Hai un form sul tuo sito? Chrome ti “invita” a passare a HTTPS

Per tutti i webmaster/SEO tornati dalle vacanze vi è una graziosa novità che potrete trovare tra i messaggi in Search Console.

A partire da ottobre 2017 tutte le nuove versioni del browser Chrome (a partire dalla 62) mostreranno l'avviso "Non sicuro" su tutte le pagine che ospitano un form con campo di testo quando, visualizzandole da finestra in incognito, proveranno a inserire del testo nel form (e solo in quel momento).

Nel dettaglio l'email che potete trovare in Search Console (sotto al menù "Tutti i Messaggi") è stata inviata il 17 agosto 2017 ed è di questo tipo:

Analizziamone il contenuto per comprenderla meglio.

Chrome 56 e form testuale. Da ottobre per chi naviga in incognito saranno pagine 'Non sicure' Condividi il Tweet

Quando verrà visualizzato il messaggio "NON SICURO"?

Oltre a quanto detto precedentemente (ossia in tutte le pagine con form con input type="password" o form per l'inserimento dei dati della carta di credito con la mossa di 7 mesi fa dedicata al passaggio a HTTPS per gli e-commerce) le condizioni per far visualizzare il messaggio "non sicuro" nella barra dell'URL sono:

• presenza di form con campo testo nella pagina. Nella mail viene specificato input type="text" o type="email", ma in realtà anche la <textarea> è un campo di tipo testo quindi potrebbe essere inclusa nella rosa degli elementi del form che potrebbero generare "non sicurezza", come da frase nella mail "includono campi di immissione del testo";
• uso di browser "Chrome" almeno alla versione 56;
• visualizzazione della pagina con la navigazione in incognito;
• click su uno dei campi del form sopracitati, come da frase nella mail "quando gli utenti inseriscono del testo in un modulo su una pagina HTTP" (altrimenti il messaggio potrebbe non comparire, ma questo aspetto mi sembra nebuloso);

Attenzione! Devono verificarsi tutte queste condizioni affinché compaia il messaggio!

Di mio ho un bel dubbio per quanto riguarda la parte del far comparire il messaggio al load della pagina o quando inseriscono del testo nel form, perché andando a guardare l'articolo di riferimento, a differenza della mail ricevuta in Search Console, viene spiegato che:

• nel caso di navigazione classica su Chrome il messaggio "Non sicuro" comparirà solo quando l'utenza inserirà dei dati (mentre nella mail viene puntualizzato che riguarderà solo la navigazione in incognito);
• nel caso di navigazione in incognito il "Non sicuro" comparirà al caricamento della pagina (mentre nella mail viene spiegato che avverrà quando gli utenti inseriscono del testo);

Dato che l'articolo di riferimento di Google è praticamente di maggio 2017 potrebbe essere che:

• nel frattempo da Google abbiano scelto di agire diversamente;
• chi ha redatto la mail inviata su Search Console abbia effettuato dei refusi nel testo;

Come vedremo dopo però questo mio dubbio non è particolarmente importante, ma potrebbe essere semplicemente e usando linguaggio tecnico, una mia semplice seg@ ment@le.

A chi tocca il lavoro di passaggio a HTTPS?

Tendenzialmente passare a HTTPS è compito di un sistemista in collaborazione dello sviluppatore sotto le direttive del SEO ma dato che, per i progetti a low budget spesso vi è una figura unica che si occupa di tutto, il passaggio ricade sul consulente SEO.

Come si passa a HTTPS

Non vi sto a spiegare come fare perché acquisire un certificato dipende da server a server, tendenzialmente di mio non ho notato particolare difficoltà a effettuare il passaggio grazie all'acquisto di un certificato da Gandi, ma solo perché sono uno smanettone (per dire su Gandi per creare il certificato è necessario generare la coppia di chiavi criptate che si fa da terminale linux che per chi non ha mai utilizzato quell'OS sembra una cosa complicatissima, pur se non lo è).

Tendenzialmente vi spiego brevemente i passaggi generali:

• Creazione del certificato (che sia attendibile per Google eh, non autogenerato altrimenti non serve a na mazza);
• Aggiunta del certificato al vostro host, se è condiviso in genere se ne occupa il vostro provider, se il server ve lo amministrate da voi usate questa guida che è davvero chiara e funzionale (si, l'ho provata e validata) per server Apache.
• Modifica di TUTTI i percorsi sul vostro sito, le risorse NON dovranno puntare alla versione HTTP ma alla versione HTTPS sia dei link che delle risorse inglobate nella pagina (immagini, video, audio, pdf, etc). Se fate hotlink di risorse da server esterni (mannaggia a voi!) anche quelle risorse dovranno essere servite via HTTPS. Nel caso questa condizione non venga risolta avrete messaggio di errore "Mixed Content" sulla barra dell'URL.
• Redirect via .htaccess di tipo 301 dalle versioni non http ad https. Attenzione ai redirect chain, ossia ai redirect consequenziali (http://dominio.tld -> http://www.dominio.tld -> https://dominio.tld -> https://www.dominio.tld ) quindi ad esempio un buon redirect è del tipo http://dominio.tld -> https://www.dominio.tld e http://www.dominio.tld -> https://www.dominio.tld.

Il passaggio a HTTPS è davvero necessario?

Dipende: Se non hai un form sicuramente no, se l'hai... dipende!

Premesso che se hai un e-commerce con form di login in tutte le pagine e ancora non sei passato ad HTTPS secondo me stai commettendo un errore, mentre per i siti di notizie o aziendali (ossia con box commenti al di sotto degli articoli o con form nella pagina contatti) il passaggio non è strettamente necessario PER ORA in quanto coinvolge una percentuale di utenti non globale (quelli che useranno la finestra in incognito) ma consiglio di pianificare la migrazione QUANTO PRIMA (un ottimo momento erano le vacanze estive con la classica fiacca da visite) perché visto l'andazzo per evitare messaggi che potrebbero aumentare il rimbalzo sulla pagina da parte degli utenti meno tecnici (e che quindi si fidano di quello che gli dice Chrome).