Guida al protocollo HTTPS: cos’è e che vantaggi dà alla SEO

Provaci
Mettici alla prova
Analizza il tuo sito
Seleziona la lingua del database:

A metà luglio 2023, più dell’83% di tutti i siti al mondo utilizza di default il protocollo HTTPS e, più precisamente, i dati di W3Techs rivelano che quasi il 97% dei primi 1000 siti al mondo per ranking hanno adottato il protocollo HTTPS. Ciò significa, da un lato, che resta comunque una parte di siti che continua a utilizzare il vecchio sistema HTTP, ma soprattutto che ormai il nuovo protocollo è una parte integrante e rilevante del Web, in linea con gli obiettivi di garantire una navigazione più protetta per gli utenti su siti che adottano le risorse più recenti in fatto di sicurezza nella trasmissione dei dati e delle informazioni. Facciamo quindi un focus sul protocollo HTTPS, su come funziona, sui motivi che potrebbero convincere un sito a utilizzarlo, ma anche su come pianificare una migrazione da HTTP a HTTPS e su alcune delle domande più comuni su questo argomento, grazie anche ai consigli e alle best practices di Google.

Che cos’è HTTPS e cosa significa il protocollo

Il protocollo HTTPS è un sistema di comunicazione più sicura tra sito e utente, grazie all’utilizzo del certificato SSL che cripta i dati trasmessi in entrata e in uscita. Più precisamente, HTTPS è l’acronimo di Hyper Text Transfer Protocol Secure, e quindi un protocollo di comunicazione che permette la trasmissione sicura di dati su Internet, che protegge l’integrità e la riservatezza dei dati tra il computer dell’utente e il sito. Ciò è reso possibile dall’utilizzo del protocollo SSL (Secure Sockets Layer) o del suo successore TLS (Transport Layer Security), che servono appunto a criptare i dati e garantire una connessione sicura.

Grazie alle sue caratteristiche innovative rispetto al precedente protocollo HTTP, è diventato uno standard per garantire maggiore sicurezza e privacy per gli utenti, in particolare quando si inseriscono informazioni sensibili, come credenziali di accesso e dati bancari. Più specificamente, HTTPS – come suggerisce il nome — aggiunge un livello di sicurezza al tradizionale HTTP, garantendo che i dati trasmessi siano criptati e quindi inaccessibili a terzi.

Definizione di HTTPS secondo Google

Come ha spiegato ad esempio John Mueller, Search Relations Lead di Google in uno degli appuntamenti con la serie Search Central Lightning Talk su YouTube, la definizione di HTTPS è “protocollo che identifica una connessione sicura tra un sito e i suoi utenti, proteggendo il sito da attività indesiderate”.

Sul versante della sicurezza, infatti, HTTPS assicura tre cose in particolare:

  1. L’autenticazione. Il certificato SSL (Secure Sockets Layer) o TLS (Transport Layer Security) utilizzato nel protocollo https permette la verifica dell’identità del sito, garantendo a sua volta, che gli utenti siano connessi a un sito legittimo. Questo è un modo per dare la certezza agli utenti di interagire con il sito web desiderato e non un intermediario.
  2. L’integrità dei dati. La crittografia utilizzata nel protocollo stabilisce una connessione sicura, che impedisce la modifica ela manomissione dei dati trasmessi, garantendo l’integrità delle informazioni scambiate tra gli utenti e il sito web e consentendo agli utenti di vedere il contenuto come previsto.
  3. La crittografia. Le informazioni scambiate tra il client e il server vengono criptate, e questo è una garanzia sul fatto che le informazioni scambiate tra un sito Web e i suoi utenti saranno mantenute al sicuro e sulla sicurezza della comunicazione dei dati e della protezione dall’intercettazione da parte di terzi.

I 3 motivi per usare HTTPS

Si tratta di tre pilastri fondamentali per un web moderno, sicuro e affidabile, perché “i tuoi utenti dovrebbero sentirsi al sicuro sul tuo sito, proprio come si sentono quando visitano la tua azienda di persona”.

