A metà ottobre 2022, l’80 per cento di tutti i siti al mondo utilizza di default il protocollo HTTPS e, più precisamente, i dati di W3Techs rivelano che quasi il 95 per cento dei primi 1000 siti al mondo per ranking hanno adottato il procotollo HTTPS. Ciò significa che c’è comunque una parte rimanente di siti che continua a preferire il vecchio sistema HTTP, ma è soprattutto un segnale di quanto ormai il nuovo protocollo sia una parte integrante e rilevante del Web, in linea con gli obiettivi di garantire una navigazione più protetta per gli utenti su siti che adottano le risorse più recenti in fatto di sicurezza nella trasmissione dei dati. Facciamo quindi un focus sul protocollo HTTPS, su come funziona, sui motivi che potrebbero convincere un sito a utilizzarlo, ma anche su come pianificare una migrazione da HTTP a HTTPS e su alcune delle domande più comuni su questo argomento, grazie anche ai consigli e alle best practices di Google.

Che cos’è il protocollo HTTPS

Il protocollo HTTPS è un sistema di comunicazione più sicura tra sito e utente, grazie all’utilizzo del certificato SSL che cripta i dati trasmessi in entrata e in uscita.

Come ha spiegato John Mueller, Search Relations Lead di Google in uno degli appuntamenti con la serie Webmaster Conference Lightning Talk su YouTube, la definizione di HTTPS è “un protocollo che identifica una connessione sicura tra un sito e i suoi utenti, proteggendo il sito da attività indesiderate”.

Sul versante della sicurezza, HTTPS assicura tre cose in particolare:

  1. L’autenticazione. È un modo per dare la certezza agli utenti di interagire con il sito web desiderato e non un intermediario.
  2. L’integrità dei dati. Una connessione sicura impedisce la manomissione dei dati, in modo che gli utenti vedano il contenuto come previsto.
  3. La crittografia. È una garanzia sul fatto che le informazioni scambiate tra un sito Web e i suoi utenti saranno mantenute al sicuro.

I 3 motivi per usare HTTPS

Si tratta di tre pilastri fondamentali per un web moderno, sicuro e affidabile, perché “i tuoi utenti dovrebbero sentirsi al sicuro sul tuo sito, proprio come si sentono quando visitano la tua azienda di persona”.

Cosa significa HTTPS e perché usarlo sul sito

Dal punto di vista letterale, il termine HTTPS significa Hypertext Transfer Protocol Secure e fa riferimento specifico al protocollo di comunicazione ipertestuale sicura, reso possibile grazie alla creazione di una connessione criptata tra l’utente e il sito web che utilizza la crittografia SSL/TLS (Transport Layer Security).

Si tratta di un’evoluzione rispetto al precedente protocollo standard HTTP (Hypertext Transfer Protocol), che possiamo descrivere come l’insieme di regole utilizzate dai browser per determinare il modo esatto di leggere e trasferire i dati sul Web. Grazie alla crittografia, il nuovo sistema maschera i dati e riduce la possibilità che le informazioni dell’utente possano essere visualizzate o manipolate, un’azione importante soprattutto quando un sito web richiede l’inserimento di dati sensibili come i dati personali o le informazioni finanziarie.

Certificato e sicurezza dei siti, i chiarimenti necessari

Ad ogni modo, è bene chiarire ancora alcuni aspetti su quello che significa davvero sicurezza rispetto al tema HTTPS: a essere sicura è la connessione tra gli utenti e il sito, come detto, e quindi non la navigazione nel suo complesso né il sito stesso. Volendo estremizzare, anche una pagina phishing potrebbe possedere un certificato SSL, ma questo non significa che si tratti di un sito sicuro (e infatti anche l’FBI ha allertato spesso su questo tema): a prescindere dai lucchetti e dalle indicazioni dei browser, dunque, è sempre bene tenere gli occhi aperti quando si tratta di inserimento di dati sensibili sul Web.

A cosa serve il nuovo certificato

Usando il nuovo sistema, le informazioni inserite nel corso della navigazione sono indecifrabili per eventuali terze parti malintenzionate, e in definitiva l’utente può completare le operazioni con maggiore serenità. Per questo motivo, l’adozione del protocollo è stata consigliata innanzitutto a siti web che eseguono transazioni economiche o contengono moduli per l’inserimento di dati personali, ma si è poi estesa a tutti i siti online, compresi i blog e portali editoriali che non prevedono trasmissione di dati sensibili.

