HTTPS: l’obbligo si allarga a tutti
Google definisce l’HTTPS (Hypertext Transfer Protocol Secure): ‘Un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito’.
Molti webmaster, negli ultimi mesi, hanno ricevuto un’e-mail nella Search Console con un avviso molto importante: “In alcune aree del tuo sito/blog (con indicate relativa) c’è un problema di sicurezza”.
Da gennaio 2017 Google ha aggiornato i propri algoritmi e si pensa che stia notevolmente favorendo il posizionamento dei siti che utilizzano il protocollo HTTPS.
Tale protocollo risulta essere un elemento che influisce sul punteggio di qualità di un sito e sul suo ranking… anche se non è ancora totalmente dimostrabile.
Per ora Chrome dà un’indicazione neutra per i siti senza HTTPS, una semplice icona al fianco dell’indirizzo e un simbolo che riproduce il lucchetto verde con la scritta ‘Sicuro’ per chi rispetta queste norme.
Google avvisa che dall’ottobre 2017 la nuova versione di Chrome (la numero 62) indicherà agli utenti del web i siti che non sono ancora passati all’HTTPS con un’etichetta in alto a sinistra ‘Non sicuro’. Decisione plausibile dopo quella che favorisce i siti veloci.
Questa indicazione porterà inevitabilmente danni di immagine, di permanenza sul sito e, conseguentemente per i siti di e-commerce, di vendita.
Chi, infatti, si fiderà a comprare su un sito e-commerce con un avviso simile in bella mostra?
L’obiettivo di Google è quello di dare il miglior risultato possibile, non solo per i contenuti ma anche per la customer experience.
Una differenza netta tra chi usa e chi evita questa soluzione.
1° ➪ l’HTTPS diventa un fattore di posizionamento; è uno step per definire la linea soprattutto per i siti web che chiedono dati sensibili, come ad esempio il numero della carta di credito e password.
2°➪ Chrome mostra l’etichetta ‘non sicuro’ all’utente che si appresta a visionare una pagina che tratta dati sensibili di un sito senza la sicurezza dell’HTTPS.
La possibilità di rendere la navigazione sicura è un presupposto interessante per gli utenti e lettori del nostro sito. Un contenuto di qualità è anche un contenuto capace di rispondere a diverse esigenze tra cui anche quella di una navigazione sicura.
Sei d’accordo?
Tutti i siti hanno bisogno dell’HTTPS?
Diciamo di No, in linea di massima solo quelli che chiedono dati sensibili per procedere con registrazione, acquisto, download. Ad es. su un sito e-commerce occorre lasciare alcuni dati che se rintracciabili facilmente possono arrecare danni all’acquirente; con una connessione HTTPS si ha una sicurezza in più che può incidere sui processi decisionali del singolo utente.
Se ti occupi del tuo blog personale nel quale, ad esempio, racconti le tue esperienze di viaggio, non è necessario avere un certificato SSL/TLS perché non richiedi dati ai tuoi lettori.
Quando però diventerà una routine vedere i siti internet con la dicitura ‘Sicuro’, molto probabilmente anche un semplice blog senza l’HTTPS verrà visto dagli utenti come una ‘minaccia’ ai propri dati e quindi abbandonato immediatamente.
Google dà indicazioni chiare all’utente e lo avvisa: su questo sito non si usano certificati digitali validi per la trasmissione di informazioni.
Come ottenere il protocollo HTTPS
Non si può più rimandare, il tuo sito web ha bisogno dell’HTTPS. Come ottenere questa certificazione?
Molti provider hanno iniziato a fornirli gratuitamente, includendoli all’interno del costo del piano hosting.
Certificato SSL gratuito
I certificati gratuiti sono i Let’s Encrypt, forniti da un CA (Certificate Authority) no-profit.
Sono stati esplicitamente creati per la protezione di siti che non necessitano di un Certificato SSL (es. un blog) o per chi non può permettersi il costo annuale di una certificazione a pagamento, ma non sono considerati ottimali per portali di e-commerce o che custodiscono dati sensibili e hanno a che fare con transazioni di denaro (esempio le banche).
Let’s Encrypt, infatti, non è in grado di fornire una protezione completa cifrando le comunicazioni.
Se invece il vostro portale è un semplice blog o una vetrina che serve più che altro per la pubblicazione di articoli, un Let’s Encrypt andrà più che bene.
Certificato SSL a pagamento o ‘Commercial certificate’
Questi certificati sono di gran lunga i più raccomandati, perché efficaci, per e-commerce, banche, sanità, social media, piattaforme, ecc.
Forniscono una Organization & Extended Validation; ciò significa che l’effettiva proprietà del dominio e dell’attività che viene promossa attraverso il vostro sito, viene verificata sempre, o tramite email o addirittura attraverso una chiamata (Green Bar).
Chi li fornisce sono le CAs, ovvero established Certificate Authority, che hanno alle loro spalle anni di esperienza con centinaia clienti e una solida reputazione.
Quindi, qual è la differenza principale per cui conviene affidarsi ad un Certificato SSL a pagamento piuttosto che ad un certificato gratuito?
Tutelare e proteggere il proprio sito da qualsiasi tentativo di truffa, iniezione di malware o di dati inesatti e falsi all’interno del vostro sito e appropriazione di informazioni private degli utenti.
Meglio investire qualcosa per la sicurezza e, di conseguenza, per la reputazione del nostro sito che trovarsi a rimpiangere di non aver acquistato il certificato idoneo al momento giusto.
Come si attiverà per il passaggio al protocollo HTTPS?
Servono alcuni passaggi tecnici, che spesso vengono sottovalutati, a volte eseguiti parzialmente o in un ordine non corretto.
- E’ fondamentale acquistare il certificato di sicurezza da enti autorizzati, da associare al proprio dominio.
- Tale certificazione va installata sul server sul quale risiede il dominio e quindi il sito da proteggere.
- Quando si cambierà il protocollo da HTTP a HTTPS è fondamentale configurare correttamente i redirect di tutte le pagine del sito web.
- Bisognerà fare test e verificare il corretto funzionamento delle nuove URL.
- Andrà creata e sottoposta a Google una sitemap aggiornata, in modo tale che i motori di ricerca vengano a conoscenza delle nuove URL.
Se vogliamo differenziarci, rendere il nostro sito impossibile da attaccare e comunicare ai nostri utenti che possono navigare ed effettuare operazioni in tranquillità sul nostro sito, un certificato SSL EV è la soluzione.
