Googlebot ignore-t-il vraiment les redirections 307 HSTS ou y a-t-il un piège ?

Qu'est-ce que HSTS et pourquoi génère-t-il des redirections 307 ?

HSTS (HTTP Strict Transport Security) est un mécanisme de sécurité qui force les navigateurs à toujours utiliser HTTPS pour un domaine donné. Lorsqu'un utilisateur tente d'accéder à la version HTTP d'un site configuré avec HSTS, Chrome génère automatiquement une redirection 307 interne pour basculer vers HTTPS.

Cette redirection n'est jamais envoyée par le serveur : elle est créée localement par le navigateur avant même que la requête HTTP ne parte. Le serveur ne voit jamais cette tentative HTTP, et aucune trace de redirection 307 n'apparaît dans les logs serveur. C'est un comportement purement client-side.

Pourquoi Googlebot ne suit-il pas ces redirections 307 ?

Googlebot n'est pas un navigateur web classique. Il n'implémente pas les mêmes mécanismes de sécurité client-side que Chrome, notamment la gestion HSTS. Quand Googlebot crawle une URL HTTP sur un domaine avec HSTS activé, il ne voit jamais la redirection 307 générée par Chrome.

Concrètement : si votre seule méthode de redirection HTTP vers HTTPS est HSTS, Googlebot continuera de crawler la version HTTP sans jamais être redirigé vers HTTPS. Pour lui, la version HTTP est la seule qui existe. C'est un problème majeur pour l'indexation et le duplicate content.

HSTS est-il compatible avec une stratégie SEO HTTPS propre ?

HSTS est un excellent complément de sécurité, mais il ne remplace jamais une redirection serveur classique. Pour que Google indexe correctement votre site en HTTPS, vous devez configurer une redirection 301 permanente au niveau du serveur (Apache, Nginx, CDN) pour forcer HTTP vers HTTPS.

HSTS intervient ensuite comme une couche supplémentaire pour les navigateurs : une fois la redirection serveur effectuée et le header HSTS reçu, Chrome stocke l'info et ne tentera plus jamais HTTP. Mais cette sécurité ne concerne que les utilisateurs humains, pas les bots.

• Googlebot ne suit pas les redirections 307 HSTS car ce sont des redirections navigateur, pas serveur
• HSTS est un mécanisme de sécurité client-side, invisible pour les crawlers
• Une redirection serveur 301 HTTP → HTTPS reste obligatoire pour le SEO
• HSTS complète une stratégie HTTPS, mais ne la remplace jamais
• Les logs serveur ne montrent jamais de trace des redirections 307 HSTS

Cette déclaration est-elle cohérente avec les observations terrain ?

Totalement. Sur le terrain, on constate régulièrement des sites qui activent HSTS en pensant que cela suffit pour migrer vers HTTPS, et qui se retrouvent avec un duplicate content massif entre HTTP et HTTPS. Google indexe les deux versions, parfois en favorisant la version HTTP héritée de l'historique du site.

Ce qui est moins connu, c'est que certains crawlers tiers (SEMrush, Ahrefs) suivent eux aussi uniquement les redirections serveur. Compter sur HSTS pour gérer la redirection HTTP → HTTPS, c'est s'exposer à des incohérences dans les audits SEO et les outils de suivi de ranking. [A vérifier] : certains crawlers modernes pourraient commencer à interpréter HSTS, mais ce n'est pas documenté officiellement.

Quelles nuances faut-il apporter à cette règle ?

La nuance principale concerne les sites déjà migrés en HTTPS avec des redirections serveur en place. Si votre configuration Apache/Nginx redirige proprement HTTP vers HTTPS avec un 301 permanent, HSTS n'a aucun impact SEO négatif. Il apporte au contraire une sécurité bienvenue pour les utilisateurs.

Là où ça coince, c'est quand des développeurs ajoutent HSTS via un header Strict-Transport-Security en pensant que cela dispense de configurer la redirection serveur. Ou pire, quand un site est inscrit sur la preload list HSTS de Chrome sans avoir mis en place de vraies redirections serveur. Dans ce cas, les utilisateurs Chrome voient HTTPS, mais Googlebot crawle HTTP.

Dans quels cas cette règle pourrait-elle évoluer ?

Google pourrait théoriquement faire évoluer Googlebot pour interpréter HSTS comme le font les navigateurs modernes. Mais c'est peu probable à court terme, car Googlebot est conçu pour crawler le web tel qu'il est servi par les serveurs, pas tel qu'il est transformé par les navigateurs.

Une évolution plus réaliste serait que Google détecte automatiquement les sites avec HSTS actif mais sans redirection serveur, et applique une pénalité de ranking ou une désindexation partielle de la version HTTP. Mais pour l'instant, Google se contente de crawler ce qu'on lui sert. La responsabilité reste côté webmaster.

Que faut-il faire concrètement pour éviter les problèmes SEO ?

Première action : auditer votre configuration de redirections. Testez manuellement l'URL HTTP de votre page d'accueil avec curl ou un outil comme Redirect Checker. Vérifiez que le serveur renvoie bien un code 301 (permanent) ou 302 (temporaire, mais moins recommandé) pointant vers la version HTTPS.

Si vous voyez un 200 OK sur la version HTTP, c'est que vous n'avez pas de redirection serveur. HSTS ne sauvera pas votre indexation. Configurez immédiatement une redirection au niveau Apache (.htaccess), Nginx (fichier de config), ou via votre CDN. Ne comptez jamais sur HSTS seul.

Comment vérifier que Googlebot accède bien à la version HTTPS ?

Utilisez Google Search Console pour inspecter une URL et voir la version que Googlebot crawle. Si l'URL inspectée est en HTTP alors que vous pensez avoir activé HSTS, c'est la preuve que Googlebot ignore votre HSTS. Consultez également les logs serveur pour voir quelle version (HTTP ou HTTPS) Googlebot requête réellement.

Un autre test simple : soumettez manuellement une URL HTTP via l'outil d'inspection d'URL de la Search Console et demandez une indexation. Si Google indexe la version HTTP au lieu de suivre vers HTTPS, votre redirection serveur est absente ou mal configurée. [A vérifier] : certains proxies ou pare-feu peuvent interférer avec les redirections ; testez depuis plusieurs localisations.

Quelles erreurs éviter lors de la configuration HTTPS + HSTS ?

Erreur classique : activer HSTS avec le flag includeSubDomains sans avoir configuré HTTPS sur tous les sous-domaines. Googlebot crawlera les sous-domaines en HTTP, et les utilisateurs Chrome verront des erreurs de certificat. Résultat : indexation chaotique et perte de trafic.

Autre piège : ajouter son domaine à la HSTS preload list avant d'avoir migré tout le site vers HTTPS avec redirections serveur en place. Une fois sur la preload list, impossible de revenir en arrière facilement. Chrome forcera HTTPS même si votre serveur ne le supporte pas encore, générant des erreurs côté utilisateur sans que Googlebot soit affecté (lui continuera de crawler HTTP).

• Configurer une redirection serveur 301 HTTP → HTTPS (Apache, Nginx, CDN)
• Tester la redirection avec curl ou un outil dédié avant activation HSTS
• Vérifier dans Google Search Console que Googlebot crawle bien la version HTTPS
• Ne jamais compter sur HSTS seul pour gérer la migration HTTPS
• Activer HSTS uniquement après avoir confirmé que les redirections serveur fonctionnent
• Éviter includeSubDomains si tous les sous-domaines ne sont pas en HTTPS