Un focus sul protocollo HTTPS, su come funziona, sui motivi che potrebbero convincere a utilizzarlo, ma anche su come pianificare una migrazione da HTTP a HTTPS e su alcune delle domande più comuni su questo argomento. Si parla di questo nel nuovo appuntamento con la serie Webmaster Conference Lightning Talk, in cui John Mueller, Search Relations Lead di Google, ci accompagna alla scoperta di questo tema delicato e utile per tutti i siti.

Mueller di Google parla di HTTPS

Cosa significa HTTPS e perché usarlo sul sito

Si parte dalle basi, ci dice il Googler, e quindi dalla definizione di HTTPS, un protocollo che identifica una connessione sicura tra un sito e i suoi utenti, proteggendo il sito da attività indesiderate.

Per la sicurezza, HTTPS assicura tre cose:

  1. L’autenticazione. È un modo per dare la certezza agli utenti di interagire con il sito web desiderato e non un intermediario.
  2. L’integrità dei dati. Una connessione sicura impedisce la manomissione dei dati, in modo che gli utenti vedano il contenuto come previsto.
  3. La crittografia. È una garanzia sul fatto che le informazioni scambiate tra un sito Web e i suoi utenti saranno mantenute al sicuro.

I 3 motivi per usare HTTPS

Si tratta di tre pilastri fondamentali per un web moderno, sicuro e affidabile, perché “i tuoi utenti dovrebbero sentirsi al sicuro sul tuo sito, proprio come si sentono quando visitano la tua azienda di persona”.

Un requisito per i web browser moderni

Essendo un elemento fondamentale del web moderno, HTTPS è anche un requisito di base richiesto dai browser moderni per abilitare determinate funzionalità, come ad esempio

  • Geolocalizzazione
  • Compilazione automatica per i moduli
  • Camera
  • Progressive App Web (PWA)
  • Notifiche push
  • Caching

Il protocollo viene mostrato direttamente anche nei browser moderni, o meglio – visto che dovrebbe essere attivo di default – viene segnalata l’assenza di HTTPS (e quindi non è possibile nascondere se un sito adotta o meno il sistema).

Che cosa significa HTTPS

Quando gli utenti accedono a un sito web che non utilizza HTTPS in Chrome, per esempio, lo stesso verrà indicato come non sicuro nella barra del browser, con una scritta rossa che allerta il visitatore (mentre i siti con HTTPS sono etichettati come “protetti” con scritta in verde più rassicurante).

Una lieve spinta al ranking

Un ulteriore motivo per implementare il protocollo HTTPS sta nella leggera spinta al ranking che Google può dare alle pagine sicure. Un incremento “lieve”, come ammette Mueller, e che comunque non evita la possibilità che pagine HTTP possano comunque classificarsi meglio di pagine HTTPS quando il loro contenuto è più pertinente per la query.

Come passare al protocollo HTTPS

Ci sono quindi tante ragioni per adottare HTTPS, dice Mueller, che poi passa a spiegare sinteticamente come eseguire il passaggio da HTTP ad HTTPS, che può essere considerata una migrazione del sito, perché gli URL HTTPS sono diversi dalle loro controparti HTTP e quindi, per eseguire il trasferimento, è necessario reindirizzare tutti gli utenti con un redirect 301 lato server per tutti gli URL del sito.

Mueller suddivide il processo di migrazione in sei passaggi:

  1. Configurare il sito HTTPS.
  2. Verificare la proprietà in Google Search Console.
  3. Testare ampiamente il sito HTTPS.
  4. Reindirizzare tutti gli URL HTTP agli URL HTTPS.
  5. Monitorare la migrazione in Google Search Console.
  6. Configurare HTTP Strict Transport Security (HSTS) – passaggio facoltativo.

I passaggi per completare correttamente la migrazione da HTTP ad HTTPS

Per prima cosa, quindi, bisogna configurare il sito HTTPS, chiedendo eventualmente il supporto del servizio di hosting e acquisendo l’apposito certificato HTTPS (in linea di massima, vanno bene tutti i certificati supportati dai moderni browser come Chrome, anche quelli gratuiti).

I passi esatti da seguire qui variano da sito web a sito web, spiega Mueller: “a volte si tratta solo di cambiare un’impostazione, altre volte c’è molto di più”.

In secondo luogo, serve verificare la proprietà nella Google Search Console, uno step cruciale per rintracciare eventuali problemi associati all’HTTPS versione 2. Si può anche scegliere di verificare anche l’intero dominio, per unire i dati HTTP e HTTPS nello stesso posto, badando a utilizzare le stesse impostazioni. In particolare, bisogna fare attenzione a rivedere le impostazioni per la rimozione degli URL di geotargeting, le impostazioni dei parametri URL, le impostazioni del crawl rate e il disavow file, aggiungendo gli eventuali co-proprietari nella Search Console.

Gli elementi da testare sul sito

Il lavoro prosegue con una importante e approfondita fase di test del sito, aprendo la prova anche ad alcuni utenti: “A volte ci sono delle stranezze che ci sono sfuggite, ed è meglio riconoscerle e sistemarle prima di passare alla versione HTTPS”, spiega Mueller.

