« Torna alle news
Novembre 2017

Siti più sicuri con HTTPS, se non ora quando?

di Sergio Sfondrini

Condividi su Linkedin Condividi su Facebook Condividi su Google+ Condividi su Twitter

In una logica di Inbound Marketing il passaggio da HTTP a HTTPS per le proprie pagine web non può essere più rimandato. Mostrando attenzione verso la sicurezza degli utenti si fa salire di un gradino la User Experience e, da non sottovalutare, ne beneficia anche il posizionamento organico nelle ricerche su Google.

Quando ci colleghiamo a un sito, i dati che arrivano sul nostro computer e formano i contenuti delle pagine web che visitiamo fanno un viaggio su Internet in cui si possono fare brutti incontri. Infatti durante questo percorso i dati sono esposti a tre tipi di pericoli: danneggiarsi, venire modificati, essere intercettati. Come utenti possiamo quindi andare incontro a truffe e furti, ad esempio se i dati intercettati sono quelli della nostra carta di credito, come aziende la conseguenza può essere una perdita economica e un danno di immagine se i clienti scoprissero ad esempio che i loro dati sono stati sottratti e la loro privacy violata.

HTTP vs HTTPS

Per ovviare a questi rischi il protocollo (sono le regole secondo le quali i computer connessi nella rete si scambiano i dati) HTTP è stato affiancato da quello HTTPS (Hypertext Transfer Protocol Secure). HTTPS, da poco evoluto dalla versione SSL a quella TLS (Transport Layer Security) è un protocollo di comunicazione attraverso il quale i dati che viaggiano sulla rete vengono protetti nella loro integrità e dall'essere intercettati. In particolare i tre livelli di protezione sono:

  • Autenticazione: prova che si è collegati con il sito previsto
  • Crittografia: i dati sono protetti dalle intercettazioni poiché viaggiano criptati
  • Integrità: qualsiasi modifica nel corso del viaggio ai dati, intenzionale o meno, viene rilevata

Il tema della sicurezza online è vecchio tanto quanto Internet e HTTPS non è certo una novità. I siti più attenti alla qualità del proprio servizio, pochi però, lo utilizzano da almeno due decenni. Il fattore di novità di questi ultimi tempi, assieme alla diffusione capillare dell'uso della rete e dei flussi finanziari che si muovono attraverso di essa, è l'incremento del pericolo di cadere nelle grinfie di qualche malintenzionato e quindi la necessità di contromisure.

Google e la sicurezza

In questa situazione di carenza, reale e percepita, di sicurezza del traffico dati ha origine nel 2014 l'intervento di Google per spingere verso un maggior uso del protocollo HTTPS (meglio se con supporto HSTS). Mentre infatti prima erano solo i siti attraverso i quali venivano trasmessi dati sensibili, ad esempio compilando un modulo di acquisto, ad essere consigliati all'utilizzo di HTTPS, Google spinge da allora con forza crescente tutti i siti a fare questa scelta. Il metodo individuato, a cui è stata data ampia pubblicità nell'ultimo anno, è quello di far sapere che i siti HTTPS sono avvantaggiati nella posizione di ricerca organica rispetto a quelli che non ce l'hanno. Poiché il posizionamento in prima pagina è un fattore critico di successo per molte aziende in tutto il mondo e i risultati si giocano su una pluralità incerta e dinamica di fattori (il famoso algoritmo), le aziende avvedute non possono oggi rinviare di trasformare il proprio sito in HTTPS. Inoltre, e questo si verifica dal 2017, nel momento in cui si inviano dei dati attraverso un modulo HTTP di fianco all'indirizzo della pagina compare su Chrome la scritta “non sicuro”, un antipatico deterrente al completamento della conversione.

Il passaggio a HTTPS è semplice, ma non va improvvisato

Dal punto di vista tecnico il passaggio a HTTPS consiste in un'attività semplice, si tratta di acquistare da un'autorità di certificazione un certificato TLS scegliendo almeno una chiave a 2048 bit, ce ne sono anche di gratuiti (OpenSSL), e di installarlo sul proprio server. Da quel momento le connessioni saranno HTTPS, il visitatore non deve fare nulla, di tutto di occupa il suo browser e l'unica differenza visibile è la comparsa di un lucchetto chiuso di fianco all'indirizzo della pagina web visualizzata.

Da tenere presente che per Google le pagine raggiungibili in HTTPS sono considerate diverse dalle stesse pagine con la stessa URL ma HTTP e che quindi è necessario mettere in atto le tecniche necessarie per reindicizzare le nuove pagine avvisando Google di trasferire il posizionamento delle vecchie pagine con reindirizzamenti 301 lato server. Dopo la trasformazione in HTTPS ci si può quindi aspettare un'oscillazione temporanea del posizionamento con un assestarsi in prospettiva verso risultati migliori.

Condividi su Linkedin Condividi su Facebook Condividi su Google+ Condividi su Twitter