A partir de Chrome 154 (prevu pour octobre 2026), Google Chrome activera le mode HTTPS-First par defaut pour tous les utilisateurs. Cela signifie que les sites HTTP afficheront un avertissement interstitiel pleine page — les utilisateurs devront cliquer pour continuer, similaire a l’avertissement “Votre connexion n’est pas privee”.
C’est le changement d’application le plus significatif depuis que Chrome a commence a marquer HTTP comme “Non securise” en 2018.
Ce qui change
| Avant (actuel) | Apres (Chrome 154+) | |
|---|---|---|
| Page HTTP | Texte “Non securise” dans la barre d’adresse | Avertissement pleine page necessitant une action de l’utilisateur |
| Effort de l’utilisateur pour acceder a HTTP | Aucun — la page charge normalement | Doit cliquer sur “Continuer vers le site” |
| Comportement par defaut | Charger HTTP si pas de HTTPS disponible | Essayer HTTPS d’abord, avertir si HTTP uniquement |
| Perception de l’utilisateur | Petit label, souvent ignore | Avertissement effrayant, la plupart des utilisateurs partiront |
Calendrier
| Date | Version Chrome | Changement |
|---|---|---|
| Janvier 2017 | Chrome 56 | ”Non securise” sur les pages HTTP avec mots de passe |
| Juillet 2018 | Chrome 68 | ”Non securise” sur toutes les pages HTTP |
| 2023 | Chrome 115 | HTTPS-First en option |
| 2024 | Chrome 124 | HTTPS-First active automatiquement pour les utilisateurs qui utilisent principalement HTTPS |
| Octobre 2026 | Chrome 154 | HTTPS-First par defaut pour tous |
Qui est concerne
Tout site web encore servi en HTTP. En 2026, cela represente environ 13 % des sites web dans le monde. Si votre site :
- N’a pas de certificat SSL
- A un certificat mais ne redirige pas HTTP vers HTTPS
- A un certificat expire
…les utilisateurs Chrome verront un avertissement pleine page au lieu de votre contenu.
Que faire
Si votre site utilise deja HTTPS avec un certificat valide et redirige le trafic HTTP — rien ne change pour vous. Chrome essaie HTTPS d’abord et reussit.
Si votre site est encore en HTTP :
Etape 1 : Obtenir un certificat (5 minutes)
Utilisez GetHTTPS pour obtenir un certificat Let’s Encrypt gratuit. Aucune installation necessaire — fonctionne dans votre navigateur.
Etape 2 : L’installer
Nginx | Apache | cPanel | WordPress | IIS | Toutes les plateformes →
Etape 3 : Rediriger HTTP vers HTTPS
Configurez des redirections 301 pour que tout le trafic HTTP aille vers HTTPS. C’est essentiel — sans cela, Chrome affiche toujours l’avertissement pour les utilisateurs qui tapent http://.
Etape 4 : Corriger le contenu mixte
Assurez-vous que toutes les ressources de vos pages sont chargees en HTTPS. Guide du contenu mixte →
Impact sur le SEO
Ce changement amplifie le signal de classement HTTPS existant :
- Les sites HTTP verront des taux de rebond considerablement plus eleves car les utilisateurs voient l’avertissement et partent
- Taux de rebond plus eleves → metriques d’engagement plus basses → classements plus bas
- Google signale cette direction depuis 2014 — HTTPS n’est plus optionnel
Les autres navigateurs suivent
Chrome n’est pas seul :
- Firefox — deploie le mode HTTPS-Only en option, devrait suivre l’exemple de Chrome
- Safari — avertit deja sur les pages HTTP avec des formulaires, devrait etendre
- Edge — suit la base Chromium de Chrome, heritera du changement
Questions frequemment posees
Chrome va-t-il completement bloquer les sites HTTP ?
Pas au debut. HTTPS-First affiche un avertissement que les utilisateurs peuvent contourner. Ce n’est pas un blocage total. Mais l’avertissement est suffisamment effrayant pour que la plupart des utilisateurs ne continuent pas — eliminant effectivement le trafic HTTP pour les sites grand public.
Mon site a HTTPS mais certaines pages utilisent encore des liens HTTP
Chrome essaie HTTPS d’abord. S’il obtient une reponse HTTPS valide, l’avertissement n’apparait pas. Mais vous devriez quand meme rediriger HTTP vers HTTPS et corriger le contenu mixte pour une experience propre.
Qu’en est-il des serveurs de developpement/staging ?
localhost est exempt de HTTPS-First. Pour les serveurs de staging sur de vrais domaines, soit obtenir un certificat (GetHTTPS prend 5 minutes) soit utiliser des certificats auto-signes et ajouter une exception dans le navigateur.
Combien de temps ai-je ?
Chrome 154 est prevu pour octobre 2026, soit environ 5 mois a partir de maintenant. Etant donne qu’obtenir un certificat gratuit prend 5 minutes, il n’y a aucune raison d’attendre.
Est-ce lie au changement de certificat de 47 jours ?
Non. Le changement de validite de 47 jours (d’ici 2029) concerne la duree de vie du certificat — la frequence de renouvellement. HTTPS-First concerne le comportement du navigateur — si les sites HTTP chargent sans avertissements. Ce sont des changements independants, tous deux poussant vers un HTTPS universel.