Depuis 2018, Google Chrome affiche "Non sécurisé" sur tous les sites web qui n'utilisent pas le HTTPS. En 2026, cette mention est rédhibitoire : 85 % des utilisateurs déclarent qu'ils quitteraient immédiatement un site affichant cet avertissement. Si votre site est encore en HTTP, vous perdez des clients à cause d'un problème technique qui se règle en moins d'une heure.
Le HTTPS est passé du statut de "bonne pratique optionnelle" à "standard minimum incontournable" en quelques années. Trois raisons expliquent cette évolution.
La sécurité des données. Le protocole HTTPS chiffre les communications entre le navigateur de l'utilisateur et votre serveur. Sans ce chiffrement (HTTP simple), toutes les données échangées — formulaires de contact, mots de passe, coordonnées, informations de paiement — sont transmises en clair et peuvent être interceptées par n'importe quelle personne malveillante sur le même réseau (café, hôtel, aéroport...).
Le référencement Google. Google a officiellement intégré le HTTPS comme facteur de classement depuis 2014. En 2026, son poids reste marginal, mais c'est un "signal de confiance" que Google prend en compte. Plus important : un site HTTP se verra refuser l'accès à certaines fonctionnalités modernes des navigateurs (géolocalisation, notifications push, caméra...) qui peuvent être utiles à votre activité.
La confiance des utilisateurs. Le cadenas vert (ou l'URL en "https://") est devenu un signal visuel de confiance que les internautes reconnaissent. Son absence — et la mention "Non sécurisé" qui l'accompagne — est un frein à la conversion.
Le SSL est le protocole cryptographique original, développé dans les années 1990. Il est techniquement obsolète depuis 2015 (remplacé par TLS), mais le terme "certificat SSL" est resté dans le langage courant pour désigner tous les certificats de sécurité web.
Le TLS est le successeur du SSL, plus sécurisé. Les versions TLS 1.2 et 1.3 sont les standards actuels. Quand votre hébergeur vous parle de "certificat SSL", il s'agit en réalité d'un certificat TLS dans la grande majorité des cas.
Le HTTPS est simplement le protocole HTTP utilisé en combinaison avec SSL/TLS. Le "S" signifie "Secure". Un site en HTTPS utilise un certificat SSL/TLS pour chiffrer les communications.
Le certificat SSL est un fichier numérique émis par une Autorité de Certification (CA) qui :
Vérifie simplement que vous contrôlez le nom de domaine. Émis en quelques minutes à quelques heures, gratuit via Let's Encrypt. C'est le minimum pour tout site web, et il est généralement suffisant pour les sites vitrine, blogs et PME.
Vérifie l'identité de l'organisation (numéro SIRET, adresse...). Plus long à obtenir (quelques jours), coût de 50 à 300 € par an. Recommandé pour les sites e-commerce ou les sites de services financiers.
La vérification la plus rigoureuse. Affiche le nom de l'entreprise dans la barre d'adresse des anciens navigateurs. Moins utilisé depuis que Chrome et Firefox ont supprimé l'affichage du nom de l'entreprise. Coût : 200 à 1 000 € par an.
Un seul certificat qui couvre le domaine principal et tous ses sous-domaines (*.monsite.fr couvre shop.monsite.fr, blog.monsite.fr, etc.). Pratique pour les sites complexes avec plusieurs sous-domaines.
Let's Encrypt est une autorité de certification à but non lucratif qui fournit des certificats SSL/TLS gratuits depuis 2015. En 2026, plus de 400 millions de sites utilisent Let's Encrypt. La grande majorité des hébergeurs proposent son installation automatique en un clic.
Si votre site n'a pas de certificat SSL, la première chose à faire est de vérifier si votre hébergeur propose Let's Encrypt et de l'activer. C'est gratuit, simple, et prend moins de 10 minutes.
Avoir un certificat SSL est une chose. Rediriger automatiquement tous les visiteurs de http://votresite.fr vers https://votresite.fr en est une autre. Sans cette redirection (301 permanent), certains visiteurs arriveront encore sur la version HTTP, avec la mention "Non sécurisé". Vérifiez que la redirection est bien en place.
Le "contenu mixte" se produit quand une page HTTPS charge des ressources (images, scripts, feuilles de style) via des URL en HTTP. Le navigateur bloque ou avertit sur ce contenu mixte. C'est une erreur courante lors de la migration HTTP → HTTPS. Auditez toutes vos pages avec des outils comme Why No Padlock ou SSL Check.
Les certificats SSL ont une durée de validité de 90 jours (Let's Encrypt) à 1 an (certificats payants). Un certificat expiré provoque un avertissement de sécurité effrayant qui fait fuir immédiatement les visiteurs. Configurez le renouvellement automatique ou des alertes d'expiration.
Avoir un certificat SSL ne garantit pas une configuration parfaite. Testez votre configuration sur SSL Labs (ssllabs.com/ssltest) pour obtenir une note (A, B, C...) et identifier les failles potentielles (protocoles obsolètes activés, suites cryptographiques faibles...).
Presque tous les hébergeurs modernes (OVH, Infomaniak, PlanetHoster, O2Switch...) proposent l'installation automatique de Let's Encrypt. Rendez-vous dans votre panneau de gestion d'hébergement et cherchez "SSL" ou "Let's Encrypt".
Configurez une redirection 301 de http:// vers https:// et de www vers non-www (ou l'inverse, selon votre URL canonique). Cette configuration se fait généralement dans le fichier .htaccess (Apache) ou la configuration Nginx.
Après le passage en HTTPS, vérifiez que toutes les URL internes (liens dans votre contenu, dans votre CMS, dans votre fichier sitemap.xml) utilisent bien le protocole https:// et non http://. Sur WordPress, le plugin Better Search Replace peut faire ce remplacement en masse.
Si votre site était en HTTP, créez une nouvelle propriété HTTPS dans Google Search Console et soumettez votre sitemap XML. Google recrawlera votre site et mettra à jour son index progressivement.
À retenir :
- HTTPS est indispensable en 2026 : sécurité des données, confiance des utilisateurs, référencement Google
- Let's Encrypt propose des certificats SSL gratuits — il n'y a aucune raison de rester en HTTP
- La redirection 301 HTTP → HTTPS est indispensable après l'installation du certificat
- Surveillez la date d'expiration de votre certificat et configurez le renouvellement automatique
Le HTTPS n'est plus un choix en 2026 : c'est le minimum syndical pour tout site web professionnel. La bonne nouvelle, c'est que l'installation d'un certificat SSL est simple, souvent gratuite, et prend moins d'une heure. Si votre site est encore en HTTP, c'est probablement la chose la plus rapide et la moins chère que vous puissiez faire pour améliorer immédiatement votre image professionnelle et votre référencement.
Besoin d'un site web professionnel ? Contactez Stackup Agency — devis gratuit en 24h.
Premier RDV gratuit, devis sous 24h, sans engagement.
Prendre rendez-vous →