Negli ultimi anni, la sicurezza online è diventata una priorità assoluta, sia per i motori di ricerca che per gli utenti.
Il protocollo HTTPS non è solo un requisito tecnico: è una garanzia di fiducia per chi naviga sul tuo sito. In questo articolo di Neting, esploreremo cos’è il protocollo HTTPS, come funziona e perché è cruciale per la sicurezza e il successo del tuo sito web.
Che cos’è il protocollo HTTPS?
HTTPS: La sicurezza in rete spiegata semplicemente
Il protocollo HTTPS (HyperText Transfer Protocol Secure) è la versione sicura dell’HTTP, il protocollo standard utilizzato per trasferire dati tra un browser e un sito web. A differenza di HTTP, HTTPS utilizza una connessione criptata grazie all’implementazione di un certificato SSL/TLS, garantendo che i dati trasmessi non possano essere intercettati da terze parti.
Il passaggio da HTTP a HTTPS rappresenta un grande salto in termini di sicurezza. Questa connessione sicura protegge le informazioni sensibili, come numeri di carte di credito, password e dati personali, da possibili attacchi informatici.
Il protocollo HTTPS (HyperText Transfer Protocol Secure) è diventato uno standard fondamentale per garantire la sicurezza delle comunicazioni su Internet. La sua adozione è cresciuta significativamente negli ultimi anni, sia a livello globale che in Italia.
Adozione globale di HTTPS
Secondo i dati di Netcraft, nel gennaio 2023, il 95,5% dei siti web utilizzava HTTPS, con un incremento costante rispetto agli anni precedenti. Questa crescita è attribuita all’aumento della consapevolezza riguardo alla sicurezza online e all’adozione di certificati SSL/TLS da parte di una vasta gamma di siti web.Anche in Italia, la situazione è migliorata notevolmente. Secondo il terzo monitoraggio sull’utilizzo del protocollo HTTPS condotto da AgID nel 2022, il 47% dei siti web istituzionali utilizzava HTTPS in modo sicuro, rappresentando la maggioranza per la prima volta. Tuttavia, il 41% dei siti presentava gravi problemi di sicurezza, mentre l’1% non utilizzava HTTPS.
L’importanza dell’https per Google
Google ha dichiarato ufficialmente che HTTPS è un fattore di ranking. Ciò significa che i siti sicuri hanno più probabilità di posizionarsi meglio nei risultati di ricerca rispetto ai siti HTTP. Inoltre, il protocollo HTTPS migliora l’esperienza utente, aumentando la fiducia e, di conseguenza, le conversioni.
Essendo Chrome il browser di internet maggiormente utilizzato, il cambiamento di policy da parte di Google penalizzerà in modo significativo tutti i publishers che utilizzano ancora per il loro dominio la versione HTTP.
Secondo il Centro assistenza di Google Transparency Report, HTTPS è una connessione HTTP crittografata, che rende la comunicazione più sicura. Puoi riconoscere una connessione sicura se vedi “HTTPS” anziché “HTTP” nell’URL. La maggior parte dei browser mostra anche un’icona che indica una connessione sicura; ad esempio, Chrome visualizza un lucchetto verde.
In realtà, già nel 2015, Google aveva comunicato la volontà di migliorare il posizionamento e la popolarità sui motori di ricerca dei siti web che fornivano una connessione protetta attraverso l’https, con l’obiettivo primario di incrementare la sicurezza e la privacy degli utenti che navigano sul web e, promuovendo l’utilizzo di connessioni sicure.
Il protocollo https, infatti, ha un grado di sicurezza maggiore rispetto al http. Con il primo, le comunicazioni tra pc dell’utente e server web sono salvaguardate da possibili attacchi, come il famoso “man in the middle”, un attacco consistente nel riprodurre o modificare la comunicazione tra due parti, convinte di comunicare direttamente tra di loro.
L’Https ti offre la cifratura bidirezionale delle divulgazioni tra client e server, offrendoti una tutela maggiore. Lo scopo di Google, è quello di portare gli sviluppatori di siti, dove è richiesta una password o altri dati sensibili, a migrare verso il protocollo https per la creazione di una connessione protetta.
La differenza nella connessione a una pagina https rispetto a una semplice http, sta nel fatto che qualsiasi informazione che viene diffusa mentre ci si collega, transita tramite il “Secure Sockets Layer” (SSL) o il suo successore, il “Transport Layer Security” (TLS).
Su Google Chrome, è possibile controllare la sicurezza di un sito in maniera semplice. Sicuramente avrete notato quando navigate sul web, il lucchetto verde che compare a sinistra dell’URL di un sito. Il lucchetto segnala l’affidabilità del sito in riferimento alle informazioni dell’utente, ed è un segnale di riservatezza che incrementa molto la fiducia del cliente. In aggiunta, se clicchi sul lucchetto e vai su “Dettagli”, puoi avere informazioni aggiuntive utili, per esempio se l’identità del sito è stata accertata, ossia se il sito possiede la certificazione SSL.
La storia del protocollo HTTPS
Le origini di HTTP e HTTPS
HTTP (HyperText Transfer Protocol) è stato introdotto nei primi anni ‘90 come il protocollo standard per trasferire informazioni su Internet. Tuttavia, con l’aumento delle transazioni online e delle minacce informatiche, si è reso necessario un protocollo più sicuro.
Nel 1995, la Netscape Communications ha sviluppato SSL (Secure Sockets Layer) per garantire una comunicazione sicura tra browser e server. Questo ha portato alla nascita di HTTPS, con l’implementazione del primo certificato SSL. Nel 1999, SSL è stato sostituito dal più sicuro TLS (Transport Layer Security), ancora oggi il pilastro della crittografia online.
