela permettra aux moteurs de recherche de privilégier la version sécurisée de ton site et t’aidera à éviter les problèmes d’indexation.
Étape 4 : Génère un nouveau sitemap XML
Enfin, il se peut que tu aies besoin d’un nouveau fichier sitemap XML qui inclut toutes tes URLs HTTPS à jour. Comme mentionné précédemment, Google considère les versions HTTP et HTTPS comme des propriétés distinctes. Tu veux donc t’assurer que le fichier contient les informations les plus récentes.
Tu peux utiliser les outils en ligne de ton hébergeur ou des extensions WordPress pour générer un nouveau sitemap XML. Une fois créé, envoie le sitemap dans Google Search Console en passant par le menu Sitemaps. Cela permet à Googlebot de découvrir, explorer et indexer ton nouveau site sécurisé. Si tu as un ancien sitemap HTTP dans Search Console et que toutes tes pages ont été redirigées, tu peux le supprimer sans problème.
Garde ton site sécurisé
Si ton site affiche « non sécurisé », l’une des principales raisons est l’absence de certificat SSL. Parmi les nombreuses fonctionnalités d’hébergement web essentielles, le certificat SSL/TLS est indispensable. La bonne nouvelle, c’est que beaucoup de fournisseurs l’incluent gratuitement dans leurs offres d’hébergement, en plus de proposer des conseils pour une configuration sécurisée.
Si tu veux trouver un hébergeur qui propose des certificats SSL/TLS gratuits et répond à tous tes autres besoins, consulte notre classement des meilleurs hébergements web par Softailed. On a fait tout le travail pour t’aider à trouver le bon hébergeur facilement et rapidement.
FAQ sur la résolution de l’avertissement « ce site n’est pas sécurisé »
Comment obtenir un certificat SSL/TLS pour mon site ?
Comment obtenir un certificat SSL/TLS pour mon site ?
Le moyen le plus simple est de choisir un hébergeur web qui inclut des certificats SSL/TLS gratuits dans ses offres payantes. Softailed te facilite la comparaison pour trouver des hébergeurs qui proposent des certificats SSL/TLS. D’ailleurs, c’est l’un des critères de filtrage dans notre classement des meilleurs fournisseurs d’hébergement web.
Tu peux aussi acheter des certificats SSL/TLS auprès d’Autorités de Certification (CA) reconnues et de confiance.
Que faire si mon certificat SSL/TLS expire ?
Que faire si mon certificat SSL/TLS expire ?
Si ton navigateur affiche un avertissement de certificat expiré, la première étape est de contacter ton hébergeur et de demander le renouvellement. S'il ne peut pas le faire, il faudra acheter et installer un nouveau certificat.
Cela peut entraîner une courte interruption pendant l’installation et la vérification. Pense à vérifier tes e-mails, car la plupart des hébergeurs envoient des rappels de renouvellement à l’avance pour éviter ce genre de souci.
La plupart des hébergeurs activent le renouvellement automatique par défaut pour éviter toute coupure. Passer en renouvellement manuel peut entraîner une légère interruption du service.
Est-ce sûr d’utiliser un site non sécurisé ?
Est-ce sûr d’utiliser un site non sécurisé ?
En général, non. Les sites sans chiffrement SSL/TLS transmettent les données en texte clair, ce qui les rend vulnérables à l’interception par des attaquants.
Pour protéger les informations des utilisateurs et améliorer le référencement naturel, il est essentiel de mettre en place un chiffrement SSL/TLS avant de collecter la moindre donnée de visiteur.
Pourquoi Chrome affiche-t-il « non sécurisé » alors que mon certificat est valide ?
Pourquoi Chrome affiche-t-il « non sécurisé » alors que mon certificat est valide ?
Il existe plusieurs raisons pour lesquelles Chrome peut afficher un faux avertissement :
- Problèmes de contenu mixte où des ressources HTTP et HTTPS sont mélangées
- Certificats intermédiaires expirés ou incorrects
- Cache du navigateur obsolète (essaie de le vider)
- Drapeau de sécurité Google basé sur d’anciens problèmes du site
- Problèmes de configuration côté serveur, comme des protocoles dépassés (par exemple, TLS 1.0, 1.1) qui ne répondent plus aux exigences de sécurité des navigateurs modernes.
Des causes profondes comme celles-ci nécessitent une analyse plus poussée. Parfois, il peut être nécessaire de faire appel à un professionnel pour résoudre le problème.
Avoir un certificat SSL/TLS est-il bon pour le SEO ?
Avoir un certificat SSL/TLS est-il bon pour le SEO ?
D’après John Mueller, Senior Search Analyst chez Google, le fait d’avoir un certificat SSL/TLS est considéré comme un « facteur de classement SEO léger ». Cela signifie qu’il a un effet direct assez faible sur le classement de ton site dans les moteurs de recherche. Cependant, son impact sur l’expérience des visiteurs est beaucoup plus important.
Lorsqu’un utilisateur voit un avertissement « non sécurisé » en arrivant sur ton site, il a moins de chances de rester ou de revenir. Cette baisse d’engagement et de confiance peut, à terme, nuire indirectement à tes efforts en SEO.