Cosa significa HTTPS e perché usarlo sul sito

Dal punto di vista letterale, come detto, il termine HTTPS significa Hypertext Transfer Protocol Secure e fa riferimento specifico al protocollo di comunicazione ipertestuale sicura, reso possibile grazie alla creazione di una connessione criptata tra l’utente e il sito web che utilizza la crittografia SSL/TLS (Transport Layer Security).

Si tratta di un’evoluzione rispetto al precedente protocollo standard HTTP (Hypertext Transfer Protocol), che possiamo descrivere come l’insieme di regole utilizzate dai browser per determinare il modo esatto di leggere e trasferire i dati sul Web. Grazie alla crittografia, il nuovo sistema maschera i dati e riduce la possibilità che le informazioni dell’utente possano essere visualizzate o manipolate, un’azione importante soprattutto quando un sito web richiede l’inserimento di dati sensibili come i dati personali o le informazioni finanziarie.

Certificato e sicurezza dei siti, i chiarimenti necessari

Ad ogni modo, è bene chiarire ancora alcuni aspetti su quello che significa davvero sicurezza rispetto al tema HTTPS: a essere sicura è la connessione tra gli utenti e il sito, come detto, e quindi non la navigazione nel suo complesso né il sito stesso. Volendo estremizzare, anche una pagina phishing potrebbe possedere un certificato SSL, ma questo non significa che si tratti di un sito sicuro (e infatti anche l’FBI ha allertato spesso su questo tema): a prescindere dai lucchetti e dalle indicazioni dei browser, dunque, è sempre bene tenere gli occhi aperti quando si tratta di inserimento di dati sensibili sul Web.

A cosa serve il nuovo certificato

Usando il nuovo sistema, le informazioni inserite nel corso della navigazione sono indecifrabili per eventuali terze parti malintenzionate, e in definitiva l’utente può completare le operazioni con maggiore serenità. Per questo motivo, l’adozione del protocollo è stata consigliata innanzitutto a siti web che eseguono transazioni economiche o contengono moduli per l’inserimento di dati personali, ma si è poi estesa a tutti i siti online, compresi i blog e portali editoriali che non prevedono trasmissione di dati sensibili. Più nello specifico, HTTPS protegge l’integrità del sito web, impedendo attacchi “man-in-the-middle” e garantendo che nessuno possa alterare o corrompere il contenuto del sito durante il trasferimento dei dati; questo nuovo protocollo protegge la privacy e la sicurezza degli utenti, assicurando che le informazioni sensibili, come password o dati di carte di credito, siano trasmesse in modo sicuro.

HTTP e HTTPS: le principali differenze tra i protocolli

HTTPS è emerso come una versione più sicura ed efficace della generazione precedente di protocollo di trasmissione di dati tra un browser e un server attraverso la Rete, ovvero HTTP, aggiungendo uno strato di sicurezza attraverso la crittografia SSL/TLS.

Una delle differenze principali tra HTTPS e HTTP è proprio la sicurezza nella trasmissione dei dati: nel caso del protocollo HTTP, i dati trasmessi tra il client e il server sono in chiaro, il che significa che potrebbero essere intercettati o manipolati da malintenzionati; al contrario, HTTPS protegge le informazioni scambiate, utilizzando appunto il crittogramma SSL/TLS che rende i dati illeggibili e quindi inutilizzabili da parte di terzi. Sempre a proposito della sicurezza, HTTP utilizza la porta 80 per la comunicazione di dati, mentre HTTPS utilizza la porta 443, ritenuta più sicura e affidabile.

Inoltre, HTTPS fornisce un meccanismo di autenticazione grazie all’uso dei certificati SSL/TLS, che permettono agli utenti di verificare l’identità del sito web al quale stanno accedendo, garantendo, in tal modo, che si tratti di un sito legittimo e non di una copia fraudolenta. Al contrario, HTTP non dispone di tale sistema di autenticazione, rendendo difficile per gli utenti capire se un sito web è genuino o fittizio.

