HTTPS: impossibile non prenderlo in considerazione. Qualunque sia il tuo livello di utilizzo del Web (amatore consapevole, utente Internet incallito, blogger occasionale o professionista digitale), ti sei necessariamente confrontato con questo protocollo per la sicurezza dei siti Web. Infatti, avrai sicuramente visto queste cinque lettere visualizzate all’estrema sinistra della barra degli indirizzi URL sul tuo browser.
È tanto più importante conoscere bene l’HTTPS, poiché per Google costituisce un criterio-chiave del suo algoritmo di ranking tramite il browser Chrome. Nel 2014 il colosso del Web ha annunciato la promozione dei siti protetti tramite il protocollo HTTPS. Ciò è sufficiente per incoraggiare i webmaster a proteggere le loro connessioni. Tre anni dopo, i numeri parlano da soli: il 66% dei siti è in HTTPS su Windows, il 64% del traffico è sicuro su Android e oltre il 75% su ChromeOS. Inoltre, 71 dei principali siti nelle SERP di Google utilizzavano HTTPS alla fine del 2017, rispetto ai 37 del 2016. Oggi, l’https è la scelta standard (fonte).
Naturalmente, Google non è stato l’unico elemento determinante. Altri fattori hanno giocato in questa trasformazione dal Web selvaggio al Web rispettoso delle regole: le iniziative facilitanti l’accesso all’HTTPS, le misure appropriate adottate da altri browser, ecc. Tuttavia, è essenziale porsi tre domande: cos’è esattamente l’HTTPS? È necessario adottarlo per rafforzare gli effetti del posizionamento naturale? E come organizzare questa migrazione verso l’HTTPS?
Cos’è l’HTTPS?
IL PROTOCOLLO HTTP
Per comprendere appieno cos’è l’HTTPS, dobbiamo fare riferimento all’HTTP, di cui è la continuazione. L’HTTP (abbreviazione di HyperText Transfer Protocol, o “Protocollo di trasferimento ipertestuale”) è il protocollo di comunicazione progettato specificamente per il Web, che rende possibile lo scambio di dati tra server e client, ad esempio tra un sito Web e un browser.
Il problema del protocollo HTTP è che questi scambi sono aperti a tutti, vale a dire che non sono criptati e, quindi, non sono per niente protetti. Chiunque, tecnicamente, può intervenire nella comunicazione e recuperare le informazioni che circolano, come chi ascolta una conversazione al telefono.
Nella maggior parte dei casi, ciò non pone grandi problemi: se leggi un articolo sul sito Web di un giornale, non stai scambiando dati personali che potrebbero essere utilizzati in modo improprio. Tuttavia, le cose si complicano quando ti colleghi al sito della tua banca: se qualcuno mette le mani sui tuoi dati (ad esempio: il tuo numero di conto o i tuoi accessi), le conseguenze possono disastrose.
Il principale problema del protocollo HTTP è, perciò, la sua mancanza di sicurezza ed è qui che entra in gioco l’HTTPS.
IL PROTOCOLLO HTTPS
Il protocollo HTTPS (HyperText Transfer Protocol Secure) è stato progettato per superare il problema di sicurezza posto dal fratello maggiore.
L’HTTPS, in realtà, è un protocollo HTTP a cui è stato aggiunto un livello di sicurezza chiamato TLS (Transport Layer Security). Questo livello funziona come una chiave di crittografia che crittografa i dati scambiati tra il server e il client.
Passare attraverso un protocollo HTTPS consente di:
- mettere in sicurezza i dati scambiati tra un sito Web e un browser, in modo che nessuno possa impossessarsene e farne un uso improprio. Le informazioni scambiate sono crittografate e la chiave di crittografia è nota solo al server e al client.
Tutto avviene come se la conversazione telefonica si svolgesse in un’unica lingua, nota solo agli interlocutori, che impedisce alla spia intercettatrice di capire qualsiasi cosa.
- garantire l’identità del sito Web consultato, in modo da essere certi che sia effettivamente quello di cui si visualizza l’URL. Questo punto è fondamentale, poiché consente all’utente di Internet di assicurarsi che stia navigando, ad esempio, sul sito della sua banca e non su una piattaforma creata per ingannarlo.
