Que dit Google sur le SEO ? /
AccueilDeclarations › HSTS et migration de domaine

Faut-il activer HSTS immédiatement lors d'une migration de domaine vers HTTPS ?

John Mueller 27/07/2018 ★★☆
Faut-il activer HSTS immédiatement lors d'une migration de domaine vers HTTPS ?
Quiz SEO Express

Testez vos connaissances SEO en 5 questions

Moins d'une minute. Decouvrez ce que vous savez vraiment sur le referencement Google.

🕒 ~1 min 🎯 5 questions

Declaration officielle

Lors d'un changement de domaine, mettez en place HSTS seulement après vous être assuré que tout fonctionne bien sur HTTPS.
36:14
🎥 Vidéo source

Extrait d'une vidéo Google Search Central

⏱ 1h00 💬 EN 📅 27/07/2018 ✂ 33 déclarations
Voir sur YouTube (36:14) →
Autres déclarations de cette vidéo 32
  1. 0:36 Comment vérifier si un domaine a des problèmes SEO invisibles depuis Google Search Console ?
  2. 1:48 Peut-on vraiment détecter les pénalités algorithmiques cachées d'un domaine expiré ?
  3. 3:50 Comment gérer le contenu dupliqué quand on gère plusieurs entités distinctes ?
  4. 4:25 Faut-il dupliquer son contenu pour chaque établissement local ou tout regrouper sur une page ?
  5. 6:18 Pourquoi les suppressions DMCA massives peuvent-elles détruire le classement d'un site entier ?
  6. 6:18 Les retraits DMCA massifs peuvent-ils vraiment dégrader le classement d'un site ?
  7. 7:18 Faut-il privilégier un sous-domaine ou un sous-répertoire pour héberger vos pages AMP ?
  8. 7:22 Où héberger vos pages AMP : sous-domaine, sous-répertoire ou paramètre ?
  9. 8:25 La balise canonical fonctionne-t-elle vraiment si les pages sont différentes ?
  10. 8:35 Faut-il vraiment bannir le rel=canonical de vos pages paginées ?
  11. 10:04 Le scraping peut-il vraiment détruire le référencement d'un site à faible autorité ?
  12. 11:23 L'adresse IP du serveur influence-t-elle encore le référencement local ?
  13. 11:45 L'adresse IP de votre serveur impacte-t-elle encore votre SEO local ?
  14. 13:39 Les images cliquables sans balise <a> sont-elles vraiment invisibles pour Google ?
  15. 13:39 Un lien sans balise <a> peut-il transmettre du PageRank ?
  16. 15:11 Comment Google indexe-t-il vraiment vos pages AMP en présence d'un noindex ?
  17. 15:13 Le noindex d'une page HTML bloque-t-il vraiment l'indexation de sa version AMP associée ?
  18. 18:21 Combien de temps faut-il pour récupérer après une action manuelle complète ?
  19. 18:25 Combien de temps faut-il pour récupérer d'une action manuelle Google ?
  20. 21:59 Faut-il intégrer des mots-clés dans son nom de domaine pour mieux ranker ?
  21. 22:43 Faut-il vraiment indexer son fichier robots.txt dans Google ?
  22. 24:08 Pourquoi le cache Google affiche-t-il votre page différemment du rendu réel ?
  23. 25:29 DMCA et disavow : pourquoi Google privilégie-t-il l'une sur l'autre pour gérer contenu dupliqué et backlinks toxiques ?
  24. 28:19 Le taux de crawl influence-t-il vraiment le classement dans Google ?
  25. 28:19 Votre serveur limite-t-il le crawl de Google plus que vous ne le pensez ?
  26. 31:00 Les signaux sociaux sont-ils vraiment inutiles pour le référencement Google ?
  27. 31:25 Les profils sociaux améliorent-ils le classement Google ?
  28. 32:03 Les profils sociaux multiples boostent-ils vraiment votre SEO ?
  29. 33:00 Les répertoires de liens sont-ils vraiment ignorés par Google ?
  30. 33:25 Les liens d'annuaires sont-ils vraiment tous ignorés par Google ?
  31. 42:35 Pourquoi les étoiles d'avis mettent-elles autant de temps à apparaître dans Google ?
  32. 52:00 Le niveau de stock influence-t-il vraiment le classement de vos fiches produits ?
📅
Declaration officielle du (il y a 7 ans)
⚠ Une declaration plus recente existe sur ce sujet Les en-têtes HSTS ont-ils vraiment un impact sur votre référencement ? John Mueller · 7 juin 2023 Voir la declaration →
TL;DR

Google recommande de ne pas activer HSTS tant que la migration HTTPS n'est pas totalement stabilisée. Cette précaution évite de bloquer l'accès au site si un problème surgit sur les certificats ou la configuration SSL. En pratique, attendez plusieurs semaines après la bascule pour intégrer HSTS dans vos headers, le temps de vérifier que tout fonctionne sans accroc.

