indietro

HTTPS: che cos’è e come eseguire la migrazione del proprio sito web

HTTPS, impossibile ignorarlo. Qualunque sia il vostro livello di utilizzo del web (dilettante informato, utente di internet entusiasta, blogger occasionale o professionista del digitale), siete sicuramente stati confrontati a questo protocollo di comunicazione sicura su internet. Avrete sicuramente notato le cinque lettere che appaiono a sinistra della barra dell’indirizzo URL sul vostro navigatore.

E’ importante interessarsi all’HTTPS, poiché Google ne fa un criterio chiave del suo algoritmo di classificazione attraverso il suo navigatore Chrome. Nel 2014, il gigante del web aveva annunciato che avrebbe favorito i siti protetti dal protocollo HTTPS. Abbastanza per incitare i webmaster a mettere in sicurezza le loro connessioni. Tre anni più tardi, le cifre parlano da sole: 66% dei siti sono in HTTPS su Windows, 64% del traffico è messo in sicurezza su Android e oltre il 75% su ChromeOS. Inoltre, 71 dei siti meglio classificati nelle SERP di Google erano in HTTPS alla fine del 2017, contro 37 nel 2016.

 

Ovviamente, Google non è il solo responsabile. Altri fattori hanno avuto un ruolo nella trasformazione di un web selvaggio in un web più civilizzato: delle iniziative che rendono più facile l’accesso all’HTTPS, misure idonee prese da altri navigatori, etc. Rimane il fatto che sia essenziale farsi tre domande: che cos’è l’HTTPS esattamente? E’ necessario adottarlo per rafforzare gli effetti del vostro posizionamento naturale? Come organizzare questa migrazione verso l’HTTPS?

Che cos’è l’HTTPS?

Il protocollo HTTP

Per capire meglio che cos’è l’HTTPS, è necessario fare un passo indietro all’HTTP, di cui l’HTTPS è la continuazione. L’HTTP (abbreviazione di HyperText Transfer Protocol, o “protocollo di trasferimento di un ipertesto”) è un protocollo di comunicazione specialmente pensato per il web che rende possibile gli scambi di dati tra un server e un cliente, ad esempio un sito web e un navigatore.

 

Il problema dell’HTTP, è che questi scambi sono aperti a tutti, ovvero non sono criptati e quindi per nulla sicuri. Chiunque, tecnicamente, può intromettersi nella comunicazione e recuperare le informazioni che circolano, come qualcuno che ascoltasse una conversazione telefonica. Nella maggior parte dei casi, non è così grave: se leggete un articolo sul sito web di un giornale, non state condividendo dei dati personali suscettibili di essere mal utilizzati. Ma le cose diventano più complicate nel momento in cui vi connettete al sito della vostra banca: se qualcuno mette le mani sulle vostre informazioni (ad esempio: il vostro numero di conto o i vostri accessi), le conseguenze possono essere più serie.

Il difetto principale del protocollo HTTP è quindi la sua mancanza di sicurezza. Ed è qui che il protocollo HTTPS entra in gioco.

Il protocollo HTTPS

Il protocollo HTTPS (Hyper Text Transfert Protocol Secure) è stato concepito per ovviare al problema di sicurezza posto dal suo fratello maggiore. L’HTTPS, in realtà, non è che un protocollo HTTPS al quale è stato aggiunto un livello di sicurezza, chiamato TSL (Transport Layer Security). Quest’ultimo agisce come una chiave che cripta i dati scambiati tra i server e il cliente.

 

Passare per un protocollo HTTPS permette di:

  • Proteggere i dati che circolano tra un sito web e un navigatore, in modo che nessuno possa impossessarsene e utilizzarli in modo abusivo.

Tutto avviene come se la conversazione telefonica si svolgesse in una lingua unica, conosciuta solamente dagli interlocutori, cosa che impedisce alla spia in ascolto di capire alcunché.

  • Garantire l’identità di un sito web, in modo da essere sicuri della corrispondenza tra sito web e URL. Questo punto è essenziale, poiché permette allo user di assicurarsi di navigare bene sul sito della sua banca, ad esempio, e non su una piattaforma creata di sana pianta per imbrogliarlo.

Come distinguere un sito in HTTPS da un sito in HTTP?

E’ molto semplice: un sito protetto presenta, nella sua URL, le lettere “HTTPS” invece del semplice “HTTP”. Su Chrome, queste lettere appaiono in verde.

