Certificat SSL et HTTPS : Exigences Techniques pour GMC

Pourquoi le HTTPS est Obligatoire pour Google Shopping

Google exige le HTTPS pour tous les sites references sur Merchant Center depuis 2017. Cette exigence s'inscrit dans une politique plus large de securisation du web. Pour un site e-commerce, les enjeux sont multiples :

• Protection des donnees sensibles : les informations de paiement, mots de passe et donnees personnelles des clients sont chiffrees pendant le transit
• Confiance des utilisateurs : le cadenas dans la barre d'adresse rassure les acheteurs potentiels
• Exigence reglementaire : le RGPD et la directive europeenne sur les services de paiement (DSP2) imposent le chiffrement des donnees
• Impact SEO : Google favorise les sites HTTPS dans ses resultats de recherche depuis 2014
• Condition sine qua non pour GMC : sans HTTPS, votre compte sera refuse ou suspendu, quelle que soit la qualite de vos produits

Les Types de Certificats SSL

Tous les certificats SSL ne se valent pas. Voici les trois niveaux de validation disponibles et leurs differences :

Certificat DV (Domain Validation)

Le plus basique et le plus rapide a obtenir. Il verifie uniquement que vous controlez le nom de domaine. Delivre en quelques minutes. C'est le type fourni par Let's Encrypt (gratuit) et par la plupart des hebergeurs dans leurs offres de base. Suffisant pour Google Merchant Center.

Certificat OV (Organization Validation)

Verifie l'identite de l'organisation en plus du domaine. Le processus prend quelques jours car l'autorite de certification verifie les informations de l'entreprise. Recommande pour les sites e-commerce qui souhaitent un niveau de confiance superieur.

Certificat EV (Extended Validation)

Le plus haut niveau de validation. Verification approfondie de l'entreprise, de ses dirigeants et de son existence legale. Autrefois affiche avec une barre verte dans le navigateur (ce n'est plus le cas depuis 2019). Non necessaire pour GMC mais peut renforcer la confiance client.

Le Probleme du Contenu Mixte (Mixed Content)

Le contenu mixte est l'un des problemes SSL les plus insidieux. Il survient quand une page HTTPS charge des ressources (images, scripts, feuilles de style) via des URLs HTTP non securisees. Meme avec un certificat SSL valide, le contenu mixte peut faire echouer la validation Google.

Comment Detecter le Contenu Mixte

• Ouvrez votre site dans Chrome et appuyez sur F12 pour ouvrir les outils developpeur
• Allez dans l'onglet 'Console' : les avertissements de contenu mixte apparaissent en jaune
• Allez dans l'onglet 'Securite' pour un resume complet de l'etat SSL de la page
• Utilisez un outil en ligne comme whynopadlock.com ou jitbit.com/sslcheck pour scanner tout votre site
• Verifiez particulierement les pages produit, le checkout et les pages legales

Sources Courantes de Contenu Mixte

• Images de produits chargees via des URLs HTTP anciennes (surtout apres une migration vers HTTPS)
• Scripts tiers (widgets, chat en direct, tracking) utilisant encore des URLs HTTP
• Polices de caracteres chargees depuis des serveurs externes en HTTP
• Feuilles de style CSS referencant des ressources HTTP
• Iframes integrees (videos, cartes) avec des URLs non securisees
• Liens vers des fichiers media (PDF, documents) en HTTP

Comment Verifier et Corriger vos Problemes SSL

• Etape 1 : Testez votre certificat avec SSL Labs (ssllabs.com/ssltest). Visez une note A ou A+
• Etape 2 : Verifiez la date d'expiration de votre certificat. Configurez un renouvellement automatique si possible
• Etape 3 : Scannez toutes vos pages pour le contenu mixte avec un outil comme Screaming Frog ou SSL Check
• Etape 4 : Remplacez toutes les URLs HTTP par des URLs HTTPS dans votre base de donnees (utilisez un plugin search-and-replace si vous etes sur WordPress/WooCommerce)
• Etape 5 : Verifiez que votre flux Google Shopping utilise des URLs HTTPS pour les liens produits et les images
• Etape 6 : Testez le checkout de bout en bout en verifiant que le cadenas reste present a chaque etape

Rediriger HTTP vers HTTPS Correctement

Une fois votre certificat SSL installe, vous devez forcer la redirection de tout le trafic HTTP vers HTTPS. Cette etape est cruciale car Google peut acceder a votre site via les deux protocoles.

• Configurez une redirection 301 (permanente) de HTTP vers HTTPS au niveau du serveur web (Apache, Nginx)
• Sur Apache, ajoutez dans votre fichier .htaccess : RewriteEngine On / RewriteCond %{HTTPS} off / RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
• Sur Nginx, ajoutez un bloc server qui ecoute sur le port 80 et redirige vers HTTPS
• Verifiez que la redirection fonctionne en tapant votre URL en HTTP dans le navigateur — vous devez etre redirige automatiquement
• Sur Shopify et les plateformes SaaS, le HTTPS est generalement force automatiquement
• Mettez a jour l'URL de votre site dans Google Merchant Center pour utiliser HTTPS

Impact sur l'Approbation Google Merchant Center

• Refus initial du compte : si votre site n'est pas en HTTPS lors de la verification, votre compte ne sera pas approuve
• Refus de produits individuels : les produits dont l'URL (landing page ou image) est en HTTP seront refuses
• Avertissement de compte : Google peut emettre un avertissement avant suspension si des problemes SSL apparaissent sur un compte existant
• Suspension de compte : un certificat expire ou un probleme de securite majeur peut entrainer une suspension complete
• Apres correction, comptez 24 a 72h pour que Google reverifie votre site et mette a jour le statut de vos produits