COME DISTINGUERE UN SITO HTTPS DA UN SITO HTTP?
È abbastanza semplice: un sito sicuro mostra, nel suo URL, le lettere “HTTPS”, invece del semplice “HTTP”. Su Chrome, queste lettere appaiono in verde.
Un’altra prova di sicurezza: la presenza di un lucchetto (in genere verde) vicino all’URL. Il lucchetto si trova sul lato sinistro di Chrome, Firefox o Internet Explorer.
Si noti che, cliccando sul lucchetto (o su un’icona contenente la “i” in alcuni casi), è possibile accedere alle informazioni sul tipo di certificato utilizzato per proteggere il sito.
CERTIFICATI HTTPS
Il protocollo HTTPS passa attraverso un certificato SSL (Secure Socket Layer) che fornisce un ulteriore livello di sicurezza TLS. Questo certificato elettronico si applica al sito e protegge gli scambi dei dati garantendone la crittografia tramite una chiave di crittografia asimmetrica. Un sito protetto dal certificato SSL (o TLS) mostra il famoso lucchetto a dimostrazione della sua sicurezza.
Per essere protetti è necessario prima ottenere il certificato: è questo che permette di attivare il protocollo appropriato. Parliamo indifferentemente di certificato SSL o TLS, ma bisogna sapere che il protocollo SSL non è più attuale da quando è stato sostituito dal TLS, la versione più sicura basata sullo stesso principio. Il termine “certificato SSL” è rimasto per riferirsi a tutti i certificati di crittografia che abilitano l’HTTPS.
Esistono diversi tipi di certificati SSL, più o meno sicuri:
- Il certificato SSL gratuito (tipo Let’s Encrypt)
- Il certificato di convalida estesa (Extended SSL)
- Il certificato di convalida dell’organizzazione (Organization SSL)
- Il certificato di convalida del dominio (Domain SSL)
- Il certificato multidominio (WildCard)
Questi certificati sono emessi da organismi specifici: le Autorità di Certificazione (AC). Queste autorità sono numerose:
- Symantec
- GeoTrust
- GlobalSign
- Thawte
- Comodo (relativo a OVH)
- RapidSSL
- Digicert
- AlfaSSL
- TrustProvider
Il costo di un certificato di crittografia varia da zero (gratuito) a diverse migliaia di euro. Il prezzo cambia in base all’affidabilità del certificato, ovvero al livello di verifica raggiunto prima dell’emissione: tale verifica va dalla semplice e-mail inviata al richiedente a una moltitudine di documenti da fornire. Tuttavia, cambia anche a seconda dell’AC scelta.
Perché passare all’HTTPS?
Se ti chiedi il motivo dell’utilizzo del protocollo HTTPS per il tuo sito Web, ecco non una, ma due buona ragioni per farlo.
Da un lato, c’è il motivo della sicurezza. L’HTTPS aiuta a rendere il Web un luogo più sicuro per tutti, professionisti e utenti Internet, fornendo protezione contro i cosiddetti attacchi “man-in-the-middle”. Questo attacco è, purtroppo, molto diffuso e ha lo scopo di intercettare le comunicazioni tra due interlocutori digitali al fine di raccogliere dati personali. Il tutto avviene senza essere scoperti. Pertanto, le tue coordinate bancarie o i tuoi identificativi vengono acquisiti da un hacker che può utilizzarli in modo fraudolento.
L’HTTPS è il metodo migliore per superare questa mancanza di sicurezza ed è fondamentale per i professionisti che utilizzano siti Web su cui circolano dati, sia che si tratti di compilare un semplice form o di registrarsi per aprire un conto personale, sia di effettuare un pagamento per un acquisto registrando i dati della carta di credito. Inutile dire che i siti non protetti non sono molto apprezzati dagli utenti di Internet, che a loro volta sono sempre più preoccupati per la protezione dei propri dati.
Dall’altro lato, c’è il motivo SEO. Google opera per rendere il Web sicuro: non si tratta, quindi, solamente di limitare l’incentivo a passare all’HTTPS alle sole piattaforme rischiose (il protocollo è stato inventato, inizialmente, per mettere in sicurezza i siti Web delle banche). Nel prossimo futuro, TUTTI i siti Web dovranno mostrare con orgoglio il simbolo HTTPS.
