HTTPS e SEO: primi passi per un web più sicuro (con Chrome)

Se ne parla da anni, ma da settembre tutti i consulenti SEO hanno incominciato a mettersi al passo per l'introduzione del protocollo HTTPS in tutti quei siti che richiedono una registrazione o un pagamento, in vista dell'aggiornamento del browser Google Chrome e del conseguente messaggio di allerta per i siti considerati non sicuri.

Vediamo nel dettaglio questo primo aggiornamento, cos'è l'HTTPS, perché va considerato come fattore SEO per alcune tipologie di sito e cosa potrebbe riservarci il futuro. Per semplificare l'argomento in coda all'articolo proverò a rispondere ad alcune domande generiche in merito.

In ultimo vi propongo dei riferimenti utili, esterni a questo sito, per iniziare a comprendere come passare a HTTPS, per un sito Wordpress o in generale.

Cosa è #HTTPS? Il mio sito deve passare a questo protocollo di sicurezza? Condividi il Tweet

Cos'è il TLS/SSL

Il TLS (Transport Layer Security) e precedente SSL (Secure Sockets Layer, ora considerato non sicuro) sono dei protocolli che permettono la criptazione dei dati durante durante la loro trasmissione.

Il funzionamento a livello concettuale è semplice: nel momento dell'invio dei dati la comunicazione tra mittente/destinatario viene criptata, grazie ad una chiave di cifratura. In questo modo il dato, nel suo viaggio verso il destinatario, non può venir intercettato e per questo non sarà leggibile da terzi.

Cos'è l'HTTPS

Il protocollo HyperText Transfer Protocol over Secure Socket Layer, abbreviato a HTTPS una combinazione tra il classico protocollo di trasferimento ipertesti (l'HTTP) e il protocollo di crittografia (SSL/TLS); Per questo motivo una URL HTTPS è identica ad un URL in HTTPS ma con in più la sicurezza fornita dal protocollo di criptazione.

Nel caso del protocollo HTTPS vi è una leggera differenza rispetto alla crittografia classica, in quanto il browser non è autenticato, ma lo è solamente il server e il ricevente (il software che utilizziamo per navigare sui siti web) analizzerà solamente la presenza e la validità del certificato fornito dal dominio.

Grazie a questo sistema i dati scambiati con il server non potranno essere intercettati con facilità da un possibile "malintenzionato".

SEO e sviluppo di siti: in quali altri casi viene usata la criptazione

Chi si occupa di sviluppo di siti web o di SEO avrà notato che l'HTTPS non è l'unico caso in cui viene usato il protocollo SSL/TLS. Guardiamo quali altri sistemi di comunicazione, mezzo web, possono utilizzare una criptazione della comunicazione dei dati.

SFTP

Per trasferire dei file ad un server, o effettuarne il download, in fase di aggiornamento o creazione di un sito web un metodo è il protocollo FTP (File Transfer Protocol) che grazie ad un client dedicato permette di scambiare documenti con l'host ad una velocità elevata e relativa minore percentuale di invio/download di dati corrotti/incompleti. Anche in questo caso è possibile, se il server lo supporta, utilizzare lo stesso protocollo ma in versione criptata, l'SFTP, ma prima del trasferimento dovremo accettare la chiave di criptazione fornita dall'host.

Connessione SSH via terminale e/o desktop remoto

Come per l'SFTP, quando dobbiamo collegarci ad un server linux via terminale (per effettuare modifiche ai file di configurazione di Apache/Nginx o amministrare il database) online o su rete locale, è necessario utilizzare un client dedicato, come Putty (o la fork Kitty e vi pregherei a questo proposito di non chiedere Cos'è o Chi è Kitty). Anche in questo caso il server chiederà, alla prima connessione, di accettare una chiave di decriptazione.

Mail e PGP

Questo caso ve lo espongo per spiegare un concetto diverso, in cui non è criptata la trasmissione dei dati, ma direttamente il contenuto.

Quando vogliamo inviare dati sensibili via email (o evitare che qualcuno differente dal corretto destinatario legga le nostre email) è necessario che la nostra email sia crittografata mediante una chiave PGP, ossia inviare una mail crittata mediante una chiave Pubblica e una Segreta. In questo caso la differenza con SSL/TLS è nella modalità di trasporto dei dati in quanto, il contenuto prima di essere inviato, viene criptato e può essere letto solamente se si è in possesso della giusta chiave di decriptazione.

Divagando vi dico sin da subito che NO, la PEC non tutela da questo punto di vista, la PEC è a tutti gli effetti come una raccomandata, che certifica che una mail è stata inviata/ricevuta, ma non che il passaggio dei dati sia avvenuto in maniera sicura.

Perchè HTTPS potrebbe essere un fattore SEO

Da anni il motore di ricerca Google spinge perché i siti siano sviluppati su protocollo HTTPS, ma buona parte dei programmatori o dei SEO non ha mai effettuato il passaggio perché effettivamente fino a qualche mese fa non inficiava il posizionamento di un dominio ma al massimo le pagine HTTPS venivano mostrate prima sulla SERP rispetto alla stessa pagina nella versione HTTP.

Per questo motivo, come per il Mobilegeddom di aprile 2015 dal colosso di Mountain View sono dovuti ricorrere ad una "forzatura" per invogliare i proprietari di alcune tipologie di siti a migrare al protocollo HTTPS.

Nel dettaglio, con un articolo dell'8 settembre 2016 sul blog ufficiale di Google dedicato alla sicurezza, Emily Schechter ci spiega che con la versione 56 del browser Chrome, in programma in uscita in questo gennaio 2017, tutti i siti che permettono un accesso mediante nome utente e passwd o che collezionano i dati di carte di credito e che non servono le proprie pagine in HTTPS vedranno a fianco dell'URL nella barra dell'indirizzo, una etichetta a contrassegnarli come Non Sicuri.