Ce qu'il faut comprendre

Pourquoi Google met-il en garde contre l'activation précoce de HSTS ?

HSTS (HTTP Strict Transport Security) force les navigateurs à accéder uniquement en HTTPS à votre domaine, sans jamais tenter une connexion HTTP. Une fois ce header envoyé, les navigateurs mémorisent cette directive pendant la durée spécifiée (souvent un an).

Le problème se pose quand vous activez HSTS trop tôt dans une migration. Si un certificat SSL expire, si une configuration HTTPS casse, ou si un sous-domaine oublié n'est pas encore sécurisé, les visiteurs se retrouvent face à un mur : le navigateur refuse catégoriquement toute connexion HTTP de secours. Vous perdez l'accès au site, et les utilisateurs aussi.

Qu'est-ce qu'une migration de domaine et pourquoi HSTS complique-t-elle les choses ?

Une migration de domaine implique généralement trois changements simultanés : nouveau nom de domaine, passage HTTPS, et redirections 301 massives. C'est déjà un chantier technique dense.

Ajouter HSTS dans le mix revient à verrouiller une porte avant d'avoir testé toutes les serrures. Si votre CDN délivre mal les certificats, si un vieux sous-domaine pointe encore vers une IP HTTP, ou si votre renouvellement automatique Let's Encrypt échoue, HSTS transforme un incident mineur en catastrophe totale.

Comment savoir quand il est sûr d'activer HSTS ?

Surveillez pendant deux à quatre semaines minimum après la migration. Vérifiez que tous les sous-domaines répondent correctement en HTTPS, que les certificats se renouvellent automatiquement, et que vos outils de monitoring ne remontent aucune alerte SSL.

Testez également les parcours utilisateurs critiques : checkout e-commerce, formulaires de contact, espaces clients. Une fois cette période de validation écoulée, activez HSTS avec une durée courte (quelques semaines), puis augmentez progressivement jusqu'à un an.

  • HSTS verrouille l'accès HTTPS sans possibilité de repli HTTP
  • Toute erreur SSL devient bloquante pour les visiteurs si HSTS est actif
  • Attendez 2 à 4 semaines après la migration avant d'activer HSTS
  • Commencez avec une courte durée (max-age faible) puis augmentez graduellement
  • Vérifiez tous les sous-domaines, certificats et processus de renouvellement

Avis d'un expert SEO

Cette recommandation est-elle cohérente avec les observations terrain ?

Totalement. J'ai vu trop de migrations foutre en l'air à cause d'un HSTS activé trop vite. Le scénario classique : migration un vendredi, HSTS dans le header, certificat qui expire le week-end parce qu'un script de renouvellement automatique ne marchait que sur l'ancien domaine.

Résultat ? Site inaccessible jusqu'au lundi, perte de trafic SEO, chute brutale dans les SERPs, et un client qui comprend mal pourquoi il ne peut pas simplement "revenir en HTTP". Parce que justement, HSTS l'interdit côté navigateur, même si vous supprimez le header serveur.

Quelles nuances faut-il apporter à cette directive ?

La recommandation de Mueller vise surtout les grosses migrations complexes avec multiples sous-domaines, infrastructure distribuée, ou équipes techniques peu rodées à HTTPS. Si vous migrez un petit site mono-domaine avec un certificat wildcard et un monitoring solide, le risque est moindre.

Cependant, même dans ce cas, rien ne presse. HSTS n'apporte aucun bénéfice SEO direct documenté par Google. Son intérêt est purement sécuritaire : protéger contre les attaques de type SSL stripping. Prendre deux semaines de plus pour l'activer ne change strictement rien à votre ranking.

Attention : Si vous avez soumis votre domaine à la HSTS preload list de Chrome avant d'avoir finalisé la migration, vous êtes dans une situation délicate. Le retrait de cette liste prend des mois. Assurez-vous que TOUT fonctionne avant cette étape irréversible.

Dans quels cas peut-on accélérer l'activation de HSTS ?

Si votre infrastructure est entièrement managée (Cloudflare, AWS CloudFront avec ACM, Netlify), que vos certificats sont auto-renouvelés, et que vous avez déjà validé tous les sous-domaines en HTTPS pendant plusieurs jours, vous pouvez raccourcir la période d'attente.

Mais même là, commencez avec un max-age de 86400 (24h) plutôt que 31536000 (un an). Vous aurez toujours le temps d'augmenter. Par contre, redescendre un max-age déjà envoyé ne sert à rien : les navigateurs gardent la valeur la plus élevée vue.