Segnalazione sito HTTP su Google Chrome

Google e HTTPS, la spinta all’adozione

A spingere per la diffusione dei siti con certificazione HTTPS è stato di sicuro Google, che ha da prima adottato un approccio soft – invitando i proprietari dei siti ad abbracciare il nuovo metodo – per poi spingere sull’acceleratore: già da tempo, nel browser Chrome le connessioni a siti con vecchio HTTP sono identificate come “non sicure”, con tanto di scritta nella barra dell’indirizzo, ma ancor più interessante è stato l’aspetto SEO della questione.

HTTPS come fattore di ranking per Google

L’utilizzo del certificato SSL è diventato infatti un fattore di ranking su Google, ovvero un elemento che viene valutato dagli algoritmi del motore di ricerca per determinare le classifiche relative alle query, ma ci sono anche altri vantaggi dell’uso di HTTPS rispetto al vecchio HTTP.

Cominciamo però con l’aspetto che probabilmente interessa di più: in effetti, è dal 2014 che HTTPS è un fattore di ranking certo per Google, che in un post ufficiale annunciava appunto che un sito Web crittografato con HTTPS avrebbe ottenuto da quel momento una spinta nelle classifiche di ricerca rispetto ai siti HTTP.

Il reale impatto di questo boost non è stato mai specificato, ovviamente, ma sin dagli inizi si è comunque rivelato quanto meno “leggero” – al massimo, HTTPS è stato un segnale tiebraker, ovvero in grado di la differenza nelle posizioni di ranking solo in caso di due pagine relativamente uguali. Come sappiamo, infatti, la pertinenza è e resta la chiave quando si tratta di ranking: se il contenuto più rilevante per una query si trova su un sito non HTTPS, è probabile che si classificherà prima dei siti crittografati ancora oggi, mentre se un sito offre un contenuto scadente, il mero utilizzo di HTTPS non lo porterà rapidamente alla prima pagina di Google.

Eppure, che Google avesse e abbia ancora un occhio di riguardo verso questo aspetto era evidente anche per l’avviso che, come detto, compare sul browser Chrome prima che gli utenti visitino siti Web non HTTPS, così come anche su altri browser famosi come Mozilla Firefox, dove in particolare a partire dalla versione 70 aggiornata a ottobre 2020 troviamo un’analoga icona accanto all’indirizzo del sito che non usa il protocollo HTTPS o ha problemi con il certificato.

Anteprima HTTP su Firefox
Questa attenzione però si può spiegare con il più ampio impegno di Google nel premiare i siti Web che offrono una buona esperienza utente, e una maggiore sicurezza è un modo per migliorare i siti per gli utenti. E quindi non sorprende più di tanto che proprio la presenza di un protocollo HTTPS attivo sia entrata a far parte dei fattori della Page Experience, l’aggiornamento algoritmico con cui Google ha voluto dare un giro di vite rispetto appunto alla gratificazione dell’esperienza dell’utente sulle pagine web, raggruppando un insieme di indicatori che misurano il modo in cui gli utenti interagiscono con una pagina web, al di là del suo valore puramente informativo, sia sui dispositivi mobili che sui computer desktop.

In definitiva, quindi, seppur lieve HTTPS è un fattore di ranking confermato su Google, e le linee guida del motore di ricerca consigliano vivamente di utilizzare HTTPS per il nostro sito, per proteggere la sicurezza e la privacy degli utenti; inoltre, se il sito ha una pagina con un indirizzo sia HTTP che HTTPS, Google preferisce indicizzare la versione HTTPS.

I vantaggi dell’Hypertext Transfer Protocol Secure

Essendo un elemento fondamentale del web moderno, HTTPS è anche un requisito di base richiesto dai browser moderni per abilitare determinate funzionalità, come ad esempio

  • Geolocalizzazione
  • Compilazione automatica per i moduli
  • Camera
  • Progressive App Web (PWA)
  • Notifiche push
  • Caching

Il protocollo viene mostrato direttamente anche nei browser moderni, o meglio – visto che dovrebbe essere attivo di default – viene segnalata come detto l’assenza di HTTPS (e quindi non è possibile nascondere se un sito adotta o meno il sistema).

Che cosa significa HTTPS

Quando gli utenti accedono a un sito web che non utilizza HTTPS in Chrome, per esempio, lo stesso verrà indicato come non sicuro nella barra del browser, con una scritta rossa che allerta il visitatore (mentre i siti con HTTPS sono etichettati come “protetti” con scritta in verde più rassicurante).

