Pourquoi Google indexe-t-il parfois HTTP au lieu de HTTPS malgré la migration SSL ?

Pourquoi Google hésite-t-il entre HTTP et HTTPS ?

Quand HTTP et HTTPS coexistent sans directive claire, Googlebot se retrouve face à deux URL distinctes qui affichent le même contenu. Le crawler explore les deux versions, collecte des signaux contradictoires, et peut arbitrer en défaveur de HTTPS — y compris des mois après une migration SSL.

L'algorithme de sélection de l'URL canonique s'appuie sur plusieurs dizaines de critères : redirections, balises canonical, liens internes, backlinks externes, HSTS, sitemaps XML. Si aucun signal fort n'émerge, Google privilégie parfois la version HTTP simplement parce qu'elle était indexée en premier ou reçoit plus de backlinks historiques.

Qu'est-ce qu'une URL canonique et pourquoi ça compte autant ?

La canonicalisation désigne le processus par lequel Google choisit quelle URL afficher dans les SERP parmi plusieurs versions similaires. Chaque duplication — HTTP/HTTPS, www/non-www, trailing slash — crée une variante que le moteur doit arbitrer.

Le problème devient critique quand les signaux de ranking se fragmentent : les backlinks pointent vers HTTP, les partages sociaux vers HTTPS, les liens internes mélangent les deux. PageRank et autorité se dispersent au lieu de se concentrer sur une URL unique.

Comment savoir quelle version Google a réellement indexée ?

La Search Console affiche l'URL canonique sélectionnée par Google dans l'outil Inspection d'URL, sous « URL canonique sélectionnée par Google ». Si cette valeur diffère de votre canonical déclaré, c'est le signal d'un conflit de signalisation.

Un site:example.com dans Google révèle parfois un mélange de HTTP et HTTPS dans les résultats, preuve que l'indexation reste ambiguë. Les logs serveur confirment si Googlebot continue à crawler activement la version HTTP alors qu'elle devrait être redirigée.

• Redirection 301 HTTP → HTTPS : signal côté serveur indiquant que HTTP est obsolète et que HTTPS est la version définitive
• Balise rel=canonical : directive HTML confirmant quelle URL doit être considérée comme la référence
• HSTS (HTTP Strict Transport Security) : header de sécurité ordonnant aux navigateurs et crawlers de n'utiliser que HTTPS
• Liens internes cohérents : maillage interne pointant exclusivement vers HTTPS pour renforcer le signal
• Sitemap XML en HTTPS : soumet uniquement les URLs HTTPS à l'indexation, élimine toute confusion

Cette directive est-elle cohérente avec les observations terrain ?

Absolument. On observe régulièrement des sites migrés en HTTPS depuis plusieurs années qui conservent des URL HTTP indexées, surtout sur des sections peu crawlées ou des pages anciennes. Google n'a aucune raison de détecter automatiquement qu'une migration a eu lieu si les deux versions restent accessibles en 200.

Le cas classique : un site avec une redirection 301 partielle — la homepage et quelques pages principales redirigent, mais des centaines de pages profondes restent accessibles en HTTP. Les backlinks externes continuent à pointer vers HTTP, renforçant cette version aux yeux de l'algorithme.

Quelles nuances faut-il apporter à cette recommandation ?

Google parle de « redirection 301 et/ou canonical », mais soyons clairs : la redirection 301 est le signal le plus fort et devrait toujours être implémentée en premier. Le canonical seul ne suffit pas — c'est une directive que Google peut choisir d'ignorer s'il juge d'autres signaux plus fiables.

En pratique, il faut cumuler les deux mécanismes : redirection 301 pour fermer définitivement l'accès HTTP, et canonical HTTPS dans le <head> des pages HTTPS pour confirmer l'intention. Ajouter HSTS renforce encore ce signal et empêche tout retour en arrière. [A vérifier] : aucune donnée publique de Google ne quantifie le poids relatif de chaque signal dans l'algorithme de canonicalisation — on infère ces priorités à partir d'observations empiriques.