Tra gli aspetti da verificare c’è innanzitutto la presenza eventuale di contenuti misti, ovvero quando una pagina su HTTPS include elementi da HTTP, che possono essere ad esempio immagini incorporate, annunci pubblicitari o script analitico.  Si tratta di un aspetto negativo per la sicurezza e i browser avvertono gli utenti quando riconoscono questo problema.

Dobbiamo controllare anche i link interni, per assicurarci che tutti i collegamenti del sito web puntino alla versione HTTPS: ci sono vari strumenti per controllare questo aspetto, ma si può anche solo cliccare sulla barra del browser e guardare l’URL che viene visualizzato.

Importante è anche analizzare i riferimenti nascosti – portando ad HTTPS elementi come rel=canonical, rel=alternate, hreflang= link, così come i dati strutturati – e controllare i file della sitemap, che aiutano Google a eseguire la scansione e l’indicizzazione in modo più efficiente.

Il lavoro per implementare un sito HTTPS

Completati i primi tre step, “il sito HTTPS è pronto, congratulazioni! È ora di cambiare tutto”, scherza Mueller, che invita a usare i redirect lato server per inoltrare tutte le richieste dalla versione HTTP alla nuova e corretta versione HTTPS.

È consigliabile fare un doppio check su tutti i vecchi URL per verificare che reindirizzino giustamente, facendo manualmente delle prove a campione su ogni parte del sito web o usando uno strumento automatico per tutti gli URL. Se abbiamo una sitemap, è un buon momento per inviarla, aggiunge il Search Relations Lead di Google, perché da questo momento in poi i motori di ricerca inizieranno a utilizzare i nostri URL HTTPS.

Si passa poi al monitorare la migrazione in Search Console: è preferibile controllare regolarmente la Search Console all’inizio, per individuare eventuali situazione prima che degeneri in problema. In particolare, dobbiamo controllate che i file della sitemap siano elaborati normalmente, che non compaiono errori di crawl inattesi, che il rapporto di copertura dell’indice mostri un aumento per il sito HTTPS e, non ultimo, che gli utenti stanno trovando il sito HTTPS in Search.

Che cos’è l’abilitazione HSTS

L’ultimo passaggio è facoltativo e permette di “passare al livello successivo”: dopo esserci assicurati che tutto funzioni come previsto, e aver atteso qualche mese per sistemare la migrazione, potrebbe essere utile considerare l’abilitazione di HSTS – HTTP Strict Transport Security – un sistema “per far sapere ai browser che non hanno più bisogno di controllare ulteriormente la versione HTTP del tuo sito”, perché “è un impegno a lungo termine da parte tua”.

Impostare HSTS è abbastanza facile: basta aggiungere un header alle risposte del server che dice ai browser che non hanno più bisogno di controllare la vecchia versione HTTP degli URL del vostro sito, anche quando un utente cerca di andarci direttamente. Inoltre, c’è ancora uno step che si può compiere, ovvero aggiungere il sito alla lista preload HSTS, un elenco condiviso di siti che si sono impegnati per HTTPS usata direttamente in Chrome: “un passo abbastanza grande, quindi è consigliato solo se sei assolutamente certo che tutto funzioni correttamente sul tuo sito HTTPS”.

Le domande più frequenti sul passaggio ad HTTPS

La migrazione ad HTTPS non è qualcosa che “un sito fa tutti i giorni”, quindi è naturale avere dubbi e farsi domande: prima di concludere il suo intervento, Mueller ha appunto raccolto alcune di queste FAQ e fornito le risposte e le best practices per completare le operazioni in maniera precisa e senza errori.

  • Per quanto tempo devo mantenere attivi i redirect?

I redirect dovrebbero rimanere attivi per sempre: non c’è alcun motivo per non reindirizzare da HTTP a HTTPS dopo una migrazione.

  • Posso spostare solo poche pagine?

Tecnicamente è possibile spostare solo poche pagine su HTTPS, come ad esempio solo quella del login utente. In pratica, Mueller dice che non serve molto lavoro in più da fare per spostare l’intero sito, che è ciò che dovrebbe essere fatto comunque.

  • Quale certificato HTTPS dovrei usare?

Qualsiasi certificato supportato da un browser Web moderno va bene e Mueller cita specificamente i certificati gratuiti dell’organizzazione no-profit Let’s Encrypt.

  • Quanto tempo richiede una migrazione?

Google ha molta esperienza con le migrazioni HTTPS, afferma Mueller, quindi di solito possono essere elaborate entro una settimana se tutti i passaggi sono corretti. Comunque, nella pratica la tempistica esatta non ha molta importanza, dato che gli utenti saranno comunque reindirizzati.

  • La migrazione danneggerà il posizionamento del mio sito?

“Di solito no”, dice Mueller (ribadendo la sconfessione delle leggende metropolitane sulla migrazione), perché è sempre lo stesso sito, incluso nel Web allo stesso modo. Anzi, le classifiche potrebbero beneficiare del leggero aumento menzionato in precedenza.

  • Posso ripristinare lo status precedente, se necessario?

Tecnicamente sì, ma è una pratica non consigliata. Anziché tornare indietro, Mueller consiglia di risolvere eventuali problemi e andare avanti.