J’aime les stacks propres. Modernes. À jour.
Donc quand j’ai mis en ligne ce blog, c’était évidant, j’ai activé :
- HTTP/3 (QUIC, UDP 443)
- TLS 1.3 minimum
- Ciphers modernes
Sur le papier : parfait.
En pratique : Google et Bing ne pouvaient plus explorer le site.
Erreur en donnant mon sitemap.xml
Une erreur que je n’arrive pas à comprendre me dit simplement que l’exploitation est impossible, aucune autre information. Pour Bing ET Google, ça peut pas être un hasard mais je comprends toujours pas.
Dans mes logs serveurs je n’ai aucune visite d’un crawler. Comment ils peuvent savoir que ça marche pas ? Dans ma tête c’était évidement mon fichier qui été mal formé. Mais comment ils peuvent savoir s’il n’accède pas à mon site ?
J’ai contacté le support Bing pour essayer de m’éclaircir, mais finalement je suis tombé par hasard sur cette page avant de recevoir la réponse : HTTPS: Which cipher suites does Bingbot support? et là ça veut dire qu’une seule chose : trop en “avance” ? Pardon ? HAHAA
TLS1.3 étant sortie en 2018, ça fait donc 8 ans qu’il est là. Pourtant, même en 2026, si tu forces TLS 1.3 only (sans fallback vers 1.2) + ciphers trop modernes, tu prends le risque de ne pas être référencé sur Google ou Bing, génial 🤡🤡🤡
HTTP/3 est plus récent, supporté depuis environ 5 ans par Chromium et Gecko (moteur Firefox) et bientôt 2 ans pour Safari. Mais HTTP/3 ne supportant que TLS1.3, je n’ai pas jugé nécessaire de le laisser en place. Mais je le sens, et même si c’est négligeable, HTTP/3 en UDP est nettement plus rapide pour charger une page.
TLS1.2 a 18 ans
TLS1.2 est sortie en 2008. Ça fait une paire d’année, pour de la cryptographie.
TLS 1.3 permet notamment d’utiliser des courbes cryptographiques modernes (dont des post-quantique par exemple) bien plus intéressant pour 2026 à mon sens. Notamment X25519MLKEM768, oh mon dieu qu’est-ce-que c’est ?
X25519-> sécurité classiqueML-KEM-768-> anciennement Kyber, sécurité post-quantiqueX25519MLKEM768-> Les deux combinés pour produire la clé finale
Ce qui fait que c’est :
- sécurisé aujourd’hui
- sécurisé contre un futur ordinateur quantique
Résultat après désactivation
Une invasion de bot qui spam à la recherche de faille de sécurité que je n’avais pas avant la rétrogradation. Merci Google, merci Microsoft 🙂
Le lendemain de la rétrogradation, une notification de Google me disant que les problèmes sur mes pages sont résolus.
Alors oui je sais, je peux activé le fallback TLS1.2 et TLS1.3 en même temps, et c’est ce que j’ai fait. Mais je trouve ça tellement dommage qu’une cryptographie mature et j’ai même envie de dire “nécessaire” ne soit pas encore pleinement supportée, sous peine de ne pas avoir de place dans le moteur de recherche.
La sécurité de l’utilisateur devrait avoir une place bien plus importante dans le SEO.
Conclusion de ce retour d’expérience
La réalité du web est encore fortement guidée par la compatibilité plutôt que par la perfection théorique des standards.
Naïf, j’ai cru que la modernité technique été synonyme de meilleure intégration dans l’écosystème du web public. Mais non.
En février 2026, les choses s’améliorent doucement : TLS 1.3 est quasi universel, HTTP/3 progresse, et même les hybrid post-quantique commencent à être supportés nativement par Apple et Google. Mais pour zéro friction avec les moteurs de recherche, le fallback TLS 1.2 reste encore (malheureusement) obligatoire. La sécurité devrait primer, mais la compatibilité crawler dicte encore trop souvent la réalité.