HSTS et preload list : une fausse piste pour le référencement ?

Qu'est-ce que HSTS et pourquoi on en parle en SEO ?

HSTS (HTTP Strict Transport Security) est un mécanisme de sécurité qui force les navigateurs à utiliser exclusivement HTTPS pour un domaine donné. La preload list est une liste maintenue par les navigateurs qui applique HSTS avant même la première visite d'un utilisateur.

Certains professionnels pensent qu'être inscrit sur cette liste pourrait influencer la façon dont Google traite les URLs canoniques. Mueller tranche : c'est faux. HSTS ne joue aucun rôle dans le choix de Google entre HTTP et HTTPS comme URL de référence.

Que fait réellement Google avec HTTPS en termes de canonicalisation ?

Google sélectionne l'URL canonique en fonction de signaux directs : redirections 301/302, balises canonical, structure du sitemap, cohérence des liens internes. Si tous ces signaux pointent vers HTTPS, Google indexera la version HTTPS.

HSTS et la preload list sont des mécanismes côté navigateur. Google n'a pas besoin de cette liste pour comprendre qu'un site doit être crawlé et indexé en HTTPS — il le déduit de vos configurations serveur et CMS.

Le bonus de classement HTTPS s'applique-t-il automatiquement ?

Oui, une fois que Google a basculé sur la version HTTPS comme URL canonique, le signal de classement positif s'active sans action supplémentaire. Pas besoin de preload list pour en bénéficier.

La nuance : ce bonus reste modeste. Il ne fera pas miraculeusement monter un site mal optimisé. C'est un signal parmi des centaines, mais c'est un signal acquis gratuitement si la migration HTTPS est bien faite.

• HSTS et preload list : sécurité navigateur, pas un facteur de canonicalisation pour Google
• Signaux décisifs : redirections, sitemap, liens internes vers HTTPS
• Bonus de classement HTTPS : automatique dès que Google indexe la version sécurisée
• L'inscription sur la preload list n'accélère ni n'améliore ce processus côté SEO

Cette déclaration est-elle cohérente avec les observations terrain ?

Absolument. On observe régulièrement des sites qui ne sont pas sur la preload list et qui bénéficient pleinement du bonus HTTPS. Inversement, des sites inscrits sur cette liste peuvent galérer avec la canonicalisation si les redirections ou le sitemap sont mal configurés.

La preload list est utile pour renforcer la sécurité utilisateur — elle empêche des attaques de type downgrade vers HTTP lors de la première visite. Mais côté SEO, elle n'apporte rien de plus qu'une bonne configuration de redirections et de signaux canoniques.

Quelles nuances faut-il apporter à cette affirmation de Mueller ?

Mueller insiste sur la cohérence des signaux : sitemap et liens internes doivent pointer vers HTTPS. C'est rarement un problème sur les CMS modernes, mais sur des sites legacy ou hybrides (HTTP/HTTPS mixte), ça devient un enfer.

Si votre sitemap XML contient encore des URLs en HTTP, ou si vos liens internes pointent massivement vers HTTP malgré une redirection en place, Google peut hésiter ou ralentir le basculement canonique. [A vérifier] : Google ne dit pas explicitement combien de temps prend ce basculement en cas de signaux contradictoires — on observe des délais de plusieurs semaines voire mois sur certains gros sites.

Dans quels cas cette règle pourrait-elle ne pas s'appliquer ?

Sur des sites très anciens avec un historique de backlinks massif vers HTTP, Google peut temporairement maintenir HTTP comme canonique si les redirections sont absentes ou mal configurées. On a vu des cas où un sitemap HTTPS était en place, mais des milliers de liens internes pointaient encore vers HTTP — résultat : canonicalisation floue pendant des mois.

Que faut-il faire concrètement pour garantir une canonicalisation HTTPS ?

Oubliez la preload list comme levier SEO. Concentrez-vous sur trois actions non négociables : implémenter des redirections 301 permanentes de HTTP vers HTTPS, mettre à jour le sitemap XML pour qu'il contienne uniquement des URLs HTTPS, vérifier et corriger tous les liens internes pour qu'ils pointent vers HTTPS.

Sur WordPress, Shopify ou d'autres CMS, cette cohérence est souvent automatique — mais vérifiez quand même. Sur du custom ou des stacks complexes (multilingue, multi-domaines), un audit technique s'impose.

Quelles erreurs éviter lors d'une migration HTTPS ?

Ne laissez jamais HTTP accessible sans redirection. Certains webmasters activent HTTPS mais laissent HTTP en parallèle "au cas où" — catastrophe SEO assurée.

Ne vous contentez pas d'un certificat SSL et d'un header HSTS. Google ne crawle pas les headers de sécurité pour décider de la canonicalisation — il suit les redirections et lit le sitemap. HSTS protège vos utilisateurs, pas votre ranking.

Comment vérifier que tout est en ordre ?

• Tester chaque URL HTTP importante : elle doit rediriger en 301 vers HTTPS (pas 302, pas de chaîne de redirections)
• Ouvrir le sitemap XML : aucune URL en HTTP ne doit y figurer
• Crawler le site avec Screaming Frog ou équivalent : zéro lien interne vers HTTP
• Vérifier dans Google Search Console que l'URL canonique déclarée est bien en HTTPS
• Attendre quelques semaines et surveiller l'évolution de l'indexation dans GSC (rapport de couverture)