Article de 2014, remis à jour en 2026
« En 2026, un site sans HTTPS, c’est un site qui affiche une alerte de sécurité à ses visiteurs, qui est pénalisé par Google, et qui ne peut pas traiter de paiement. Ce n’est plus une option — c’est la base. »
Le HTTPS existe depuis longtemps, mais pendant des années il était réservé aux banques et aux grandes boutiques. En 2014, Google a annoncé qu’il en ferait un critère de référencement. Depuis, c’est devenu incontournable pour tous les sites, quelle que soit leur taille.
Aujourd’hui, un site en HTTP simple n’est plus seulement moins bien référencé — il affiche une alerte de sécurité dans les navigateurs, il fait fuir les visiteurs, et il est techniquement incapable de traiter des paiements en ligne.
📌 La bonne nouvelle : le certificat SSL est aujourd’hui gratuit via Let’s Encrypt — inclus chez tous les hébergeurs sérieux dont EX2. Ce n’est plus une question de budget, c’est une question de configuration.
Le navigateur affiche clairement le statut de sécurité de chaque site. Voici la différence entre les trois états possibles :
Cadenas fermé, connexion chiffrée. Vos visiteurs voient que leurs données sont protégées. Google classe votre site normalement.
Alerte rouge dans Chrome et Firefox. Certains navigateurs bloquent l’accès. Aucun paiement possible. Taux de rebond explosif.
SSL actif mais des ressources se chargent encore en HTTP. Le cadenas est barré ou en avertissement — fausse sécurité.
Depuis 2014, Google favorise les sites HTTPS dans son classement. À contenu égal, le site sécurisé gagne face à un concurrent en HTTP.
Aucune plateforme de paiement (PrestaShop Checkout, PayPal, Stripe…) ne fonctionne sur un site HTTP. Sans HTTPS, pas de boutique en ligne possible.
Le chiffrement SSL protège les informations échangées — identifiants, commandes, données personnelles. Une obligation RGPD pour tout site qui collecte des données.
Un visiteur qui voit « Non sécurisé » repart dans la grande majorité des cas. Le cadenas est devenu un signal de confiance aussi fort que le nom d’une marque connue.
C’est le problème le plus fréquent sur les sites qui ont migré de HTTP vers HTTPS, ou qui ont du contenu ancien. Le certificat SSL est actif — mais certaines ressources dans vos pages pointent encore vers des URLs en http://.
Résultat : le cadenas est barré ou affiche un avertissement. Votre site n’est pas considéré comme pleinement sécurisé — ni par les navigateurs, ni par Google.
🚨 Les sources les plus courantes de contenu mixte :
Vérifier dans votre navigateur
Ouvrez votre site dans Chrome, faites clic droit → « Inspecter » → onglet « Console ». Les ressources HTTP apparaissent en avertissement avec leur URL exacte. C’est le diagnostic le plus rapide pour une page précise.
Utiliser l’outil Why No Padlock
L’outil whynopadlock.com scanne une URL et liste toutes les ressources HTTP trouvées. Gratuit et très efficace pour un diagnostic rapide page par page.
Corriger en base de données WordPress ou PrestaShop
Sur WordPress, le plugin Better Search Replace permet de remplacer toutes les occurrences de http://votredomaine.fr par https://votredomaine.fr en base de données. Sur PrestaShop, la même opération s’effectue via phpMyAdmin ou un module dédié.
Forcer la redirection 301 HTTP → HTTPS
Dans le fichier .htaccess de votre serveur, une règle de redirection permanente force toutes les URLs HTTP vers leur équivalent HTTPS. Votre hébergeur (EX2) peut vous y aider si vous n’êtes pas à l’aise avec ça.
Vérifier dans Google Search Console
Une fois les corrections effectuées, vérifiez dans Search Console qu’aucune erreur de sécurité n’est signalée. Soumettez les pages corrigées pour que Google les recrawle rapidement.
💡 Pour les liens externes en HTTP : si vous pointez vers un site partenaire qui n’a pas encore migré en HTTPS, vous ne pouvez pas corriger leur URL — c’est leur problème. Remplacez le lien HTTP par le lien HTTPS du même site (souvent il existe), ou supprimez le lien si le site cible n’est plus maintenu.
Certificat SSL actif — cadenas visible, URL commence par https:// |
Redirection 301 active — toute URL en http:// redirige automatiquement vers https:// |
Pas de contenu mixte — aucune ressource ne se charge en HTTP |
URL du site en HTTPS dans les paramètres WordPress ou PrestaShop |
Liens internes tous en HTTPS — pas d’anciens liens http:// dans les pages et articles |
Liens externes vérifiés — pointer vers des sites partenaires en HTTPS uniquement |
Search Console — propriété vérifiée sur la version HTTPS, aucune alerte de sécurité |
Contenu mixte, liens HTTP résiduels, certificat mal configuré… Un audit technique permet d’identifier et de corriger ces problèmes rapidement. Premier entretien gratuit.