Un altro segnale che indica che il sito è protetto è la presenza di un lucchetto (verde o no) vicino all’URL. Si trova a sinistra su Chrome, Firefox o Internet Explorer.

E’ importante notare che cliccando sul lucchetto (o in alcuni casi, sull’icona contenente “i”), potete accedere alle informazioni riguardanti il tipo di certificato utilizzato per la protezione del sito.

 

I certificati HTTPS

Il protocollo HTTPS  viene attuato grazie ad un certificato SSL (Secure Socket Layer) che permette di “posare” lo strato TSL di protezione. Questo certificato elettronico si applica al sito per proteggere gli scambi di dati grazie ad una connessione criptata, tramite crittografia asimmetrica. Un sito protetto da un certificato SSL (o TLS) presenta il famoso lucchetto provando così che il sito è protetto.

Per prima cosa, è necessario ottenere questo certificato: ciò permette di attivare il protocollo adeguato. Parliamo indistintamente di certificato SSL o TLS, ma è importante sapere che il protocollo SSL non è più d’attualità da quando è stato rimpiazzato dal certificato TLS, una versione più sicura basata sullo stesso principio. L’espressione “certificato SSL” è rimasto per indicare l’insieme dei certificati digitali attivati dall’HTTPS.

 

Esistono diversi tipi di certificati SSL, più o meno sicuri:

Il certificato SSL gratuito (come Let’s Encrypt)
Il certificato con validazione estesa (Extended SSL)
Il certificato con validazione dell’organizzazione (Organization SSL)

Il certificato con autenticazione del dominio (Domain SSL)

Il certificato multi-dominio (WildCard)

Questi certificati sono rilasciati da organismi specifici, le Autorità Certificative (dall’inglese Certificate Authority, il cui acronimo è CA). Anche per quanta riguarda le Autorità Certificative, ne esistono un certo numero:

Symantec

Geo Trust

GlobalSign

Thawte

Comodo (legato a OVH)

Rapid SSL

Digicert

AlphaSSL

TrustProvider

Il costo di un certificato digitale può andare da zero (gratuito) a diverse migliaia di euro. Il prezzo varia in funzione dell’affidabilità del certificato, cioè dal livello di controllo raggiunto prima del suo rilascio: questa verifica va dalla semplice email inviata al richiedente ad una moltitudine di documenti da fornire. Ma varia anche in funzione dell’AC scelto.

 

Perché passare all’HTTPS?

Se vi state chiedendo quali sono i vantaggi di passare al protocollo HTTPS, ecco qui non una, ma due buone ragioni per farlo.

Da un lato, ci sono le ragioni legate alla sicurezza. L’HTTPS contribuisce a rendere il web un luogo più sicuro per tutti, professionisti e utenti, offrendo una protezione contro gli attacchi detti “dell’uomo nel mezzo” (man-in-the-middle attack). Sfortunatamente molto in voga, questi attacchi hanno come obiettivo quello di intercettare le comunicazioni tra gli interlocutori digitali al fine di raccogliere dei dati personali. Ciò, senza essere scoperti. Così, i vostri dati bancari o i vostri codici di accesso sono captati da un pirata informatico che potrà servirsene in modo fraudolento.

 

L’HTTPS è il miglior metodo per colmare questo difetto di sicurezza. È quindi cruciale per i professionisti che propongono dei siti web sui quali circolano dei dati, che si tratti di riempire un semplice formulario, di iscriversi per aprire un conto personale, o di realizzare un pagamento per un acquisto inserendo le proprie coordinate bancarie. Inutile dire che i siti non protetti non sono molto popolari agli occhi degli utenti, sempre più preoccupati della protezione dei loro dati.

 

Dall’altro lato, ci sono le ragioni SEO. Google milita per rendere il web un territorio più sicuro: non si tratta più di limitare l’incitazione al passaggio all’HTTPS alle sole piattaforme a rischio (il protocollo è stato originariamente inventato per mettere in sicurezza i siti delle banche). Nel prossimo futuro, tutti i siti web dovranno mostrare orgogliosamente la sigla HTTPS.

La prova:  dopo aver annunciato di favorire le piattaforme in HTTPS dal 2014 (qui l’annuncio), Google ha l’intenzione di segnalare progressivamente, su Chrome, i siti non protetti! Detto altrimenti, un sito è segnalato agli utenti come non-protetto; cosa che ha un impatto negativo sulla fiducia dei visitatori.