Un altro aspetto importante delle differenze tra HTTP e HTTPS riguarda l’integrità dei dati: con HTTP, i dati trasmessi potrebbero essere alterati da agenti esterni malintenzionati durante il transito tra il client e il server. Questo rischio è sostanzialmente eliminato con HTTPS, poiché la crittografia impedisce la modifica dei dati, garantendo che le informazioni che si scambiano non vengano compromesse.

In sintesi, il passaggio da HTTP a HTTPS ha rappresentato un’evoluzione fondamentale nella sicurezza delle comunicazioni online. Grazie alla crittografia dei dati, all’autenticazione offerta dai certificati e all’integrità delle informazioni fornite dal protocollo HTTPS, gli utenti possono navigare Internet con maggiore sicurezza e privacy. Allo stesso tempo, le organizzazioni possono offrire un ambiente online più affidabile, proteggendo la loro reputazione e i dati sensibili dei loro clienti.

Segnalazione sito HTTP su Google Chrome

La storia dei protocolli: da SSL a HTTPS

Andando ancora più indietro nel tempo, la storia di HTTPS – o, per meglio dire, la storia di un protocollo adottato universalmente per consentire le comunicazioni su Internet – ha radici negli anni ’90, e si articola in questi eventi più rilevanti:

  • 1989: Introduzione di HTTP

Il protocollo HTTP (Hypertext Transfer Protocol) è stato concepito nel 1989 da Tim Berners-Lee, l’ingegnere britannico che lavorava al CERN (l’Organizzazione europea per la ricerca nucleare), sviluppato insieme all’HTML (Hypertext Markup Language) come parte del progetto World Wide Web, che mirava a creare un sistema di documenti interconnessi e accessibili tramite Internet.

  • 1991: La prima versione di HTTP

La prima versione di HTTP, nota come HTTP/0.9, è stata documentata nel 1991 e limitata alla gestione e al recupero di documenti HTML.

  • 1994-1995: Introduzione di SSL

Nel 1994, il team di Netscape Communications Corporation, guidato da Taher Elgamal, sviluppa il primo protocollo SSL (Secure Sockets Layer) per garantire transazioni sicure tra il browser Netscape e i server Web. Nel 1995, Netscape pubblica SSL 2.0, che ha introdotto nuove funzionalità come il supporto per la crittografia a chiave pubblica e la generazione di session key, rendendo le comunicazioni ancora più sicure.

  • 1996: SSL 3.0 e HTTP/1.0

Nel 1996, sempre sotto la supervisione di Netscape, viene rilasciata la versione 3.0 del protocollo SSL che ha migliorato ulteriormente la crittografia e l’autenticazione rispetto alla versione 2.0. L’infrastruttura di SSL 3.0 è stata successivamente adottata come base per la creazione del protocollo TLS.

Sempre nello stesso anno, viene pubblicata come standard HTTP/1.0 (RFC 1945), che introduce nuove funzionalità e miglioramenti rispetto alla versione precedente. HTTP/1.1, rilasciato nel 1997 come RFC 2068 (poi aggiornato con la RFC 2616 nel 1999), è diventata la versione più comunemente utilizzata ed è ancora molto diffusa al giorno d’oggi, nonostante i miglioramenti apportati con l’introduzione di HTTP/2 nel 2015 e HTTP/3 nel 2020.

  • 1999: TLS 1.0

Nel 1999, l’IETF (Internet Engineering Task Force) ha pubblicato la specifica per il protocollo TLS (Transport Layer Security) 1.0. TLS doveva essere un aggiornamento del protocollo SSL 3.0 e offriva miglioramenti nella crittografia, nell’autenticazione e nell’integrità dei dati.

  • 2000: La nascita di HTTPS

Nel 2000, combinando il protocollo TLS con HTTP, il protocollo HTTPS viene introdotto come evoluzione di HTTP, fornendo sicurezza aggiuntiva con la poderosa crittografia basata su TLS. Da allora, HTTPS è progressivamente diventato uno standard per le comunicazioni sicure su Internet.

