HSTS : HTTP Strict Transport Security pour le SEO

Définition

HSTS (HTTP Strict Transport Security) est un en-tete de securite qui force les navigateurs a utiliser HTTPS, eliminant les redirections HTTP et ameliorant les performances SEO.

HSTS est un mecanisme de securite qui indique aux navigateurs de toujours utiliser HTTPS pour acceder a un site, meme si l'utilisateur tape HTTP. L'en-tete Strict-Transport-Security est envoye par le serveur et le navigateur le respecte pendant la duree specifiee (max-age). Pour le SEO, HSTS presente deux avantages : securite renforcee (eliminiation des attaques man-in-the-middle et des redirections non securisees) et performance (les navigateurs connectent directement en HTTPS sans passer par la redirection 301 HTTP->HTTPS, gagnant un aller-retour reseau). Le HSTS Preloading va encore plus loin en incluant le domaine dans une liste codee en dur dans les navigateurs, assurant HTTPS des la toute premiere visite. Google privilegie les sites avec HSTS car cela garantit une connexion securisee permanente.

HTTP Strict Transport Security en-tete HSTS HSTS header HSTS preload

Points clés à retenir

Elimine les redirections HTTP->HTTPS pour les visiteurs recurrents
Le HSTS Preloading force HTTPS des la premiere visite
Protege contre les attaques de type man-in-the-middle

Exemples concrets

Implementation HSTS standard

Un site ajoute l'en-tete Strict-Transport-Security: max-age=31536000; includeSubDomains. Les visiteurs recurrents se connectent directement en HTTPS, economisant 100-200ms par visite.

HSTS Preloading

Apres avoir verifie que tout le site fonctionne en HTTPS, un webmaster soumet son domaine a la liste HSTS Preload (hstspreload.org). Desormais, meme la premiere visite se fait en HTTPS, sans aucune redirection.

Questions fréquentes

HSTS est-il risque a implementer ?

Oui, si votre site a des problemes HTTPS (mixed content, certificat expire). HSTS force HTTPS et les utilisateurs ne pourront pas contourner les erreurs de certificat. Commencez avec un max-age court (300 secondes), testez, puis augmentez progressivement jusqu'a 1 an (31536000).

Le HSTS Preloading est-il reversible ?

Techniquement oui, mais le processus de retrait de la liste prend plusieurs mois car il depend des mises a jour des navigateurs. Ne soumettez votre domaine au preloading que si vous etes certain de maintenir HTTPS indefiniment.

Termes liés

Aller plus loin avec LemmiLink

Découvrez comment LemmiLink peut vous aider à mettre en pratique ces concepts SEO.

Acheter des backlinks de qualite Solutions SEO pour agences