Passage à HTTPS lors d'une migration vers Shopify: protocole HSTS, 307 redirections et conséquences pour le référencement

  1. Protocole HSTS, redirections 307 et implications pour le référencement Vers le début des années 2010,...
  2. Deep Crawl:
  3. Ce que cela signifie pour vous

Protocole HSTS, redirections 307 et implications pour le référencement

Vers le début des années 2010, les référenceurs ont commencé à parler de SSL (Secure Sockets Layer) et à débattre de ses implications éventuelles sur les performances des moteurs de recherche. Google avait fait allusion à la nécessité pendant un certain temps, mais a officiellement annoncé que les certificats SSL deviendraient obligatoires en janvier 2017. Les sites Web devraient utiliser SSL pour un certain nombre de raisons autres que la sécurité - Google Chrome a publié un certain nombre de façons différentes de sanctionner les non-utilisateurs. -https les sites dans leur navigateur, tels que l'affichage d'un «X» rouge difficile à ignorer devant le site dans le navigateur. Pas génial pour l'expérience utilisateur.

En tant que professionnel du référencement à plein temps, j'ai rencontré ma juste part des migrations HTTPS. Une de mes recommandations courantes en tant que "dernière étape" du processus consiste à configurer HSTS (HTTP Strict Transport Security). Il s'agit d'une requête faite au niveau du navigateur, garantissant que les navigateurs "se souviennent" toujours qu'un site Web est maintenant HTTPS et ne demandent jamais la version HTTP. L'ajout de cette couche supplémentaire est un autre moyen d'empêcher les utilisateurs, les moteurs de recherche et les pirates d'accéder à la version HTTP de votre site Web, ce qui vous rendrait vulnérable aux atteintes à la sécurité.

D'un point de vue technique, la redirection effectuée dans le navigateur lorsqu'un site active le HSTS est temporaire. Vous verrez apparaître un 307 dans le panneau réseau de Google Chrome.

Il y a clairement une certaine confusion autour des 307 Il y a clairement une certaine confusion autour des 307. Comme le dit John Mueller dans son message intitulé «Un guide de moteur de recherche pour les redirections 301, 302, 307 et autres)»:

"Redirections 307: attendez, n’est-ce pas une redirection côté serveur? Non, c’est en fait votre navigateur qui vous suit. Si vous configurez HTTPS, la redirection 301 de HTTP à HTTPS et activez HSTS lorsque vous essayez d'accéder au protocole HTTP version dans votre navigateur, elle accédera automatiquement à la version HTTPS, mais enregistrez-la en tant que redirection 307. La 307 est un mensonge :). "

Sans contexte, cela peut prêter à confusion et ne pas être clair, mais après avoir vécu cette situation de première main, cet article prend maintenant tout son sens. Je ne suis cependant pas d'accord avec l'affirmation selon laquelle le 307 est un mensonge: une redirection 307 est en cours, mais elle se produit au niveau du navigateur. Vous n'avez donc pas à vous en préoccuper pour le référencement côté serveur.

Pour explorer davantage, j'ai couru la même page via un vérificateur d'en-tête HTTP, la redirection est un 301.

J'ai récemment rencontré ce problème avec un client migrant son site Web de non-http vers HTTPS sur la plate-forme Shopify, qui active le protocole HSTS J'ai récemment rencontré ce problème avec un client migrant son site Web de non-http vers HTTPS sur la plate-forme Shopify, qui active le protocole HSTS. Comme pour tout bon référencement, dès que le site a été migré, j'ai immédiatement pris Screaming Frog pour analyser les URL héritées que j'avais collectées pour mon plan 301. Et ils étaient là, une foule de 307 - sonner les alarmes!

Cependant, ces redirections avaient été codées en dur sous la forme 301 via la plate-forme Shopify. Google Chrome et Screaming Frog ont été les seuls à signaler 307. J'ai couru le site par Deep Crawl et n'ai vu que 301. Par conséquent, j'ai commencé à formuler ma théorie selon laquelle Screaming Frog explore les sites plus étroitement qu'un navigateur, alors que Deep Crawl explore au niveau de l'en-tête HTTP. Après une enquête plus approfondie, j'ai confirmé que Screaming Frog ne mettait pas le protocole HSTS en cache, donc chaque fois qu'ils consultaient une page HTTP, ils repassaient à nouveau cette redirection 307.

J'ai pris contact avec les deux outils et reçu la réponse suivante:

Grenouille hurlante:

"En tant que robot d'exploration, son comportement est fondamentalement différent de celui d'un navigateur. Par conséquent, nous ne transmettons pas d'informations sur le référent lorsque l'araignée visite les liens qu'il trouve dans une page. Nous ne" cache "pas non plus le protocole HSTS et ne faisons que des requêtes HTTPS.

En gros, Screaming Frog dit ici que si son robot d'exploration ne se comporte pas exactement comme un navigateur, il continue de faire les mêmes requêtes qu'un navigateur, ce qui explique pourquoi nous voyons ces 307 codes d'état. Et comme ils ne mettent pas le protocole en cache, ils font la requête HTTPs à chaque fois, déclenchant ainsi la redirection temporaire de HTTP vers HTTPS.

Deep Crawl:

" Nous extrayons le code de redirection de l'en-tête de réponse lorsque la page revient du serveur. Donc, si c'est un 301, nous le signalons comme étant 301; et si c'est un en-tête de réponse HSTS, nous signalons dans le" Pages en HSTS " rapport."

Par conséquent, nous avons raison de vérifier que Deep Crawl effectue des requêtes au niveau de l'en-tête. Ainsi, bien qu'il existe certainement des raisons d'utiliser Screaming Frog et Deep Crawl pour comprendre parfaitement et en profondeur l'état technique de votre site Web, l'en-tête de réponse du serveur était vraiment le seul élément qui nous préoccupait et Deep Crawl nous a aidés. pour bien comprendre la gravité de cette situation.

Ce que cela signifie pour vous

Les redirections 307 dans une migration de site doivent être une source de préoccupation. Cependant, si votre migration implique de passer de HTTP à HTTPS ET d'activer le protocole HSTS, vérifiez toutes vos pages avec un vérificateur d'en-tête HTTP ou l'outil Deep Crawl, ainsi que Screaming Frog, avant de tirer des conclusions. Cela vous épargnera des heures de panique et d’envoi de courriels de «fausses alarmes» aux clients et aux développeurs.

J'ai pensé qu'il serait utile de partager cette expérience et nos conclusions avec la communauté SEO car, à l'époque, je ne pouvais pas trouver beaucoup de ressources traitant directement de cet événement.