  • 2006-2008: TLS 1.1 e 1.2

L’IETF ha continuato a sviluppare il protocollo TLS negli anni successivi. Nel 2006, rilascia TLS 1.1, una versione migliorata con aggiornamenti di sicurezza rispetto alla precedente. TLS 1.2, la versione successiva, viene pubblicata nel 2008, includendo nuovi algoritmi di crittografia più sicuri e un processo di gestione delle chiavi più solido.

  • 2014: Google lancia “HTTPS Everywhere”

Nel 2014, Google ha incoraggiato gli sviluppatori web a passare a HTTPS incoraggiando l’adozione su scala globale. Google ha definito HTTPS come un fattore di ranking nei suoi risultati di ricerca, spingendo molti siti Web a optare per il protocollo sicuro.

  • 2018: TLS 1.3

Nell’agosto 2018, l’IETF ha rilasciato la versione più recente del protocollo TLS, ossia TLS 1.3, che offre ulteriori miglioramenti in termini di sicurezza e tempi di connessione ridotti.

Google e HTTPS, la spinta all’adozione

A spingere per la diffusione dei siti con certificazione HTTPS è quindi stato di sicuro Google, che ha da prima adottato un approccio soft – invitando i proprietari dei siti ad abbracciare il nuovo metodo – per poi spingere sull’acceleratore: già da tempo, nel browser Chrome le connessioni a siti con vecchio HTTP sono identificate come “non sicure”, con tanto di scritta nella barra dell’indirizzo, ma ancor più interessante è stato l’aspetto SEO della questione.

HTTPS come fattore di ranking per Google

L’utilizzo del certificato SSL è diventato infatti un fattore di ranking su Google, ovvero un elemento che viene valutato dagli algoritmi del motore di ricerca per determinare le classifiche relative alle query, ma ci sono anche altri vantaggi dell’uso di HTTPS rispetto al vecchio HTTP.

Cominciamo però con l’aspetto che probabilmente interessa di più: in effetti, è dal 2014 che HTTPS è un fattore di ranking certo per Google, che in un post ufficiale annunciava appunto che un sito Web crittografato con HTTPS avrebbe ottenuto da quel momento una spinta nelle classifiche di ricerca rispetto ai siti HTTP.

Il reale impatto di questo boost non è stato mai specificato, ovviamente, ma sin dagli inizi si è comunque rivelato quanto meno “leggero” – al massimo, HTTPS è stato un segnale tiebraker, ovvero in grado di la differenza nelle posizioni di ranking solo in caso di due pagine relativamente uguali. Come sappiamo, infatti, la pertinenza è e resta la chiave quando si tratta di ranking: se il contenuto più rilevante per una query si trova su un sito non HTTPS, è probabile che si classificherà prima dei siti crittografati ancora oggi, mentre se un sito offre un contenuto scadente, il mero utilizzo di HTTPS non lo porterà rapidamente alla prima pagina di Google.

Eppure, che Google avesse e abbia ancora un occhio di riguardo verso questo aspetto era evidente anche per l’avviso che, come detto, compare sul browser Chrome prima che gli utenti visitino siti Web non HTTPS, così come anche su altri browser famosi come Mozilla Firefox, dove in particolare a partire dalla versione 70 aggiornata a ottobre 2020 troviamo un’analoga icona accanto all’indirizzo del sito che non usa il protocollo HTTPS o ha problemi con il certificato.

Anteprima HTTP su Firefox
Questa attenzione però si può spiegare con il più ampio impegno di Google nel premiare i siti Web che offrono una buona esperienza utente, e una maggiore sicurezza è un modo per migliorare i siti per gli utenti. E quindi non sorprende più di tanto che proprio la presenza di un protocollo HTTPS attivo sia entrata a far parte dei fattori della Page Experience, l’aggiornamento algoritmico con cui Google ha voluto dare un giro di vite rispetto appunto alla gratificazione dell’esperienza dell’utente sulle pagine web, raggruppando un insieme di indicatori che misurano il modo in cui gli utenti interagiscono con una pagina web, al di là del suo valore puramente informativo, sia sui dispositivi mobili che sui computer desktop.

