SEC1 — Chapitre 13 - Sécurité

Critère SEO SEC1 : HSTS activé — guide + exemple

PARTIE 1 - Fondamentaux Chapitre 13 - Sécurité Mot-clé : hsts activé

C’est typiquement le genre de détail qui évite les signaux contradictoires.

Le critère **SEC1 — HSTS activé** fait partie de notre checklist SEO (335 critères). Ici, tu as une méthode **pratique** pour le vérifier et le corriger — avec un exemple concret.

Ce que couvre exactement ce critère

Le critère SEO SEC1 concerne l'activation de la politique HSTS (HTTP Strict Transport Security) sur un site web. Cette mesure de sécurité impose aux navigateurs de toujours utiliser une connexion HTTPS sécurisée, évitant ainsi les attaques de type man-in-the-middle. Dans le cadre du chapitre 13 - sécurité, ce critère fait partie des fondamentaux à valider pour garantir la robustesse technique de l'optimisation on-page. L'activation de HSTS est une étape clé dans un audit SEO approfondi, car elle renforce la confiance utilisateur et la protection des données échangées.

Pourquoi c'est important (SEO + UX)

Activer HSTS améliore la sécurité du site en forçant le protocole HTTPS, ce qui est pris en compte par Google dans son algorithme de ranking. Un site sécurisé inspire confiance aux visiteurs, réduisant le taux de rebond et augmentant le temps passé. Côté expérience utilisateur (UX), cela évite les avertissements de sécurité dans les navigateurs, assurant une navigation fluide et rassurante. C'est un élément clé dans la checklist security du chapitre 13 - sécurité pour optimiser la visibilité et la crédibilité du site.

Comment vérifier (pas à pas)

  1. Ouvrez votre navigateur et accédez à votre site via HTTPS.
  2. Ouvrez les outils de développement (F12) et allez dans l’onglet Réseau.
  3. Rechargez la page et sélectionnez la requête principale.
  4. Vérifiez la présence de l'en-tête 'strict-transport-security' dans la réponse HTTP.
  5. Utilisez des outils en ligne comme https://hstspreload.org/ pour analyser la configuration.
  6. Vérifiez que la durée max-age est configurée (ex : max-age=31536000) et que includeSubDomains est présent si nécessaire.

Comment corriger proprement

Pour activer HSTS, ajoutez l'en-tête HTTP suivant sur votre serveur :

```
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
```

Selon votre serveur :

  • Apache : modifiez le fichier .htaccess ou la configuration du site avec `Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"`
  • Nginx : ajoutez `add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;`

Assurez-vous que HTTPS est correctement configuré avant d'activer HSTS pour éviter de bloquer l'accès.

Exemple concret (illustratif)

Un site e-commerce a activé HSTS avec la configuration suivante dans Nginx :

```nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
```

Lors de l’audit SEO, l’en-tête HSTS était bien présent sur toutes les pages HTTPS. La durée max-age d’un an garantit que les navigateurs n’accepteront que les connexions sécurisées, augmentant la confiance des utilisateurs et contribuant à une meilleure note dans la checklist security du chapitre 13 - sécurité.

Checklist à cocher

  • [ ] Le site est accessible uniquement en HTTPS.
  • [ ] L'en-tête 'strict-transport-security' est présent sur toutes les réponses HTTPS.
  • [ ] La directive max-age est configurée avec une valeur d’au moins 31536000 secondes (1 an).
  • [ ] includeSubDomains est utilisé si toutes les sous-domaines sont en HTTPS.
  • [ ] Le site est inscrit sur la liste de préchargement HSTS si pertinent (https://hstspreload.org/).
  • [ ] Aucun contenu mixte ne bloque l’application de HSTS.
FAQ

Questions fréquentes — SEC1

Quelle est l’erreur la plus fréquente sur “HSTS activé” ?

Corriger une page isolée sans corriger le template/import : l’erreur revient à la prochaine génération.

Quel outil est le plus rapide pour contrôler à l’échelle ?

Pour ce type de critère, un crawl (ex. Screaming Frog) + une vérification ciblée dans SecurityHeaders.com est généralement le combo le plus rapide.

Comment éviter que ça se reproduise sur 10K pages générées ?

Figer une règle d’auto‑génération (title/structure/schema/URLs) + ajouter un contrôle automatique (crawl ou test) avant import en production.

Prêt à passer de la théorie à l'action ?

Validez ce critère avec un audit, puis approfondissez la méthode dans l'Academy.

Auditer avec l'outil → Apprendre dans l'Academy →