Per comprendere nel dettaglio come verrà mostrato questo messaggio vi faccio vedere l'esempio di un e-commerce attualmente online, visualizzandolo con Google Chrome Canary, l'instabile e precorritrice versione per sviluppatori del classico Chrome:

Lo stesso URL, visualizzato con Chrome alla versione 55 si visualizza senza label a fianco dell'URL:

Ora, dato che il browser Chrome è il più utilizzato da chi naviga sul web (a dicembre a 2016 la percentuale era pari al 73,7%) è opportuno evitare che l'utenza visualizzi questo messaggio una volta atterrata sul nostro dominio o avremo un quasi sicuro rimbalzo e il nostro brand ne potrebbe risentire.

Quali siti devono passare ad HTTPS ad oggi

Ad oggi, gennaio 2017, da Google i siti che nella versione 56 di Chrome verranno contrassegnati come "Non Sicuri" sono i domini che:

• non servono le proprie pagine mediante HTTPS nella corretta maniera (ossia con tutti i link degli elementi che compongono la pagina, come CSS, JS, immagini o altri elementi multimediali in HTTPS);
• non hanno un certificato valido secondo Chrome (un certificato SSL/TLS autogenerato ad esempio potrebbe non essere considerato valido);
• in caso di e-commerce hanno la pagina dei pagamenti servita su HTTP classico;
• la pagina con il form di login (quindi con un campo input di tipo password <input type="password">) non è servita su HTTPS;

Il messaggio di errore HTTPS via Search Console

Per aiutare i proprietari di siti associati a Google Search Console, dal motore di ricerca sono state inviate delle email, come quella a seguire, a tutte le proprietà che potrebbero richiedere il protocollo HTTPS:

Nonsecure Collection of Passwords will trigger warnings in Chrome 56 for http://miosito.com/ January 20, 2017
To: owner of http://miosito.com
Beginning in January 2017, Chrome (version 56 and later) will mark pages that collect passwords or credit card details as “Not Secure” unless the pages are served over HTTPS.
The following URLs include input fields for passwords or credit card details that will trigger the new Chrome warning. Review these examples to see where these warnings will appear, and so you can take action to help protect users’ data. The list is not exhaustive.
http://miosito.com/pagina-di-esempio

The new warning is the first stage of a long-term plan to mark all pages served over the non-encrypted HTTP protocol as “Not Secure”.
Here’s how to fix this problem:
Use HTTPS pages to collect sensitive information
To prevent the “Not Secure” notification from appearing when Chrome users visit your site, move collection of password and credit card input fields to pages served using the HTTPS protocol.

HTTPS nei prossimi mesi/anni

Come potete leggere nel comunicato ufficiale rilasciato a settembre questo è solo il primo passo per muoversi in direzione di un "Web più sicuro" e, nel dettaglio, i prossimi siti che dovranno passare a protocollo HTTPS per evitare il messaggio "Non sicuro" sono tutti quei siti che richiedono un elevato grado di privacy, come ad esempio siti che nella compilazione dei form richiedono dati relativi alla propria salute.

In più una ulteriore e possibile implementazione nel browser Chrome potrebbe essere il mostrare un triangolo rosso e testo rosso "Non sicuro" quando i siti che hanno implementato l'HTTPS non servono tutte le risorse su questo protocollo ma alcune vengono ancora servite in HTTP.

Domande e risposte comuni su HTTPS

Provo a rispondere ad alcune domande relative al passaggio ad HTTPS, se ne avete altre provate a scriverle nei commenti.

Ho un blog/sito di sole notizie/contenuti devo passare a HTTPS?

Ad oggi non è ancora necessario e non hai effettivi vantaggi rispetto al posizionamento organico. Per fare un esempio, posizionamento-seo.com è passato in HTTPS a marzo 2016 ma non ha notato effettivi cambiamenti a livello di ranking per le parole chiave, imputabili a questo intervento tecnico. Inizierei però a valutare il passaggio, magari pianificando l'intervento in un periodo dell'anno in cui la stagionalità porta meno visitatori sulle tue pagine.

Ho ricevuto il messaggio su Search Console, ma il mio sito non richiede registrazione. Che faccio?

Sicuro che il tuo sito nel codice sorgente non abbia un campo <input type="password">? Magari il campo input di tipo password potrebbe essere sotto ad un elemento che lo copre o potrebbe essere impostato come a non visibile o visibile solamente a determinate risoluzioni mediante CSS.

Ti consiglio quindi di analizzare il sorgente della pagina (da Chrome/Firefox premi CTRL+U)  contrassegnata come necessaria di HTTPS, nella mail che ti è stata inviata, magari effettuando una ricerca nel codice di markup del campo password (ad esempio cercando il testo type="password");

Devo aprire un nuovo sito, conviene svilupparlo in HTTPS?

Secondo me è assolutamente conveniente, in quanto verrà evitato il lavoro di redirect dei vecchi URL da HTTP a HTTPS e i possibili link in ingresso da siti terzi saranno sin da subito sull'URL corretto.

Come faccio a capire come le prossime versioni di Chrome visualizzeranno il mio sito?

Installa Google Chrome Canary e visita il tuo sito, se evidenzi delle effettive incongruenze con la versione classica del browser ricerca informazioni in merito per comprendere le possibilità effettive del nuovo sviluppo o se sono solamente esperimenti dal team di sviluppo del motore di ricerca.

Riferimenti esterni

• Ottenere un certificato valido e gratuito con Let's encrypt;
• Implementare un certificato HTTPS su un sito Wordpress;
• Migrare un sito da HTTP a HTTPS