In definitiva, quindi, seppur lieve HTTPS è un fattore di ranking confermato su Google, e le linee guida del motore di ricerca consigliano vivamente di utilizzare HTTPS per il nostro sito, per proteggere la sicurezza e la privacy degli utenti; inoltre, se il sito ha una pagina con un indirizzo sia HTTP che HTTPS, Google preferisce indicizzare la versione HTTPS.

I vantaggi dell’Hypertext Transfer Protocol Secure

Essendo un elemento fondamentale del web moderno, HTTPS è anche un requisito di base richiesto dai browser moderni per abilitare determinate funzionalità, come ad esempio

  • Geolocalizzazione
  • Compilazione automatica per i moduli
  • Camera
  • Progressive App Web (PWA)
  • Notifiche push
  • Caching

Il protocollo viene mostrato direttamente anche nei browser moderni, o meglio – visto che dovrebbe essere attivo di default – viene segnalata come detto l’assenza di HTTPS (e quindi non è possibile nascondere se un sito adotta o meno il sistema).

Che cosa significa HTTPS

Quando gli utenti accedono a un sito web che non utilizza HTTPS in Chrome, per esempio, lo stesso verrà indicato come non sicuro nella barra del browser, con una scritta rossa che allerta il visitatore (mentre i siti con HTTPS sono etichettati come “protetti” con scritta in verde più rassicurante).

Tra gli altri possibili vantaggi, si stima che la connessione tramite HTTPS sia più veloce rispetto al collegamento al protocollo precedente, e questo può fare la differenza in termini di performance. Inoltre, tornando al tema della sicurezza, HTTPS impedisce agli intermediari di inserire contenuti nel sito Web all’insaputa del proprietario: senza HTTPS, un cattivo attore potrebbe iniettare annunci online, ad esempio, per trarre profitto da quel traffico web (ma, ribadiamo, non protegge il computer dell’utente o il server Web stesso da attacchi di hacker o malware).

Pertanto, anche se come ogni forma di sicurezza ha dei punti deboli e potrebbe non essere infallibile, HTTPS è innegabilmente migliore di HTTP sia in termini tecnici che dal punto di vista SEO e di presentazione all’utente.

Come passare al protocollo HTTPS

Ci sono quindi tante ragioni per adottare HTTPS, e il passaggio da HTTP ad HTTPS, seppur non troppo complicato, può essere comunque considerato una migrazione del sito, in quanto gli URL HTTPS sono diversi dalle loro controparti HTTP e quindi, per eseguire il trasferimento, è necessario reindirizzare tutti gli utenti con un redirect 301 lato server per tutti gli URL del sito.

In linea generale, per aggiungere HTTPS serve un certificato TLS/SSL: in alcuni casi, è lo stesso hosting web provider a mettere a disposizione il certificato (anche gratis, se incluso nel piano attuale), mentre in altre situazioni si potrebbe rendere necessario un acquisto, tramite l’hosting, autorità di certificazione, CDN come Cloudflare o società come Digicert, e poi un’installazione autonoma.

Potrebbe essere necessario rinnovare periodicamente i certificati SSL/TLS, ma soprattutto controllarli con attenzione, perché c’è la possibilità che qualcuno riesca a falsificare un certificato SSL/TLS: quando ciò avviene, viene chiaramente meno l’azione preventiva di HTTPS contro gli attacchi man-in-the-middle (MitM). Per evitare guai e situazioni spiacevoli, quindi, anche Google consiglia di esaminare i certificati rilasciati per il sito web che non riconosciamo e di limitare le autorità che possono rilasciare certificati per un dominio utilizzando i record di risorse CAA (Certification Authority Authorization).

Come verificare la validità del certificato SSL

È quindi importante ricordare che solo un certificato SSL valido – e in uso sulla totalità delle pagine del sito – permette di stabilire delle connessioni HTTPS criptate. L’assenza di crittografia o la presenza di errori rende tutti i dati inviati e ricevuti dal sito visibili, esposti e quindi potenzialmente manipolabili da terze parti.

