Googlebot ignore-t-il vraiment vos redirections HTTPS forcées ?

Qu'est-ce que HSTS et pourquoi les navigateurs l'utilisent-ils ?

HTTP Strict Transport Security (HSTS) est un mécanisme de sécurité qui force les navigateurs à toujours accéder à un site via HTTPS. Une fois qu'un navigateur a visité un site avec HSTS activé, il mémorise cette règle et refuse ensuite toute connexion HTTP — même si l'utilisateur tape http:// dans la barre d'adresse.

Les navigateurs maintiennent également des listes HSTS préchargées (preload lists) qui contiennent des milliers de domaines ayant demandé à être forcés en HTTPS dès la première visite. Chrome, Firefox, Safari embarquent ces listes directement. Résultat : pour ces domaines, le navigateur n'envoie jamais de requête HTTP initiale.

Comment Googlebot se comporte-t-il face à HSTS ?

Googlebot fonctionne différemment. Il ne conserve aucune liste HSTS entre ses crawls. Chaque URL est crawlée avec une ardoise vierge, comme si le bot n'avait jamais visité le site auparavant.

Concrètement ? Si Googlebot trouve une URL en http:// dans son index, dans un lien externe ou dans votre sitemap XML, il tentera de la crawler en HTTP. Il ne convertira pas automatiquement l'URL en https:// avant la requête, contrairement aux navigateurs modernes qui appliquent HSTS.

Pourquoi Google a-t-il fait ce choix technique ?

La raison tient à la neutralité du crawl. Googlebot doit pouvoir découvrir et indexer le web tel qu'il existe réellement, avec ses redirections, ses erreurs de configuration et ses URLs HTTP encore accessibles. Si le bot appliquait HSTS, il masquerait des problèmes de configuration importants.

Par exemple, un site qui aurait oublié de mettre en place ses redirections 301 mais compterait sur HSTS pour forcer HTTPS passerait inaperçu. Les utilisateurs avec navigateurs compatibles accéderaient bien au HTTPS, mais Googlebot — et les anciens navigateurs — tomberaient sur du HTTP. Googlebot teste donc la réalité brute du serveur, pas une version optimisée par le client.

• Googlebot ne mémorise aucune règle HSTS entre ses sessions de crawl
• Les URLs HTTP dans les liens, sitemaps ou index sont crawlées en HTTP
• Vos redirections 301 HTTP → HTTPS restent indispensables pour le SEO
• HSTS protège les utilisateurs finaux mais n'influence pas le comportement du bot
• Cette approche révèle les erreurs de configuration serveur que HSTS masquerait côté client

Cette déclaration est-elle cohérente avec les observations terrain ?

Oui, et c'est vérifiable empiriquement. Les logs serveur montrent régulièrement des requêtes Googlebot en HTTP sur des domaines pourtant dans la HSTS preload list. Si vous analysez vos access logs, vous trouverez des hits Googlebot sur le port 80 même après des années de migration HTTPS complète.

Cette réalité contraste avec le comportement des crawlers de monitoring (Pingdom, GTmetrix) qui, eux, appliquent souvent HSTS. Googlebot maintient délibérément une approche "first principles" — il veut savoir ce que le serveur répond réellement à une requête HTTP brute, sans présupposé.

Quelles implications pour les migrations HTTPS mal finies ?

C'est là que ça coince. Beaucoup de sites passés en HTTPS ont négligé leurs redirections HTTP, comptant sur HSTS ou sur le fait que "plus personne n'utilise HTTP". Faux. Googlebot utilise HTTP comme point d'entrée par défaut pour de nombreuses URLs.

Si vos redirections 301 HTTP → HTTPS sont absentes, lentes ou mal configurées (chaînes de redirections, timeouts), Googlebot perd du crawl budget. Pire : il peut indexer des versions HTTP obsolètes ou rencontrer des erreurs 404 là où la version HTTPS fonctionne. J'ai vu des sites perdre 20-30% de leurs pages indexées après une migration HTTPS parce que les redirections HTTP étaient défaillantes — mais invisibles côté utilisateur grâce à HSTS. [A verifier] si votre propre configuration n'a pas ce défaut caché.

Dans quels cas cette règle a-t-elle le plus d'impact ?

Trois scénarios critiques. Un : les sites avec beaucoup de backlinks HTTP anciens. Googlebot suit ces liens en HTTP, et si la redirection est cassée, le jus SEO se perd. Deux : les sitemaps XML contenant encore des URLs HTTP par erreur — Googlebot les crawle telles quelles.

Trois : les sites avec versions HTTP et HTTPS coexistantes (oui, ça arrive encore en 2025, notamment sur des intranets ou des sous-domaines oubliés). Sans redirections propres, Google peut indexer les deux versions et diluer le ranking. HSTS ne vous sauve pas de ce duplicate content — seules des redirections 301 serveur font le job.

Que faut-il vérifier immédiatement sur votre site ?

Première étape : auditez vos redirections HTTP → HTTPS avec un outil qui simule Googlebot (Screaming Frog en mode Googlebot, ou curl avec user-agent Googlebot). Ne vous fiez pas à votre navigateur — il applique HSTS et vous montre une version faussée de la réalité bot.

Vérifiez que chaque URL HTTP retourne un code 301 Moved Permanently vers son équivalent HTTPS, sans chaîne de redirections intermédiaires. Une chaîne HTTP → HTTP → HTTPS gaspille du crawl budget et dilue le PageRank transmis. Testez aussi la vitesse de réponse de ces redirections — un serveur lent sur le port 80 ralentit l'ensemble du crawl.

Comment auditer vos logs serveur pour détecter les problèmes ?

Analysez vos logs d'accès serveur (access logs Apache/Nginx) en filtrant par user-agent Googlebot et protocole HTTP. Si vous voyez des 404, 500 ou des timeouts sur des URLs HTTP alors que les versions HTTPS fonctionnent, vous avez un problème invisible côté utilisateur.

Cherchez aussi les patterns de crawl. Si Googlebot passe beaucoup de temps sur des URLs HTTP qui redirigent toutes, c'est du crawl budget gaspillé. Idéalement, mettez à jour vos liens internes et votre sitemap pour pointer directement en HTTPS — ça réduit la charge serveur et accélère le crawl. Mais ne supprimez jamais les redirections HTTP, même après des années : les backlinks externes pointent encore majoritairement en HTTP.

Quelles erreurs éviter absolument ?

Erreur numéro un : désactiver le port 80 après une migration HTTPS en pensant que HSTS suffit. Googlebot tentera de crawler en HTTP, échouera, et désindera progressivement vos pages. J'ai vu un e-commerce perdre 60% de son trafic organique en trois mois après avoir fermé le port 80 "pour des raisons de sécurité".

Erreur deux : configurer des redirections 302 (temporaires) au lieu de 301. Google finit par les traiter comme des 301, mais avec un délai. Erreur trois : négliger les sous-domaines ou les versions www/non-www en HTTP — Googlebot crawle toutes les variantes et peut créer du duplicate content si les redirections ne couvrent pas tous les cas.

• Tester toutes les URLs HTTP avec curl ou Screaming Frog en mode Googlebot
• Vérifier que les redirections HTTP → HTTPS retournent un 301, pas un 302
• Éliminer les chaînes de redirections (HTTP → HTTP → HTTPS)
• Mettre à jour le sitemap XML pour pointer exclusivement en HTTPS
• Analyser les logs serveur pour détecter les erreurs HTTP invisibles côté client
• Maintenir le port 80 ouvert avec redirections, ne jamais le fermer complètement