Impact pratique et recommandations

Que faut-il faire concrètement lors d'une migration de domaine ?

Planifiez la migration en trois phases distinctes. D'abord, migrez vers le nouveau domaine en HTTPS avec redirections 301, sans HSTS. Laissez tourner deux semaines minimum, scrutez vos logs serveur, Google Search Console, et vos outils de monitoring uptime.

Ensuite, activez HSTS avec un max-age court (une semaine). Surveillez encore une semaine. Si tout roule, passez à un max-age d'un mois, puis six mois, puis un an. Cette approche progressive limite les dégâts en cas de problème imprévu.

Quelles erreurs critiques faut-il éviter absolument ?

Ne jamais activer includeSubDomains dans le header HSTS si vous n'avez pas vérifié TOUS les sous-domaines. Un vieux sous-domaine staging.monsite.com encore en HTTP ? Les visiteurs qui y vont (ou les bots) se retrouvent bloqués.

Autre piège : ne pas activer HSTS et soumettre au preload en même temps. Le preload est irréversible dans les faits, le retrait prend 6 à 12 mois. Validez d'abord HSTS en production pendant plusieurs mois avant d'envisager le preload.

Comment vérifier que votre configuration HSTS est prête ?

Utilisez SSL Labs pour scanner votre domaine et tous les sous-domaines critiques. Vérifiez que les certificats sont valides, que les chaînes de confiance sont complètes, et que les renouvellements automatiques fonctionnent.

Testez ensuite avec un header HSTS temporaire (max-age=60) sur un environnement de test. Videz le cache HSTS de votre navigateur (chrome://net-internals/#hsts), puis naviguez. Si tout passe, prolongez progressivement la durée. Cette méthode vous donne un filet de sécurité avant de passer en production.

  • Migrez d'abord le domaine en HTTPS sans HSTS, attendez 2 à 4 semaines
  • Vérifiez tous les sous-domaines, certificats SSL et processus de renouvellement automatique
  • Activez HSTS avec max-age=604800 (une semaine) puis augmentez progressivement
  • Ne jamais activer includeSubDomains sans validation exhaustive de tous les sous-domaines
  • Surveillez Search Console, logs serveur et monitoring uptime après chaque étape
  • Évitez le preload tant que HSTS n'a pas tourné sans incident pendant plusieurs mois
La migration de domaine avec passage HTTPS est un chantier technique délicat qui mobilise plusieurs expertises : infra, sécurité, SEO. Si vous ne disposez pas en interne de compétences solides sur ces trois volets, un accompagnement par une agence SEO spécialisée peut sécuriser la démarche et éviter les erreurs coûteuses. Un audit préalable permet de repérer les pièges avant qu'ils ne deviennent bloquants.

❓ Questions frequentes

Combien de temps faut-il attendre avant d'activer HSTS après une migration HTTPS ?
Minimum deux à quatre semaines. Ce délai permet de détecter les problèmes de certificats, de configuration SSL ou de sous-domaines oubliés avant de verrouiller l'accès HTTPS avec HSTS.
HSTS améliore-t-il le référencement Google ?
Non, aucune donnée officielle ne montre un impact SEO direct de HSTS. Google valorise HTTPS, mais HSTS reste un mécanisme de sécurité sans bonus ranking documenté.
Peut-on désactiver HSTS si un problème survient ?
Vous pouvez retirer le header côté serveur, mais les navigateurs conservent la directive pendant toute la durée max-age déjà envoyée. Impossible de forcer un retour HTTP immédiat côté client.
Que se passe-t-il si j'active includeSubDomains sans vérifier tous les sous-domaines ?
Tout sous-domaine encore en HTTP devient inaccessible pour les visiteurs. Le navigateur refuse la connexion, même si le sous-domaine fonctionne techniquement en HTTP.
Quelle valeur max-age utiliser lors de la première activation de HSTS ?
Commencez avec 604800 (une semaine) ou moins. Une fois la stabilité confirmée, augmentez progressivement jusqu'à 31536000 (un an). Évitez de démarrer directement avec une longue durée.
🏷 Sujets associes
HSTS migration domaine HTTPS certificat SSL securite site header HTTP redirection 301 Google Search Console
HTTPS & Securite IA & SEO JavaScript & Technique Nom de domaine Redirections

🎥 De la même vidéo 32

Autres enseignements SEO extraits de cette même vidéo Google Search Central · durée 1h00 · publiée le 27/07/2018