Ecco qui due buone ragioni per passare all’HTTPS. Ma soffermiamoci un attimo sulla seconda: l’impatto sul posizionamento organico.

Qual è l’impatto dell’HTTPS sulla SEO?

Iniziamo a ripassare la cronologia degli eventi:

 

Nel 2014, Google annuncia che favorirà i siti che hanno attivato il protocollo HTTPS attraverso il suo algoritmo. Il miglioramento del posizionamento è decisamente inferiore. Nel 2015, Google indica que l’HTTPS gioca un ruolo di arbitro in caso di confronto tra due siti simili in risposta a una richiesta. Se due siti sono quasi identici in tutto (parole chiave lavorate, freschezza del contenuto, velocità di caricamento….), l’algoritmo privilegia automaticamente quello più sicuro. Oggi, il 40% dei risultati che appaiono sulla prima pagina di Google sono in HTTPS (fonte). La spinta si vede, ma ciò non spiega tutto: i siti che si trovano in Pagina 1 delle SERP sono ugualmente quello che applicano altre buone pratiche SEO, al di là della sola messa in sicurezza del proprio sito.

 

Insomma, ad oggi, il passaggio dall’HTTPS non agisce come un trampolino di lancio importante in materia SEO. Ciò non vuol dire che i benefici non siano interessanti, poiché l’ottenimento di un buon certificato SSL può avere degli impatti indiretti sul posizionamento naturale. In particolare:

 

  • Influenzando la scelta degli utenti. Questi ultimi sono suscettibili di scegliere un sito in HTTPS piuttosto di un altro in HTTP, soprattutto nell’ottica di effettuare un acquisto. Più i siti saranno segnalati come non sicuri, più diventerà importante per i siti commerciali indicare forte e chiaro la loro protezione HTTPS.
  • Giocando sul Ranking Google. Immaginate: un utente clicca su un link nelle SERP, si rende conto che il sito non è protetto e ritorna ai risultati di ricerca per selezionarne un altro. Google percepisce questa inversione come un segno di insoddisfazione, cosa che avrà un impatto sul ranking del sito in questione.

Ciò detto, non è impossibile che la spinta di Google in favore dei siti protetti sarà più evidente in futuro.

 

È necessario passare all’HTTPS per delle ragioni SEO?

Concretamente, la risposta è no. Una migrazione del vostro sito verso l’HTTPS nella speranza di un miglioramento della vostra SEO non è ragionevole. La spinta è così debole che ci vorrebbe una lente di ingrandimento per vedere una qualche differenza. Quanto meno, una cosa è chiara: anche se l’effetto HTTPS esiste, rimane molto meno importante rispetto ad altri criteri come il contenuto, il posizionamento tecnico e i backlink. L’SSL non è quindi un modo per posizionare le vostre pagine in modo che queste salgano nei risultati delle SERP.

 

Ma ci sono diverse altre ragioni per farlo. Da un lato, per mettere in sicurezza gli scambi tra gli utenti e per valorizzare la propria immagine di marca. Ciò riguarda in priorità i siti commerciali, ma non solamente.

Domani, delle allerte di sicurezza saranno inviate dai navigatori agli utenti i cui dati sono stati diffusi a causa di una falla nella sicurezza su un sito HTTP. Immaginate un istante cosa potrebbero pensare gli utilizzatori del vostro sito web, se voi foste implicati?

 

Https google shopping

 

Come eseguire la migrazione del vostro sito da HTTP a HTTPS?

Sappiate che un passaggio da HTTP al protocollo HTTPS si avvicina alla migrazione di un sito. Concretamente, ecco come fare:

  1. Acquistate (o richiedete) un certificato SSL e installatelo sul vostro sito web.
  2. Modificate le vostre URL interne di modo che l’insieme delle vostre risorse siano proposte in HTTPS.
  3. Effettuate le redirezioni 301 delle URL HTTP verso le URL HTTPS. Ciò vi permetterà di conservare la SEO (popolarità e traffico) delle vostre pagine durante tutta la migrazione. Soprattutto, fate dei test sulle URL!
  4. Assicuratevi che i vostri Rel Canonical puntino verso le vostre pagine HTTPS. In questo modo, avrete meno problemi causati dalle URL doppie.
  5. Verificate che le vostre pagine HTTPS siano indicizzabili.
  6. Attivate il meccanismo HSTS (HTTP Strict Transport Security) per informare il cliente che le interazioni sono ormai realizzate attraverso una connessione protetta.

