Certificat SSL et HTTPS : Exigences Techniques pour GMC

Pourquoi le HTTPS est obligatoire pour Google Shopping

Google exige le HTTPS pour tous les sites référencés sur Merchant Center depuis 2017. Cette exigence s'inscrit dans une politique plus large de sécurisation du web. Pour un site e-commerce, les enjeux sont multiples :

• Protection des données sensibles : les informations de paiement, mots de passe et données personnelles des clients sont chiffrées pendant le transit
• Confiance des utilisateurs : le cadenas dans la barre d'adresse rassure les acheteurs potentiels
• Exigence réglementaire : le RGPD et la directive européenne sur les services de paiement (DSP2) imposent le chiffrement des données
• Impact SEO : Google favorise les sites HTTPS dans ses résultats de recherche depuis 2014
• Condition sine qua non pour GMC : sans HTTPS, votre compte sera refusé ou suspendu, quelle que soit la qualité de vos produits

Les types de certificats SSL

Tous les certificats SSL ne se valent pas. Voici les trois niveaux de validation disponibles et leurs différences.

Certificat DV (Domain Validation)

Le plus basique et le plus rapide à obtenir. Il vérifie uniquement que vous contrôlez le nom de domaine. Délivré en quelques minutes. C'est le type fourni par Let's Encrypt (gratuit) et par la plupart des hébergeurs dans leurs offres de base. Suffisant pour Google Merchant Center.

Certificat OV (Organization Validation)

Vérifie l'identité de l'organisation en plus du domaine. Le processus prend quelques jours car l'autorité de certification vérifie les informations de l'entreprise. Recommandé pour les sites e-commerce qui souhaitent un niveau de confiance supérieur.

Certificat EV (Extended Validation)

Le plus haut niveau de validation. Vérification approfondie de l'entreprise, de ses dirigeants et de son existence légale. Autrefois affiché avec une barre verte dans le navigateur (ce n'est plus le cas depuis 2019). Non nécessaire pour GMC, mais peut renforcer la confiance client.

Le problème du contenu mixte (mixed content)

Le contenu mixte est l'un des problèmes SSL les plus insidieux. Il survient quand une page HTTPS charge des ressources (images, scripts, feuilles de style) via des URLs HTTP non sécurisées. Même avec un certificat SSL valide, le contenu mixte peut faire échouer la validation Google.

Comment détecter le contenu mixte

• Ouvrez votre site dans Chrome et appuyez sur F12 pour ouvrir les outils développeur
• Allez dans l'onglet « Console » : les avertissements de contenu mixte apparaissent en jaune
• Allez dans l'onglet « Sécurité » pour un résumé complet de l'état SSL de la page
• Utilisez un outil en ligne comme whynopadlock.com ou jitbit.com/sslcheck pour scanner tout votre site
• Vérifiez particulièrement les pages produit, le checkout et les pages légales

Sources courantes de contenu mixte

• Images de produits chargées via des URLs HTTP anciennes (surtout après une migration vers HTTPS)
• Scripts tiers (widgets, chat en direct, tracking) utilisant encore des URLs HTTP
• Polices de caractères chargées depuis des serveurs externes en HTTP
• Feuilles de style CSS référençant des ressources HTTP
• Iframes intégrées (vidéos, cartes) avec des URLs non sécurisées
• Liens vers des fichiers média (PDF, documents) en HTTP

Comment vérifier et corriger vos problèmes SSL

• Étape 1 : Testez votre certificat avec SSL Labs (ssllabs.com/ssltest). Visez une note A ou A+
• Étape 2 : Vérifiez la date d'expiration de votre certificat. Configurez un renouvellement automatique si possible
• Étape 3 : Scannez toutes vos pages pour le contenu mixte avec un outil comme Screaming Frog ou SSL Check
• Étape 4 : Remplacez toutes les URLs HTTP par des URLs HTTPS dans votre base de données (utilisez un plugin search-and-replace si vous êtes sur WordPress/WooCommerce)
• Étape 5 : Vérifiez que votre flux Google Shopping utilise des URLs HTTPS pour les liens produits et les images
• Étape 6 : Testez le checkout de bout en bout en vérifiant que le cadenas reste présent à chaque étape

Rediriger HTTP vers HTTPS correctement

Une fois votre certificat SSL installé, vous devez forcer la redirection de tout le trafic HTTP vers HTTPS. Cette étape est cruciale car Google peut accéder à votre site via les deux protocoles.

• Configurez une redirection 301 (permanente) de HTTP vers HTTPS au niveau du serveur web (Apache, Nginx)
• Sur Apache, ajoutez dans votre fichier .htaccess : RewriteEngine On / RewriteCond %{HTTPS} off / RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
• Sur Nginx, ajoutez un bloc server qui écoute sur le port 80 et redirige vers HTTPS
• Vérifiez que la redirection fonctionne en tapant votre URL en HTTP dans le navigateur : vous devez être redirigé automatiquement
• Sur Shopify et les plateformes SaaS, le HTTPS est généralement forcé automatiquement
• Mettez à jour l'URL de votre site dans Google Merchant Center pour utiliser HTTPS

Impact sur l'approbation Google Merchant Center

• Refus initial du compte : si votre site n'est pas en HTTPS lors de la vérification, votre compte ne sera pas approuvé
• Refus de produits individuels : les produits dont l'URL (landing page ou image) est en HTTP seront refusés
• Avertissement de compte : Google peut émettre un avertissement avant suspension si des problèmes SSL apparaissent sur un compte existant
• Suspension de compte : un certificat expiré ou un problème de sécurité majeur peut entraîner une suspension complète
• Après correction, comptez 24 à 72 h pour que Google revérifie votre site et mette à jour le statut de vos produits