Per verificare la validità del certificato SSL possiamo eseguire dei test manuali sulle pagine, e scoprire se il browser identifica correttamente il lucchetto, o usare alcuni appositi strumenti. Ad esempio, nel mese di settembre 2022 Google ha attivato un nuovo report in Search Console, chiamato semplicemente HTTPS report, che permette di controllare appunto quali pagine del nostro sito non sono pubblicate su HTTPS, ma anche il motivo per cui non vengono servite come HTTPS.

Come eseguire la migrazione delle pagine da HTTP ad HTTPS

Se possediamo o gestiamo un sito che ancora non ha adottato il nuovo protocollo e vogliamo procedere al trasferimento, possiamo seguire i consigli ufficiali di Google per ridurre i margini di errore.

John Mueller suddivide il processo di migrazione da HTTP ad HTTPS in sei passaggi:

  1. Configurare il sito HTTPS.
  2. Verificare la proprietà in Google Search Console.
  3. Testare ampiamente il sito HTTPS.
  4. Reindirizzare tutti gli URL HTTP agli URL HTTPS.
  5. Monitorare la migrazione in Google Search Console.
  6. Configurare HTTP Strict Transport Security (HSTS) – passaggio facoltativo.

I passaggi per completare correttamente la migrazione da HTTP ad HTTPS

Per prima cosa, quindi, bisogna configurare il sito HTTPS, chiedendo eventualmente il supporto del servizio di hosting e acquisendo l’apposito certificato HTTPS (in linea di massima, vanno bene tutti i certificati supportati dai moderni browser come Chrome, anche quelli gratuiti).

I passi esatti da seguire qui variano da sito web a sito web, spiega Mueller: “A volte si tratta solo di cambiare un’impostazione, altre volte c’è molto di più”.

In secondo luogo, serve verificare la proprietà nella Google Search Console, uno step cruciale per rintracciare eventuali problemi associati all’HTTPS versione 2. Si può anche scegliere di verificare anche l’intero dominio, per unire i dati HTTP e HTTPS nello stesso posto, badando a utilizzare le stesse impostazioni. In particolare, bisogna fare attenzione a rivedere le impostazioni per la rimozione degli URL di geotargeting, le impostazioni dei parametri URL, le impostazioni del crawl rate e il disavow file, aggiungendo gli eventuali co-proprietari nella Search Console.

Gli elementi da testare sul sito

Il lavoro prosegue con una importante e approfondita fase di test del sito, aprendo la prova anche ad alcuni utenti: “A volte ci sono delle stranezze che ci sono sfuggite, ed è meglio riconoscerle e sistemarle prima di passare alla versione HTTPS”, spiega Mueller.

Tra gli aspetti da verificare c’è innanzitutto la presenza eventuale di contenuti misti, ovvero quando una pagina su HTTPS include elementi da HTTP, che possono essere ad esempio immagini incorporate, annunci pubblicitari o script analitico.  Si tratta di un aspetto negativo per la sicurezza e i browser avvertono gli utenti quando riconoscono questo problema.

Dobbiamo controllare anche i link interni, per assicurarci che tutti i collegamenti del sito web puntino alla versione HTTPS: ci sono vari strumenti per controllare questo aspetto, ma si può anche solo cliccare sulla barra del browser e guardare l’URL che viene visualizzato.

Importante è anche analizzare i riferimenti nascosti – portando ad HTTPS elementi come rel=canonical, rel=alternate, hreflang= link, così come i dati strutturati – e controllare i file della sitemap, che aiutano Google a eseguire la scansione e l’indicizzazione in modo più efficiente.

Il lavoro per implementare un sito HTTPS

Completati i primi tre step, “il sito HTTPS è pronto, congratulazioni! È ora di cambiare tutto”, scherza Mueller, che invita a usare i redirect lato server per inoltrare tutte le richieste dalla versione HTTP alla nuova e corretta versione HTTPS.

È consigliabile fare un doppio check su tutti i vecchi URL per verificare che reindirizzino giustamente, facendo manualmente delle prove a campione su ogni parte del sito web o usando uno strumento automatico per tutti gli URL. Se abbiamo una sitemap, è un buon momento per inviarla, aggiunge il Search Relations Lead di Google, perché da questo momento in poi i motori di ricerca inizieranno a utilizzare i nostri URL HTTPS.