 

Una volta la migrazione verso l’HTTPS effettuata, dovete pensare alle ultime verifiche:

  • lanciare un crawl per assicurarvi che non ci siano errori,
  • create una nuova Search Console e seguite l’indicizzazione delle pagine in HTTPS, confrontando con la vecchia versione,
  • verificate e correggete les URL dei link che puntano verso il vostro sito, di modo che siano tutti in HTTPS,
  • aggiornate i plugin esterni del vostro CMS per assicurarvi della loro compatibilità con il nuovo protocollo,
  • modificate i parametri su Google Analytics in modo che la piattaforma prenda in considerazione le pagine in HTTPS, soprattutto con l’obiettivo di seguire l’evoluzione del traffico,
  • recuperate le indicazioni dell’interazione sociale (condivisione e like) seguendo queste istruzioni,
  • misurate il tempo di caricamento delle pagine in HTTPS: la migrazione può essere accompagnata da un rallentamento generale, a causa di negoziazioni supplementari tra il server e il cliente.

In caso di problemi, le performance del vostro sito possono essere migliorate grazie al protocollo HTTPS/2, una volta la migrazione in HTTPS terminata.

 

Quale tipo di certificazione SSL scegliere?

La questione è sapere quale certificato scegliere per passare in HTTPS e proteggere così le vostre connessioni. Ma la risposta dipende dalla natura del vostro sito così come dai bisogni in materia di sicurezza…Per un sito lambda nel quale nessun dato personale è scambiato, un certificato SSL gratuito è più che sufficiente (tipo Let’s Encrypt). Non serve altro.

 

Per un sito web aziendale, è preferibile optare per un certificato con autenticazione del dominio (DV) con validazione dell’organizzazione (OV). Questi certificati costano da qualche decina di euro a qualche centinaia di euro all’anno. La differenza tra i due risiede nell’autenticazione: il DV non permette di identificare i richiedenti del certificato, a l’opposto dell’OV che è quindi più protetto. Tuttavia, su questo punto, dovete mettervi nei panni dello user: cliccherà sul vostro certificato per verificare l’autenticazione? Avete veramente bisogno di una protezione aggiuntiva?

Per un sito e-commerce, le cose sono diverse: dovete garantire la sicurezza dei vostri clienti durante l’acquisto. In questo caso il certificato con validazione estesa (EV) sembra indispensabile. Una barra verde sul navigatore appare, ciò permette immediatamente agli user di sapere che stanno navigando su un sito che beneficia della protezione ottimale. E questa è un’ottima cosa per la vostra immagine di marca.

Quanto ai certificati multi-dominio (SAN), si applicano a dei siti che necessitano di certificare diversi nomi di dominio.
In conclusione

La migrazione del vostro sito web verso l’HTTPS non è una necessità assoluta, ma piuttosto una misura di comodità e di fiducia. Installare un certificato SSL sul vostro server non darà una spinta al vostro SEO né trasformerà il vostro sito web in una fortezza inviolabile (l’SSL permette una connessione cifrata senza una messa in sicurezza del server o del navigatore). Ma l’installazione del certificato permetterà ai vostri visitatori di sentirsi in sicurezza nel momento in cui dovranno affidarvi i loro dati personali, che si tratti degli identificativi di accesso o delle coordinate bancarie.  Va notato che il 40% dei siti in prima prima pagina di Google sono in HTTPS.

Un consiglio: qualunque sia la soluzione scelta, il certificato desiderato e l’Autorità di Certificazione selezionata, non lanciatevi in una migrazione senza riflessione preliminare. Soprattutto,  fate con calma!

 

Quest'articolo ti é piaciuto? Condividi :

Posizionamento naturale online: leva per la creazione di lead

La maggior parte delle aziende cerca di attirare in modo naturale i potenziali clienti grazie alla presenza e a delle…

HTTPS: che cos’è e come eseguire la migrazione del proprio sito web

HTTPS, impossibile ignorarlo. Qualunque sia il vostro livello di utilizzo del web (dilettante informato, utente di internet entusiasta, blogger occasionale…

Le buone pratiche SEO per le PMI

Le PMI sono soggette ad effettuare degli investimenti meno importanti rispetto alle grandi imprese per acquisire visibilità e traffico. Diverse…