Un récent Google SEO Office Hours comportait une question sur la question de savoir si un en-tête de sécurité conférait une influence sur le classement. Ce n’est pas une question aussi éloignée qu’elle n’y paraît, car un en-tête de sécurité comme l’en-tête HSTS joue un rôle important pour assurer une connexion HTTPS sécurisée et HTTPS est un signal de classement Google léger.
En-tête de sécurité HSTS
Un en-tête est une réponse qu’un serveur fournit à un navigateur (ou à un crawler). L’en-tête le plus connu est l’en-tête de réponse comme la réponse d’erreur 404 ou l’en-tête de réponse 301. Le but d’un en-tête HTTP est d’offrir des métadonnées supplémentaires sur la page Web qu’un navigateur ou un robot demande. Les en-têtes de sécurité sont un groupe spécial d’en-têtes qui appliquent différents types de sécurité pour se protéger contre diverses attaques malveillantes et assurer la sécurité du site pour les utilisateurs. Un en-tête de sécurité HSTS est une réponse qui indique au navigateur que la page Web ne doit être accessible que via HTTPS, jamais par HTTP, et de demander HTTPS la prochaine fois. L’utilisation de cet en-tête est préférable à la simple utilisation d’une redirection 301. Lorsqu’un navigateur accède à un site avec HTTP et est redirigé vers HTTPS, la prochaine fois que le navigateur demandera une page Web, il demandera à nouveau une page HTTP, obligeant le serveur à recommencer la redirection. La considération importante est que le site qui n’utilise qu’une redirection 301 est toujours vulnérable à une attaque de l’homme du milieu. L’en-tête HSTS empêche que cela se produise en obligeant le navigateur à ne demander qu’une page HTTPS, ce qui rend l’ensemble du site plus sécurisé. Ainsi, un site qui utilise un en-tête HSTS est plus sécurisé en termes de HTTPS.
L’en-tête HSTS influence-t-il les classements ?
La question posée à John Mueller :
« L’intégration d’en-têtes de sécurité comme pour HSTS a-t-elle une influence sur le classement ? »
Jean Mueller a répondu :
« Non, l’en-tête HSTS n’affecte pas la recherche. Cet en-tête est utilisé pour indiquer aux utilisateurs d’accéder directement à la version HTTPS et est couramment utilisé avec les redirections vers les versions HTTPS. Google utilise un processus appelé canonisation pour choisir la version la plus appropriée d’une page à explorer et à indexer. Il ne s’appuie pas sur des en-têtes comme ceux utilisés pour HSTS. L’utilisation de ces en-têtes est bien sûr idéale pour les utilisateurs.
HSTS est une bonne pratique de sécurité
HSTS est un message aux navigateurs et, selon John Mueller, Googlebot ne s’appuie pas sur les en-têtes. Néanmoins, les bonnes pratiques de sécurité sont quelque chose que chaque site devrait pratiquer, qu’elles confèrent ou non une influence sur le classement. Chrome héberge une liste de préchargement HSTS que tous les navigateurs utilisent pour utiliser automatiquement HTTPS, elle est codée en dur dans le navigateur. Les instructions pour le faire se trouvent sur le site Web HSTS Preload.
Écoutez la discussion sur les heures de bureau à la minute 4 :57 :
Image sélectionnée par Shutterstock/ViDI Studio