Checker HTTP headers

Le plus critique : X-Robots-Tag (équivalent côté serveur du <meta name="robots"> — peut désindexer une page sans qu'on s'en rende compte). Ensuite : Cache-Control et Vary (impact sur le crawl budget et les CDN), Link (canonical et hreflang servis depuis le serveur), Content-Type et son charset (encodage), Last-Modified et ETag (304 conditionnels). Et côté sécurité : HSTS, CSP, X-Content-Type-Options.

HSTS (Strict-Transport-Security) doit être servi sur la version HTTPS. Si l'outil ne le voit pas alors que vous êtes en HTTPS, c'est un vrai problème : votre site n'instruit pas les navigateurs de toujours utiliser HTTPS sur les visites suivantes, exposant l'utilisateur à des attaques de downgrade SSL au premier visite. Ajoutez Strict-Transport-Security: max-age=31536000; includeSubDomains; preload dans votre config serveur ou CDN.

Trois cas typiques : (1) il est servi sur la mauvaise URL — Google le lit sur l'URL canonique, pas sur les variantes ; (2) il est posé sur la réponse OK mais Google fetch via une 301 — vérifiez la chaîne de redirections ; (3) le bot ciblé ne matche pas — X-Robots-Tag: googlebot: noindex ne s'applique qu'à Googlebot, pas à Bingbot. Préférez X-Robots-Tag: noindex sans préfixe pour cibler tous les bots.

Modernement, c'est Cache-Control qui prime — Expires est legacy HTTP/1.0 et ignoré quand Cache-Control est présent. Les directives utiles SEO : public (autorise le caching CDN), max-age=N (durée en secondes), s-maxage=N (override pour CDN), stale-while-revalidate=N (sert la version expirée pendant qu'on en regénère une). Évitez no-cache et no-store sur les pages SEO — ça force le revalidate à chaque requête.