Un lucchetto verde appare a fianco dell’indirizzo web del tuo sito web. Il certificato SSL rende possibile questa nuova funzione, ed è stato installato per questi motivi: proteggere i dati e il lettore. Incuriosito? In questo post ti spiego cos’è l’HTTPS e perché dovresti adottarlo sul tuo sito.
Prima però ti do qualche informazione in più. Ad esempio, perché ti parlo di SSL e di HTTPS? Il motivo è semplice: qualcosa è cambiato. Google Chrome, dal gennaio 2017 ha iniziato a segnalare come non sicuri alcuni siti web che non hanno il certificato SSL e che non utilizzano il protocollo HTTPS.
Determinati siti senza certificato potrebbero avere delle percussioni nel posizionamento. E l’esperienza utente verrebbe minata profondamente, soprattutto su quei domini dove si svolgono acquisti e prenotazioni. Con l’avviso di Chrome le persone potrebbero non visitare più l’indirizzo.
Questa però è solo la punta dell’iceberg, la storia parte da lontano e ci sono diversi aspetti da considerare. La sicurezza è una priorità assoluta per Google. Ma lo è per chiunque operi in rete, a tutti i livelli. Sia per le aziende che investono nella presenza sul web sia per i visitatori che vogliono affidare in mani sicure i loro dati. Allora, approfondiamo insieme l’argomento?
Cos’è e a cosa serve l’HTTPS
Faccio un passo indietro. Cos’è l’HTTPS? Definizioni tecniche a parte, è una risposta concreta ed efficace alla richiesta di sicurezza degli utenti che navigano il web. Crittografare il contenuto del sito consente di proteggere le informazioni e i dati delle persone. Prendo come fonte Google:
HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito.
Con il certificato SSL i dati scambiati con il sito vengono criptati e protetti dalle intercettazioni. Cosa significa? Vuol dire che nessuno può tenere traccia delle attività svolte sulle pagine o rubare le informazioni. Ecco a cosa serve il certificato SSL sul tuo dominio: a preservare gli utenti.
Il certificato SSL è indispensabile?
Ci sono casi in cui il certificato SSL è fondamentale. Un’azienda che vende online i suoi prodotti e servizi non può accettare che i clienti inseriscano i dati in un sito non sicuro. Così come un’agenzia di noleggio con conducente di auto di lusso non può chiedere al pubblico di aggiungere informazioni per una prenotazione in un modulo che potrebbe avere dei problemi.
La mia azienda non ha un e-commerce (almeno per ora) ma possiede un modulo di richiesta per un ebook gratuito. Come altri siti, il form di contatto è un elemento necessario per ottenere delle conversioni. Per questo voglio dare al potenziale cliente tutte le sicurezze. Il certificato SSL è stata una scelta allineata con gli obiettivi: dare la migliore esperienza possibile. Ricapitolando, ecco alcuni esempi di siti che non possono assolutamente fare a meno dell’HTTPS:
- E-commerce e portali di commercio elettronico.
- Progetti che prevedono la registrazione in un’area riservata.
- Siti che hanno modulo di contatto avanzato e di prenotazione.
SEO e HTTPS: serve veramente?
Uno degli aspetti più importanti per chi vuole l’HTTPS è il vantaggio sui motori di ricerca. Il certificato SSL, infatti, può essere un elemento dell’ottimizzazione SEO. La notizia è stata data da Google qualche tempo fa e segue quella che è una delle battaglie di Mountain View: garantire un web sicuro.
HTTPS Everywhere, ecco è la parola d’ordine. Questo vantaggio nella serp non riguarda tutti i siti ma solo quelli che richiedono dati sensibili. Per esempio password d’accesso e numeri di carta di credito. Quindi il certificato SSL può dare una spinta in termini SEO per i siti che hanno bisogno di sicurezza.
Molti vedono questo passaggio come un’imposizione, una forzatura. D’altro canto il comportamento di Google è lineare: deve fornire il miglior risultato possibile, di conseguenza questo aspetto può essere compreso nei fattori che influenzano il posizionamento. Non ha senso consigliare risultati che mettono in pericolo il pubblico, non è questo l’obiettivo ultimo di Mountain View.
Il certificato SSL su Chrome
Per completare l’opera c’è la politica di Chrome che con la nuova versione bolla come non sicuri i siti web che, secondo il suo giudizio, dovrebbero avere l’HTTPS. L’esperienza utente viene segnata: tu navigheresti su un dominio del genere? E inseriresti il numero della carta di credito?
L’etichetta Non Sicuro su Chrome.
Il browser di Google avverte l’utente sulla pericolosità di visitare un sito web in HTTP. Anzi, per la precisione il problema si trova nella comunicazione dei dati come password e numeri di carte di credito. Perché la connessione non è cifrata, non c’è alcun protocollo a vigilare sulla sicurezza. Devi implementare l’HTTPS sul sito web perché ce lo dice Google? No, perché è utile per i lettori.
Esiste un certificato SSL gratis?
Questo è uno dei passaggi essenziali: esiste un certificato SSL gratuito, magari a basso costo ed economico? In realtà, come vedrai tra poco, ci sono diversi servizi per implementare l’HTTP, ma se vuoi qualcosa di gratuito, a costo zero, puoi usare Let’s Encrypt.
Questo progetto permette a tutti di applicare una protezione senza spese. Conviene? Molti provider lo forniscono in automatico, è comunque una buona protezione. Ma se lavori con un e-commerce e hai in mano i dati dei tuoi clienti ti consiglio di investire una cifra adeguata alle tue necessità.