Tra gli altri possibili vantaggi, si stima che la connessione tramite HTTPS sia più veloce rispetto al collegamento al protocollo precedente, e questo può fare la differenza in termini di performance. Inoltre, tornando al tema della sicurezza, HTTPS impedisce agli intermediari di inserire contenuti nel sito Web all’insaputa del proprietario: senza HTTPS, un cattivo attore potrebbe iniettare annunci online, ad esempio, per trarre profitto da quel traffico web (ma, ribadiamo, non protegge il computer dell’utente o il server Web stesso da attacchi di hacker o malware).

Pertanto, anche se come ogni forma di sicurezza ha dei punti deboli e potrebbe non essere infallibile, HTTPS è innegabilmente migliore di HTTP sia in termini tecnici che dal punto di vista SEO e di presentazione all’utente.

Come passare al protocollo HTTPS

Ci sono quindi tante ragioni per adottare HTTPS, e il passaggio da HTTP ad HTTPS, seppur non troppo complicato, può essere comunque considerato una migrazione del sito, in quanto gli URL HTTPS sono diversi dalle loro controparti HTTP e quindi, per eseguire il trasferimento, è necessario reindirizzare tutti gli utenti con un redirect 301 lato server per tutti gli URL del sito.

In linea generale, per aggiungere HTTPS serve un certificato TLS/SSL: in alcuni casi, è lo stesso hosting web provider a mettere a disposizione il certificato (anche gratis, se incluso nel piano attuale), mentre in altre situazioni si potrebbe rendere necessario un acquisto, tramite l’hosting, autorità di certificazione, CDN come Cloudflare o società come Digicert, e poi un’installazione autonoma.

Potrebbe essere necessario rinnovare periodicamente i certificati SSL/TLS, ma soprattutto controllarli con attenzione, perché c’è la possibilità che qualcuno riesca a falsificare un certificato SSL/TLS: quando ciò avviene, viene chiaramente meno l’azione preventiva di HTTPS contro gli attacchi man-in-the-middle (MitM). Per evitare guai e situazioni spiacevoli, quindi, anche Google consiglia di esaminare i certificati rilasciati per il sito web che non riconosciamo e di limitare le autorità che possono rilasciare certificati per un dominio utilizzando i record di risorse CAA (Certification Authority Authorization).

Come verificare la validità del certificato SSL

È quindi importante ricordare che solo un certificato SSL valido – e in uso sulla totalità delle pagine del sito – permette di stabilire delle connessioni HTTPS criptate. L’assenza di crittografia o la presenza di errori rende tutti i dati inviati e ricevuti dal sito visibili, esposti e quindi potenzialmente manipolabili da terze parti.

Per verificare la validità del certificato SSL possiamo eseguire dei test manuali sulle pagine, e scoprire se il browser identifica correttamente il lucchetto, o usare alcuni appositi strumenti. Ad esempio, nel mese di settembre 2022 Google ha attivato un nuovo report in Search Console, chiamato semplicemente HTTPS report, che permette di controllare appunto quali pagine del nostro sito non sono pubblicate su HTTPS, ma anche il motivo per cui non vengono servite come HTTPS.

Come eseguire la migrazione delle pagine da HTTP ad HTTPS

Se possediamo o gestiamo un sito che ancora non ha adottato il nuovo protocollo e vogliamo procedere al trasferimento, possiamo seguire i consigli ufficiali di Google per ridurre i margini di errore.

John Mueller suddivide il processo di migrazione da HTTP ad HTTPS in sei passaggi:

  1. Configurare il sito HTTPS.
  2. Verificare la proprietà in Google Search Console.
  3. Testare ampiamente il sito HTTPS.
  4. Reindirizzare tutti gli URL HTTP agli URL HTTPS.
  5. Monitorare la migrazione in Google Search Console.
  6. Configurare HTTP Strict Transport Security (HSTS) – passaggio facoltativo.

I passaggi per completare correttamente la migrazione da HTTP ad HTTPS

Per prima cosa, quindi, bisogna configurare il sito HTTPS, chiedendo eventualmente il supporto del servizio di hosting e acquisendo l’apposito certificato HTTPS (in linea di massima, vanno bene tutti i certificati supportati dai moderni browser come Chrome, anche quelli gratuiti).

I passi esatti da seguire qui variano da sito web a sito web, spiega Mueller: “A volte si tratta solo di cambiare un’impostazione, altre volte c’è molto di più”.