La prova: non accontentandosi di favorire le piattaforme HTTPS dal 2014 (si veda l’annuncio fatto al riguardo), Google intende evidenziare gradualmente, su Chrome, i siti non sicuri! In altre parole, un sito viene segnalato agli utenti di Internet come non sicuro. Ciò influisce negativamente sulla fiducia dei visitatori.
Questi sono due buoni motivi per passare all’HTTPS. Soffermiamoci un attimo sul secondo: l’impatto sul posizionamento naturale.
Qual è l’impatto dell’HTTPS sulla SEO?
Iniziamo esaminando la cronologia degli eventi:
- Nel 2014 Google ha annunciato di favorire i siti che hanno attivato il protocollo HTTPS attraverso il suo algoritmo di ranking. Il miglioramento del posizionamento è molto lieve.
- Nel 2015, Google ha indicato che l’HTTPS funge da arbitro in caso di confronto tra due siti simili in risposta a una richiesta. Se due siti sono quasi identici in tutto (parole-chiave funzionanti, attualità dei contenuti, velocità di visualizzazione, ecc.), l’algoritmo predilige di default quello più sicuro.
- Oggi, il 40% dei risultati che compaiono sulla prima pagina di Google sono in HTTPS (fonte). La spinta è più evidente, ma questo non spiega tutto: questi siti nella pagina 1 delle SERP sono anche quelli che applicano altre buone pratiche SEO, oltre alla sicurezza.
Insomma, finora, il passaggio all’HTTPS non ha rappresentato un importante trampolino di lancio in termini di SEO. Ciò non significa che i vantaggi non siano interessanti, poiché l’ottenimento di un buon certificato SSL ha impatti indiretti sul posizionamento naturale. In particolare,
- influenza la scelta degli utenti di Internet. È probabile che gli utenti scelgano un sito in HTTPS piuttosto che un altro in HTTP, soprattutto se intendono effettuare un acquisto. Più siti sono contrassegnati come non sicuri, più importante diventerà per i siti dei venditori mostrare la loro sicurezza HTTPS forte e chiara.
- agisce sul Google Ranking. Immagina: un utente clicca su un link nella SERP, si accorge che il sito non è sicuro e torna a selezionarne un altro. Google interpreta questo ritorno indietro come un segno di insoddisfazione: ciò influenzerà il posizionamento del sito in questione.
Detto questo, non è impossibile che la spinta di Google verso siti sicuri sarà più evidente in futuro.
È NECESSARIO PASSARE ALL’HTTPS PER MOTIVI SEO?
Concretamente, la risposta è no. Migrare il tuo sito all’HTTPS sperando in un puro guadagno SEO non è ragionevole. La spinta è così debole che avresti bisogno di un’enorme lente d’ingrandimento per vederne la differenza. Tuttavia, una cosa deve essere chiara: anche se l’effetto HTTPS esiste, rimane molto, molto limitato rispetto a criteri più determinanti, rappresentati dai contenuti, dal posizionamento tecnico e dai backlink. L’SSL, quindi, non è chiaramente un modo per potenziare le tue pagine in modo che salgano nelle SERP.
Ma ci sono molte altre ragioni per farlo, come abbiamo visto sopra. Sia per proteggere gli scambi con gli utenti di Internet che per migliorare l’immagine del marchio. Ciò riguarda principalmente i siti commerciali, ma non solo.
In futuro, i browser invieranno avvisi di sicurezza agli utenti Internet i cui dati sono trapelati a causa di una violazione della sicurezza su un sito HTTP. Immagina per un momento cosa penserebbero i visitatori del tuo sito Web, se ciò riguardasse il tuo sito.
Come migrare il tuo sito da HTTP a HTTPS?
Tieni presente che una transizione dal protocollo HTTP al protocollo HTTPS è simile a una migrazione del sito. Concretamente, ecco come fare:
- 1. Acquista (o richiedi) un certificato SSL e installalo sul tuo sito Web.