Si passa poi al monitorare la migrazione in Search Console: è preferibile controllare regolarmente la Search Console all’inizio, per individuare eventuali situazione prima che degeneri in problema. In particolare, dobbiamo controllate che i file della sitemap siano elaborati normalmente, che non compaiono errori di crawl inattesi, che il rapporto di copertura dell’indice mostri un aumento per il sito HTTPS e, non ultimo, che gli utenti stanno trovando il sito HTTPS in Search.

Che cos’è l’abilitazione HSTS

L’ultimo passaggio è facoltativo e permette di “passare al livello successivo”: dopo esserci assicurati che tutto funzioni come previsto, e aver atteso qualche mese per sistemare la migrazione, potrebbe essere utile considerare l’abilitazione di HSTS – HTTP Strict Transport Security – un sistema “per far sapere ai browser che non hanno più bisogno di controllare ulteriormente la versione HTTP del tuo sito”, perché “è un impegno a lungo termine da parte tua”.

Impostare HSTS è abbastanza facile: basta aggiungere un header alle risposte del server che dice ai browser che non hanno più bisogno di controllare la vecchia versione HTTP degli URL del vostro sito, anche quando un utente cerca di andarci direttamente. Inoltre, c’è ancora uno step che si può compiere, ovvero aggiungere il sito alla lista preload HSTS, un elenco condiviso di siti che si sono impegnati per HTTPS usata direttamente in Chrome: “un passo abbastanza grande, quindi è consigliato solo se sei assolutamente certo che tutto funzioni correttamente sul tuo sito HTTPS”.

Le domande più frequenti sul passaggio ad HTTPS

La migrazione ad HTTPS non è qualcosa che “un sito fa tutti i giorni”, quindi è naturale avere dubbi e farsi domande: prima di concludere il suo intervento, Mueller ha appunto raccolto alcune di queste FAQ e fornito le risposte e le best practices per completare le operazioni in maniera precisa e senza errori.

  • Per quanto tempo devo mantenere attivi i redirect?

I redirect dovrebbero rimanere attivi per sempre: non c’è alcun motivo per non reindirizzare da HTTP a HTTPS dopo una migrazione.

  • Posso spostare solo poche pagine?

Tecnicamente è possibile spostare solo poche pagine su HTTPS, come ad esempio solo quella del login utente. In pratica, Mueller dice che non serve molto lavoro in più da fare per spostare l’intero sito, che è ciò che dovrebbe essere fatto comunque.

  • Quale certificato HTTPS dovrei usare?

Qualsiasi certificato supportato da un browser Web moderno va bene e Mueller cita specificamente i certificati gratuiti dell’organizzazione no-profit Let’s Encrypt.

  • Quanto tempo richiede una migrazione?

Google ha molta esperienza con le migrazioni HTTPS, afferma Mueller, quindi di solito possono essere elaborate entro una settimana se tutti i passaggi sono corretti. Comunque, nella pratica la tempistica esatta non ha molta importanza, dato che gli utenti saranno comunque reindirizzati.

  • La migrazione danneggerà il posizionamento del mio sito?

“Di solito no”, dice Mueller, perché è sempre lo stesso sito, incluso nel Web allo stesso modo. Anzi, le classifiche potrebbero beneficiare del leggero aumento menzionato in precedenza.

  • Posso ripristinare lo status precedente, se necessario?

Tecnicamente sì, ma è una pratica non consigliata. Anziché tornare indietro, Mueller consiglia di risolvere eventuali problemi e andare avanti.

Quanti sono i siti HTTPS al mondo?