In secondo luogo, serve verificare la proprietà nella Google Search Console, uno step cruciale per rintracciare eventuali problemi associati all’HTTPS versione 2. Si può anche scegliere di verificare anche l’intero dominio, per unire i dati HTTP e HTTPS nello stesso posto, badando a utilizzare le stesse impostazioni. In particolare, bisogna fare attenzione a rivedere le impostazioni per la rimozione degli URL di geotargeting, le impostazioni dei parametri URL, le impostazioni del crawl rate e il disavow file, aggiungendo gli eventuali co-proprietari nella Search Console.

Gli elementi da testare sul sito

Il lavoro prosegue con una importante e approfondita fase di test del sito, aprendo la prova anche ad alcuni utenti: “A volte ci sono delle stranezze che ci sono sfuggite, ed è meglio riconoscerle e sistemarle prima di passare alla versione HTTPS”, spiega Mueller.

Tra gli aspetti da verificare c’è innanzitutto la presenza eventuale di contenuti misti, ovvero quando una pagina su HTTPS include elementi da HTTP, che possono essere ad esempio immagini incorporate, annunci pubblicitari o script analitico.  Si tratta di un aspetto negativo per la sicurezza e i browser avvertono gli utenti quando riconoscono questo problema.

Dobbiamo controllare anche i link interni, per assicurarci che tutti i collegamenti del sito web puntino alla versione HTTPS: ci sono vari strumenti per controllare questo aspetto, ma si può anche solo cliccare sulla barra del browser e guardare l’URL che viene visualizzato.

Importante è anche analizzare i riferimenti nascosti – portando ad HTTPS elementi come rel=canonical, rel=alternate, hreflang= link, così come i dati strutturati – e controllare i file della sitemap, che aiutano Google a eseguire la scansione e l’indicizzazione in modo più efficiente.

Il lavoro per implementare un sito HTTPS

Completati i primi tre step, “il sito HTTPS è pronto, congratulazioni! È ora di cambiare tutto”, scherza Mueller, che invita a usare i redirect lato server per inoltrare tutte le richieste dalla versione HTTP alla nuova e corretta versione HTTPS.

È consigliabile fare un doppio check su tutti i vecchi URL per verificare che reindirizzino giustamente, facendo manualmente delle prove a campione su ogni parte del sito web o usando uno strumento automatico per tutti gli URL. Se abbiamo una sitemap, è un buon momento per inviarla, aggiunge il Search Relations Lead di Google, perché da questo momento in poi i motori di ricerca inizieranno a utilizzare i nostri URL HTTPS.

Si passa poi al monitorare la migrazione in Search Console: è preferibile controllare regolarmente la Search Console all’inizio, per individuare eventuali situazione prima che degeneri in problema. In particolare, dobbiamo controllate che i file della sitemap siano elaborati normalmente, che non compaiono errori di crawl inattesi, che il rapporto di copertura dell’indice mostri un aumento per il sito HTTPS e, non ultimo, che gli utenti stanno trovando il sito HTTPS in Search.

Che cos’è l’abilitazione HSTS

L’ultimo passaggio è facoltativo e permette di “passare al livello successivo”: dopo esserci assicurati che tutto funzioni come previsto, e aver atteso qualche mese per sistemare la migrazione, potrebbe essere utile considerare l’abilitazione di HSTS – HTTP Strict Transport Security – un sistema “per far sapere ai browser che non hanno più bisogno di controllare ulteriormente la versione HTTP del tuo sito”, perché “è un impegno a lungo termine da parte tua”.

Impostare HSTS è abbastanza facile: basta aggiungere un header alle risposte del server che dice ai browser che non hanno più bisogno di controllare la vecchia versione HTTP degli URL del vostro sito, anche quando un utente cerca di andarci direttamente. Inoltre, c’è ancora uno step che si può compiere, ovvero aggiungere il sito alla lista preload HSTS, un elenco condiviso di siti che si sono impegnati per HTTPS usata direttamente in Chrome: “un passo abbastanza grande, quindi è consigliato solo se sei assolutamente certo che tutto funzioni correttamente sul tuo sito HTTPS”.

Le domande più frequenti sul passaggio ad HTTPS

La migrazione ad HTTPS non è qualcosa che “un sito fa tutti i giorni”, quindi è naturale avere dubbi e farsi domande: prima di concludere il suo intervento, Mueller ha appunto raccolto alcune di queste FAQ e fornito le risposte e le best practices per completare le operazioni in maniera precisa e senza errori.

  • Per quanto tempo devo mantenere attivi i redirect?