Dans quels cas cette règle ne s'applique-t-elle pas totalement ?

Certains sites maintiennent volontairement une version HTTP pour des raisons techniques — API publiques, webhooks, systèmes legacy qui ne supportent pas SSL. Dans ce cas, il faut isoler ces URLs dans un sous-domaine dédié et bloquer leur indexation via robots.txt ou noindex.

Les sites JavaScript full-client posent parfois un problème spécifique : si les canonical sont injectés côté client après le premier rendu, Googlebot peut indexer avant que la balise soit détectée. La solution passe par une redirection 301 côté serveur, non négociable, ou un rendu SSR qui expose le canonical dans le HTML initial.

Que faut-il faire concrètement pour imposer HTTPS comme version canonique ?

La première étape consiste à configurer une redirection 301 permanente côté serveur (Apache, Nginx, IIS) pour renvoyer tout trafic HTTP vers HTTPS. Cette redirection doit être globale, toucher toutes les URLs sans exception, et renvoyer le code HTTP 301 — pas 302 ou 307 qui signalent un déplacement temporaire.

Ensuite, ajouter une balise <link rel="canonical"> dans le <head> de toutes les pages HTTPS, pointant vers leur propre URL HTTPS. Même si ça paraît redondant, ce signal confirme à Googlebot que HTTPS est bien la version de référence, même en présence de variantes (paramètres d'URL, trailing slash, etc.).

Implémenter le header HSTS (Strict-Transport-Security) avec une durée longue (min. 1 an) pour forcer navigateurs et crawlers à ne plus jamais tenter d'accéder au site en HTTP. Ce header se configure côté serveur et s'ajoute aux réponses HTTPS.

Quelles erreurs éviter lors de la migration HTTPS ?

L'erreur la plus fréquente est la redirection en chaîne : HTTP → HTTPS non-www → HTTPS www, par exemple. Chaque saut supplémentaire ralentit le crawl, dilue le PageRank, et peut amener Googlebot à abandonner avant d'atteindre l'URL finale. Toujours rediriger en un seul bond vers l'URL canonique définitive.

Autre piège classique : laisser des liens internes en HTTP dans le code source, les sitemaps XML, ou les balises hreflang. Google interprète ces liens comme un signal que HTTP reste une version légitime. Passer tous les assets (CSS, JS, images) en HTTPS ou en protocole relatif // élimine les contenus mixtes qui fragilisent le signal HTTPS.

Ne pas oublier de soumettre un nouveau sitemap HTTPS dans la Search Console et de surveiller les rapports de couverture d'index pendant au moins 4 à 6 semaines. Google peut mettre plusieurs semaines à recrawler l'intégralité d'un site de taille moyenne et à basculer toutes les URLs indexées.

Comment vérifier que la migration HTTPS est réellement effective ?

Utiliser l'outil Inspection d'URL de la Search Console sur un échantillon représentatif de pages. Vérifier que « URL canonique sélectionnée par Google » affiche bien la version HTTPS. Si Google renvoie encore une URL HTTP, c'est que les signaux restent ambigus.

Lancer un crawl Screaming Frog ou Oncrawl en mode user-agent Googlebot pour détecter les pages encore accessibles en HTTP 200, les redirections en chaîne, les canonical contradictoires, et les liens internes mixtes. Filtrer les URLs HTTP indexées via un site:example.com inurl:http:// dans Google pour repérer les pages encore présentes dans l'index sous leur version non sécurisée.

• Configurer une redirection 301 permanente globale HTTP → HTTPS côté serveur
• Ajouter <link rel="canonical" href="https://..."> dans toutes les pages HTTPS
• Activer le header HSTS avec max-age d'au moins 31536000 secondes (1 an)
• Mettre à jour tous les liens internes, sitemaps XML, hreflang, et canonical pour pointer vers HTTPS
• Vérifier dans la Search Console que l'URL canonique sélectionnée est bien en HTTPS pour un échantillon représentatif
• Crawler le site avec Screaming Frog pour détecter les dernières URLs HTTP accessibles ou les redirections en chaîne