- 2. Modifica i tuoi URL interni in modo che tutte le tue risorse siano servite in HTTPS.
- 3. Imposta i reindirizzamenti 301 da URL HTTP a URL HTTPS. Questo permette di mantenere la SEO (popolarità e traffico) delle tue pagine durante tutta la migrazione. Soprattutto, prova gli URL!
- 4. Assicurati che i tuoi URL canonici puntino alle tue pagine HTTPS. In questo modo, avrai meno preoccupazioni per gli URL duplicati.
- 5. Verifica che le tue pagine HTTPS siano indicizzabili.
- 6. Attiva il meccanismo HSTS (HTTP Strict Transport Security) per informare il cliente che le interazioni saranno ora effettuate tramite connessione sicura.
Una volta che la migrazione all’HTTPS è effettiva, pensa ai controlli finali:
- Esegui una scansione per assicurarti che non ci siano errori.
- Crea una nuova Search Console e tieni traccia dell’indicizzazione delle pagine in HTTPS, confrontandola con la vecchia versione.
- Controlla e correggi gli URL dei link che puntano al tuo sito, in modo che siano tutti in HTTPS.
- Aggiorna i plugin esterni del tuo CMS per assicurarti che siano compatibili con il nuovo protocollo.
- Modifica le tue impostazioni in Google Analytics in modo che la piattaforma tenga conto delle pagine in HTTPS, in particolare per seguire l’evoluzione del traffico.
- Ottieni le tue indicazioni sulle interazioni sociali (condivisioni e like) seguendo queste istruzioni.
- Misura i tempi di caricamento delle tue pagine in HTTPS. La migrazione può essere accompagnata da un rallentamento generale, dovuto alle ulteriori trattative tra server e client.
In caso di problemi, le prestazioni del tuo sito possono essere migliorate grazie al protocollo HTTP/2, una volta completata la migrazione all’HTTPS.
Quale tipo di certificato SSL scegliere?
Sorge la domanda su quale certificato scegliere per passare all’HTTPS e proteggere le connessioni. La risposta dipende dalla natura del tuo sito e dalle tue esigenze di sicurezza… Per un sito medio in cui non vengono scambiati dati personali, un certificato SSL gratuito è più che sufficiente (tipo Let’s Encrypt). Non è necessario niente altro.
Per un sito Web aziendale, è meglio optare per un certificato Domain Validated (DV) oppure Organization Validated (OV). Questi certificati costano da poche decine di euro a poche centinaia di euro all’anno. La differenza tra i due sta nell’autenticazione: il DV non identifica il richiedente del certificato, a differenza dell’OV che, quindi, è un po’ più sicuro. Tuttavia, su questo punto, devi metterti nei panni dell’utente Internet: farà clic sul tuo certificato per verificare il campo di autenticazione? Hai davvero bisogno di questa protezione extra?
Per un sito di e-commerce le cose sono diverse: devi garantire la sicurezza dei tuoi clienti durante tutto il percorso di acquisto. In questo caso è essenziale il certificato di Extended Validation (EV). Con questo certificato appare una barra verde nel browser, che consente agli utenti di Internet di sapere immediatamente che stanno navigando su un sito con una protezione ottimale. Questo migliora l’immagine del tuo marchio.
I certificati multidominio si applicano ai siti che devono certificare più nomi di dominio.
In conclusione
La migrazione del tuo sito Web all’HTTPS non è una necessità assoluta, ma una misura di comfort e fiducia. L’installazione di un certificato SSL sul tuo server non migliorerà la tua SEO né trasformerà il tuo sito Web in una fortezza inviolabile (SSL crittografa la connessione senza proteggere il server o il browser in quanto tale). Ma questo consentirà ai tuoi visitatori di sentirsi al sicuro quando ti affidano i dati personali, che si tratti di credenziali di accesso o coordinate bancarie. Nota che il 40% dei siti nella prima pagina di Google sono in HTTPS.
Un consiglio: qualunque sia la soluzione scelta, il certificato desiderato e l’Autorità di Certificazione selezionata, non intraprendere la migrazione senza una preventiva riflessione. Soprattutto, prenditi il tuo tempo!