I redirect dovrebbero rimanere attivi per sempre: non c’è alcun motivo per non reindirizzare da HTTP a HTTPS dopo una migrazione.

  • Posso spostare solo poche pagine?

Tecnicamente è possibile spostare solo poche pagine su HTTPS, come ad esempio solo quella del login utente. In pratica, Mueller dice che non serve molto lavoro in più da fare per spostare l’intero sito, che è ciò che dovrebbe essere fatto comunque.

  • Quale certificato HTTPS dovrei usare?

Qualsiasi certificato supportato da un browser Web moderno va bene e Mueller cita specificamente i certificati gratuiti dell’organizzazione no-profit Let’s Encrypt.

  • Quanto tempo richiede una migrazione?

Google ha molta esperienza con le migrazioni HTTPS, afferma Mueller, quindi di solito possono essere elaborate entro una settimana se tutti i passaggi sono corretti. Comunque, nella pratica la tempistica esatta non ha molta importanza, dato che gli utenti saranno comunque reindirizzati.

  • La migrazione danneggerà il posizionamento del mio sito?

“Di solito no”, dice Mueller, perché è sempre lo stesso sito, incluso nel Web allo stesso modo. Anzi, le classifiche potrebbero beneficiare del leggero aumento menzionato in precedenza.

  • Posso ripristinare lo status precedente, se necessario?

Tecnicamente sì, ma è una pratica non consigliata. Anziché tornare indietro, Mueller consiglia di risolvere eventuali problemi e andare avanti.

Quanti sono i siti HTTPS al mondo?

Nonostante i tanti vantaggi e l’effetto persuasivo del lucchetto, però, c’è ancora qualche freno alla completa espansione dei siti con protocollo HTTPS anche se, secondo il citato ultimo report di W3Techs aggiornato a ottobre 2022, rappresentano al giorno d’oggi una quota vicina all’80 per cento del totale dei siti censiti, con un tasso di crescita costante che però ancora non ha portato alla scomparsa dei siti basati sulla modalità non sicura.
grafico su siti https nel mondo
Secondo gli esperti, tra i motivi della mancata diffusione globale dell’HTTPS ci sono state storicamente questioni di natura tecnica, economica e pratica: adottare il certificato SSL aveva un costo che per molti siti è eccessivo, soprattutto per piccoli progetti che magari non trattano dati sensibili degli utenti; spesso, poi, HTTPS non funziona con i virtual hosts più economici e fa perdere la capacità di cache. Problemi comunque superabili anche con il progredire della tecnologia, e difatti oggi HTTPS è gratuito (a volte), facile e sempre più onnipresente.

Dettaglio sulla diffusione dei siti https

I siti importanti non ancora HTTPS

Ci sono però ancora moltissimi siti che fanno eccezione, domini anche rilevanti e importanti che non hanno ancora adottato lo standard HTTPS per le proprie pagine.

Di questa “lista della vergogna” hanno fatto parte a lungo anche portali editoriali come FoxNews e BBC, siti di catene di hotel come Hilton e addirittura il portale istituzionale delle Nazioni Unite, e oggi il sito https://whynohttps.com/ censisce ancora “molti dei più grandi siti Web del mondo che continuano a fornire contenuti tramite connessioni non crittografate, mettendo a rischio gli utenti anche quando non sono coinvolti dati sensibili”.

Nell’elenco dei 100 migliori siti Web che non reindirizzano automaticamente le richieste non sicure a quelle sicure ci sono il 6 per cento dei 1.803 siti Web più grandi del mondo, e soprattutto domini quali baidu.com (il motore di ricerca nazionale cinese), myshopify.com, videolan.org (il sito da cui scaricare il noto player multimediale VLC) e openoffice.org (il sito ufficiale per scaricare il software gratuito del progetto Apache). Guardando all’Italia, risultano ancora su HTTP (con tanto di indicazione “sito non sicuro” nella barra degli indirizzi del browser) siti come kataweb.it (la vecchia home del network che fa riferimento a Gedi Digital), turismovenezia.it (portale dell’azienda di promozione turistica della Provincia di Venezia, che però risulta “non più aggiornato”) e alcuni domini legati a Confindustria, come confindustriaceramica.it (sito ufficiale della sezione dell’associazione che raggruppa produttori di piastrelle di ceramica e affini), unindustria.na.it (l’associazione degli imprenditori della provincia di Napoli) e, paradossalmente, confindustriadigitale.it (la Federazione di rappresentanza industriale nell’economia digitale).