Come ottenere il certificato SSL
Ti ho convinto, vuoi aggiungere un certificato SSL sul tuo sito. Come ottenerlo? Molto semplice, devi rivolgerti al provider, il fornitore di servizi web, e acquistare la soluzione che preferisci. O meglio, quella che fa al caso tuo. Perché questo è il punto: non c’è un unico certificato, tutto dipende dal tipo di protezione che ti serve. Qualche esempio:
- RapidSSL.
- Thawte Web Server.
- RapidSSL Wildcard.
- True BusinessID with EV.
- Thawte Wildcard.
Questi modelli vanno dal più semplice ed economico al più sicuro e costoso. Nel momento in cui hai completato l’acquisto puoi abbinare il certificato al dominio e hai la protezione che ti serve. A questo punto, però, c’è un problema da risolvere: devi fare un redirect che punti sulla nuova versione del sito.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.iltuosito.com/$1 [R,L]
</IfModule>
Cioè devi passare da HTTP a HTTPS. In questo caso puoi agire sul file .htaccess e inserire questa stringa (prima ricorda di cambiare l’indirizzo del sito nelle impostazioni generali del blog) o sfruttare uno dei tanti plugin WordPress che ti consentono di gestire la migrazione. Qualche consiglio? In primo luogo usa questo tool (ssllabs.com/ssltest) per scoprire se funziona il protocollo SSL.
Risorse utili per implementare l’HTTPS
Come puoi ben immaginare, non è sempre facile passare da HTTP a HTTPS. Spesso i provider sono ben disposti nei confronti degli utenti e aiutano a svolgere le operazioni più complesse. Ma su progetti molto importanti, magari su siti web con molte pagine, conviene lavorare con un SEO e un bravo webmaster al proprio fianco. Senza dimenticare che ci sono diverse risorse da sfruttare.
Plugin WordPress
Quali sono i migliori plugin WordPress per gestire il passaggio da HTTP a HTTPS? Easy HTTPS Redirection è perfetto per passare gli indirizzi da una versione all’altra, mentre SSL Insecure Content Fixer ha un’utilità che puoi toccare con mano quando non tutto riesce alla perfezione. Questa estensione, infatti, consente di individuare i contenuti che portano ancora l’HTTP.
URL Canonical
Come mi comporto con le pagine canoniche che regolano i contenuti che hanno più URL? La risposta arriva da Mountain View: in questo caso Google preferisce le pagine HTTPS alle pagine HTTP equivalenti. Per risolvere i problemi relativi a questo passaggio conviene seguire le istruzioni che trovi nella guida ufficiale. Sempre in compagnia di un webmaster esperto.
Google Search Console
Se esegui la migrazione da HTTP a HTTPS, Google considera l’operazione uno spostamento del sito con modifiche agli URL. Ciò può influire sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina con una panoramica sullo spostamento di un sito.
Ancora un dettaglio: aggiungi la proprietà HTTPS a Search Console. Quest’ultima gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine cheadottano entrambi i protocolli, devi indicare una proprietà Search Console distinta.
Google Analytics
Se vuoi ricominciare la raccolta delle statistiche dal momento in cui passi all’HTTPS puoi verificare una nuova proprietà di Google Analytics, generare un codice di incorporamento differente e cancellare il vecchio dal sito (Google stesso sconsiglia di tenerne due).
Se invece vuoi tenere lo stesso codice e raccogliere le statistiche senza perdere le vecchie devi aggiornare l’URL nelle impostazioni proprietà – amministrazione > proprietà > impostazioni proprietà – e nelle impostazioni vista – amministrazione > sezione vista > impostazioni vista.
Perché non compare il lucchetto verde
Ho il mio protocollo SSL ma manca l’etichetta verde. Quando fai il passaggio qualcosa può andare storto. Il concetto è questo: devi evitare di incorrere in errori comuni durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere gli sbagli che trovi in questa lista.
- Certificati scaduti. Assicurati che il tuo certificato sia sempre aggiornato.
- Problemi di scansione. Non impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt.
- Problemi di indicizzazione. Consenti l’indicizzazione delle pagine da parte dei motori di ricerca.
- Elementi di sicurezza misti. Incorpora soltanto contenuti HTTPS nelle pagine HTTPS.
Ultimo punto, attenzione al nome del sito web. Verifica di avere registrato il certificato per il nome host corretto. Ad esempio, se acquisti il certificato per www.example.com e il tuo sito web è configurato per utilizzare example.com, riceverai un errore di corrispondenza del nome del certificato.
Ti piace quel protocollo che consente di attivare l’HTTPS e di inserire il nome dell’azienda in verde nel browser? Si tratta del certificato True BusinessID with EV, una realtà con un costo superiore ma con un riflesso decisivo sul brand. Pensa solo che le principali banche usano questa soluzione.
Certificato SSL: la tua esperienza
La presenza del certificato SSL incomincia a farsi notare sul web, non solo su e-commerce e portali ma anche sui blog. Google sta forzando la mano definendo “non sicuri” i siti che non adottano il protocollo HTTPS. Ma molto dipende dalla consapevolezza di chi crea, gestisce e cura i siti.
Questo impone una riflessione ulteriore sulle soluzioni che possono essere adottate per rendere il web più sicuro. Ora tocca a te. Mi interessa la tua opinione. Hai già adottato il certificato SSL sul tuo sito? Quali sono le ragioni che ti spingono a non farlo? Reputi eccessiva l’implementazione dell’HTTPS sui siti vetrina? Lasciami la tua opinione nei commenti.