Nonostante i tanti vantaggi e l’effetto persuasivo del lucchetto, però, c’è ancora qualche freno alla completa espansione dei siti con protocollo HTTPS anche se, secondo il citato ultimo report di W3Techs aggiornato a giugno 2023, rappresentano al giorno d’oggi una quota vicina all’83% del totale dei siti censiti, con un tasso di crescita costante che però ancora non ha portato alla scomparsa dei siti basati sulla modalità non sicura.
grafico su siti https nel mondo

Se, infatti, è vero che al giorno d’oggi la maggior parte dei siti web popolari e di alto profilo ha già adottato HTTPS per garantire la sicurezza delle comunicazioni e proteggere i dati degli utenti, alcune pagine web e siti meno conosciuti potrebbero infatti non aver ancora effettuato il passaggio. Oltre a questo, molti siti governativi e istituzionali non sono ancora migrati all’utilizzo di HTTPS.

Secondo gli esperti, tra i motivi della mancata diffusione globale dell’HTTPS ci sono state storicamente questioni di natura tecnica, economica e pratica: adottare il certificato SSL aveva un costo che per molti siti è eccessivo, soprattutto per piccoli progetti che magari non trattano dati sensibili degli utenti; spesso, poi, HTTPS non funziona con i virtual hosts più economici e fa perdere la capacità di cache. Problemi comunque superabili anche con il progredire della tecnologia, e difatti oggi HTTPS è gratuito (a volte), facile e sempre più onnipresente.

Dettaglio sulla diffusione dei siti https

I siti importanti non ancora HTTPS

Ci sono però ancora moltissimi siti che fanno eccezione, domini anche rilevanti e importanti che non hanno ancora adottato lo standard HTTPS per le proprie pagine. È importante sottolineare che, dato il dinamismo del Web, la situazione potrebbe cambiare rapidamente e i siti menzionati potrebbero passare a HTTPS in qualsiasi momento.

Di questa “lista della vergogna” hanno fatto parte a lungo anche portali editoriali come FoxNews e BBC, siti di catene di hotel come Hilton e addirittura il portale istituzionale delle Nazioni Unite, e oggi il sito https://whynohttps.com/ censisce ancora “molti dei più grandi siti Web del mondo che continuano a fornire contenuti tramite connessioni non crittografate, mettendo a rischio gli utenti anche quando non sono coinvolti dati sensibili”.

Nell’elenco dei 100 migliori siti Web che non reindirizzano automaticamente le richieste non sicure a quelle sicure ci sono il 6 per cento dei 1.803 siti Web più grandi del mondo, e soprattutto domini quali baidu.com (il motore di ricerca nazionale cinese), myshopify.com, videolan.org (il sito da cui scaricare il noto player multimediale VLC), nginx (il web server open source) e openoffice.org (il sito ufficiale per scaricare il software gratuito del progetto Apache).

In Italia, nel passato, alcuni siti web di noti istituti finanziari e i portali istituzionali erano ancora utilizzabili in HTTP, ma negli ultimi anni la maggior parte ha adottato il protocollo HTTPS per garantire maggiore sicurezza; allo stesso modo, alcuni siti web locali o di nicchia potrebbero non aver ancora migrato all’adozione del protocollo più sicuro.

Guardando alla situazione nel nostro Paese, ad oggi risultano ancora su HTTP (con tanto di indicazione “sito non sicuro” nella barra degli indirizzi del browser) siti come kataweb.it (la vecchia home del network che fa riferimento a Gedi Digital), turismovenezia.it (portale dell’azienda di promozione turistica della Provincia di Venezia, che però risulta “non più aggiornato”) e alcuni domini legati a Confindustria, come confindustriaceramica.it (sito ufficiale della sezione dell’associazione che raggruppa produttori di piastrelle di ceramica e affini), unindustria.na.it (l’associazione degli imprenditori della provincia di Napoli) e, paradossalmente, confindustriadigitale.it (la Federazione di rappresentanza industriale nell’economia digitale). Non va meglio neppure analizzando i siti ufficiali degli Ordini Regionali dei Giornalisti, dove ben 4 siti regionali (in ordine alfabetico Calabria, Campania, Marche e Piemonte) sono ancora serviti in HTTP e non in HTTPS.

Prova SEOZoom

7 giorni di Prova Gratuita

Inizia ad aumentare il tuo traffico con SEOZoom!
TOP