Comment vérifier si un domaine a des problèmes SEO invisibles depuis Google Search Console ?
⏱ 0:36
Peut-on vraiment détecter les pénalités algorithmiques cachées d'un domaine expiré ?
⏱ 1:48
Comment gérer le contenu dupliqué quand on gère plusieurs entités distinctes ?
⏱ 3:50
Faut-il dupliquer son contenu pour chaque établissement local ou tout regrouper sur une page ?
⏱ 4:25
Pourquoi les suppressions DMCA massives peuvent-elles détruire le classement d'un site entier ?
⏱ 6:18
Les retraits DMCA massifs peuvent-ils vraiment dégrader le classement d'un site ?
⏱ 6:18
Faut-il privilégier un sous-domaine ou un sous-répertoire pour héberger vos pages AMP ?
⏱ 7:18
Où héberger vos pages AMP : sous-domaine, sous-répertoire ou paramètre ?
⏱ 7:22
La balise canonical fonctionne-t-elle vraiment si les pages sont différentes ?
⏱ 8:25
Faut-il vraiment bannir le rel=canonical de vos pages paginées ?
⏱ 8:35
Le scraping peut-il vraiment détruire le référencement d'un site à faible autorité ?
⏱ 10:04
L'adresse IP du serveur influence-t-elle encore le référencement local ?
⏱ 11:23
L'adresse IP de votre serveur impacte-t-elle encore votre SEO local ?
⏱ 11:45
Les images cliquables sans balise <a> sont-elles vraiment invisibles pour Google ?
⏱ 13:39
Un lien sans balise <a> peut-il transmettre du PageRank ?
⏱ 13:39
Comment Google indexe-t-il vraiment vos pages AMP en présence d'un noindex ?
⏱ 15:11
Le noindex d'une page HTML bloque-t-il vraiment l'indexation de sa version AMP associée ?
⏱ 15:13
Combien de temps faut-il pour récupérer après une action manuelle complète ?
⏱ 18:21
Combien de temps faut-il pour récupérer d'une action manuelle Google ?
⏱ 18:25
Faut-il intégrer des mots-clés dans son nom de domaine pour mieux ranker ?
⏱ 21:59
Faut-il vraiment indexer son fichier robots.txt dans Google ?
⏱ 22:43
Pourquoi le cache Google affiche-t-il votre page différemment du rendu réel ?
⏱ 24:08
DMCA et disavow : pourquoi Google privilégie-t-il l'une sur l'autre pour gérer contenu dupliqué et backlinks toxiques ?
⏱ 25:29
Le taux de crawl influence-t-il vraiment le classement dans Google ?
⏱ 28:19
Votre serveur limite-t-il le crawl de Google plus que vous ne le pensez ?
⏱ 28:19
Les signaux sociaux sont-ils vraiment inutiles pour le référencement Google ?
⏱ 31:00
Les profils sociaux améliorent-ils le classement Google ?
⏱ 31:25
Les profils sociaux multiples boostent-ils vraiment votre SEO ?
⏱ 32:03
Les répertoires de liens sont-ils vraiment ignorés par Google ?
⏱ 33:00
Les liens d'annuaires sont-ils vraiment tous ignorés par Google ?
⏱ 33:25
Pourquoi les étoiles d'avis mettent-elles autant de temps à apparaître dans Google ?
⏱ 42:35
Le niveau de stock influence-t-il vraiment le classement de vos fiches produits ?
⏱ 52:00
🎥 Voir la vidéo complète sur YouTube →

Declarations similaires

Faut-il utiliser des sous-répertoires localisés pour améliorer son SEO international ?
John Mueller · 23/06/2026 · ★★★
Faut-il vraiment abandonner le Markdown au profit du HTML pour le SEO ?
John Mueller · 23/06/2026 · ★★★
Les profils créateurs Google Search vont-ils redistribuer les cartes du SEO ?
John Mueller · 18/06/2026 · ★★
Comment optimiser son contenu pour les résultats de recherche générative de Google ?
John Mueller · 18/06/2026 · ★★★
Faut-il bloquer vos contenus dans les réponses IA de Google ?
John Mueller · 18/06/2026 · ★★★
Faut-il se fier aux impressions IA de Google Search Console pour mesurer la performance réelle de son contenu ?
John Mueller · 18/06/2026 · ★★★
« Precedent
Indexation des pages de stock e-commerce...
Suivant »
Gestion des migrations de site HTTP vers HTTPS...
« Retour aux resultats

💬 Commentaires (0)

Soyez le premier à commenter.

2000 caractères restants
Les commentaires sont modérés avant publication.
🔔

Recevez une analyse complète en temps réel des dernières déclarations de Google

Soyez alerté à chaque nouvelle déclaration officielle Google SEO — avec l'analyse complète incluse.

Aucun spam. Désinscription en 1 clic.