HTTPS n'est plus une feature. C'est la baseline.

Il y a cinq ans, vendre un « site avec SSL » était encore un argument commercial. Le cadenas vert. La phrase « votre site reste sécurisé ». Aujourd'hui, c'est le minimum attendu d'un site professionnel, et ne pas l'avoir n'est plus une négligence technique — c'est un signal de négligence tout court.

Ce que fait le navigateur sans HTTPS

Chrome, Safari, Firefox, Edge : tous affichent « Non sécurisé » dans la barre d'adresse de toute page HTTP. Les formulaires avec champs sensibles sont bloqués ou génèrent des alertes rouges. Sur mobile, l'alerte prend tout l'écran avant que l'utilisateur ne puisse rien envoyer.

Du point de vue de l'acheteur : le visiteur arrive, voit l'alerte, repart. Le produit n'a pas d'importance. La confiance s'est brisée en trois secondes.

Où HTTPS est déjà techniquement obligatoire

Les Service Workers (PWA, offline-first) ne fonctionnent qu'en HTTPS. HTTP/2 et HTTP/3 aussi. Géolocalisation, caméra, micro, notifications push — tout dépend d'un contexte sécurisé. Les APIs web modernes, en général, refusent de tourner hors HTTPS.

En pratique : toute application un minimum moderne a besoin de HTTPS rien que pour démarrer.

Combien cela coûte

Zéro. Let's Encrypt émet des certificats gratuits avec renouvellement automatique depuis presque dix ans. Cloudflare propose du SSL flexible également gratuit. Tout hébergeur sérieux en 2026 installe SSL en un clic. Aucune excuse de coût — et franchement, aucune excuse tout court.

Ce qu'il faut vérifier maintenant

• Le domaine principal redirige automatiquement HTTP vers HTTPS
• Tous les sous-domaines (www, app, admin) forcent aussi HTTPS
• Le certificat est valide dans tous les navigateurs et se renouvelle seul
• HSTS est actif (en-tête Strict-Transport-Security)
• Pas de mixed content — ressources chargées via HTTP dans une page HTTPS

Si l'un de ces points ne passe pas, le problème n'est pas cosmétique. Il est opérationnel.