Evoluzione e diffusione
Fino al 2010, HTTPS era utilizzato principalmente da banche, e-commerce e altre piattaforme sensibili. Tuttavia, con l’aumento degli attacchi informatici, Google ha iniziato a promuovere HTTPS come standard per tutti i siti web, includendolo come criterio di ranking nel 2014. Let’s Encrypt, lanciato nel 2016, ha ulteriormente accelerato l’adozione grazie all’offerta di certificati SSL gratuiti.
Certificato HTTPS: cos’è e perché è indispensabile?
Il certificato HTTPS è un documento digitale emesso da un’autorità di certificazione (CA), che attesta l’identità del sito web e abilita la crittografia dei dati scambiati. Senza un certificato valido, il browser segnala il sito come “non sicuro”, influenzando negativamente la fiducia degli utenti.
Esistono diversi tipi di certificati HTTPS, tra cui:
- Certificati DV (Domain Validation): verificano solo il dominio, offrendo un livello di autenticazione più basso. In questo caso, la CA controlla solo che la persona interpellata abbia effettivamente il dominio corrispettivo per il quale vorrebbe avere il certificato apposito. I dati aziendali non sono controllati durante il processo di verifica, quindi, in realtà, rimane comunque un rischio parziale. E’ il più veloce da ottenere e anche il più consigliato. Solitamente sono certificati consigliati per siti web in cui l’affidabilità passa in secondo piano e non compare nessuna possibilità di raggiro.
- Certificati OV (Organization Validation): confermano anche i dati dell’organizzazione ed è più sicura rispetto alla prima. La sicurezza sta nel fatto che la CA non controlla solo l’appartenenza esatta del dominio, ma anche i dati dell’azienda, e le informazioni accertate sono visibili dagli utenti sul sito, aumentandone l’attendibilità. L’”Organization Validated” ha un costo maggiore rispetto al primo, ma offre un livello di protezione maggiore. Non viene utilizzato per siti web dove si fanno transazioni con informazioni rilevanti.
- Certificati EV (Extended Validation): sicuramente, il certificato con il livello di protezione maggiore. I vari dati aziendali sono analizzati in maniera minuziosa con regole severe. Questo controllo assicura all’azienda in questione il livello di tutela più elevato, fortificando l’attendibilità del sito web. Noteremo subito se un sito sta adoperando questa tipologia di certificato, infatti, osserveremo la barra degli indirizzi di colore verde, la “green bar”. Se la barra sarà di colore verde, il sito è convalidato con l’estensione del processo di validazione. Questa certificazione ha il costo più elevato tra i certificati ed è sicuramente adatto a siti che necessitano l’utilizzo di pagamenti e carte di credito.
Un’ottimo sito per verificare che il tuo certificato SSL sia correttamente impostato sul dominio e che tutto funzioni a dovere è https://www.ssllabs.com/ssltest/
Questo incredibile ed utilissimo servizio gratuito fornisce una profonda ed esaustiva analisi di ogni SSL web server. Questa analisi può mettere in luce problemi di configurazioni, vulnerabilità e molti altri elementi.
HTTPS: Come funziona?
Il ruolo di SSL/TLS nel protocollo HTTPS
HTTPS si basa su due tecnologie principali: SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security). Questi protocolli crittografano i dati scambiati tra browser e server, impedendo a malintenzionati di intercettare o alterare le informazioni.
Quando un utente visita un sito HTTPS, avviene un processo chiamato handshake TLS, che include:
- Verifica del certificato: Il browser controlla che il certificato SSL/TLS sia valido e affidabile.
- Generazione di chiavi di crittografia: Browser e server scambiano chiavi per creare una connessione sicura.
- Trasmissione dei dati crittografati: Tutte le informazioni vengono trasferite utilizzando un codice indecifrabile senza la chiave corretta.
Per visualizzare i dettagli di un certificato SSL, è possibile cliccare sull’icona del lucchetto nella barra degli indirizzi del browser.
I dettagli del certificato SSL solitamente includono:
- Nome del dominio
- Autorità di certificazione
- Data di emissione e scadenza
- Chiave pubblica
I siti HTTPS sono sicuri?
Sicurezza e protezione dei dati
Un sito HTTPS offre un alto livello di sicurezza, ma non è immune a tutti i tipi di attacchi informatici. Ad esempio, vulnerabilità lato server o configurazioni errate possono compromettere la sicurezza, anche con un certificato SSL/TLS attivo. Tuttavia, HTTPS è uno dei pilastri per garantire una connessione sicura e protetta.
Vantaggi del protocollo HTTPS per gli utenti
- Protezione della privacy: I dati trasmessi non possono essere letti da terze parti.
- Autenticità del sito: L’utente sa di interagire con il sito legittimo e non con una copia fraudolenta.
- Fiducia visiva: Il lucchetto nella barra degli indirizzi rassicura gli utenti, favorendo la navigazione e le conversioni.
Guida pratica per passare da HTTP a HTTPS
Di seguito una serie di punti da seguire se non si vuole rischiare di danneggiare il sito dal punto di vista del posizionamento nel trasferimento da http ad https.
1. Controlla che tutti i link alle risorse interne puntino alla versione HTTPS
Controlla che tutti i file e le risorse che utilizzi nel tuo sito, quindi i riferimenti anche a file di immagini, CSS, javascript e librerie varie, siano correttamente puntati verso la versione HTTPS. Un ottimo tool per fare questo è lo strumento di sviluppo di Firefox. Analizzando le richieste di rete possiamo verificare che queste provengano da HTTPS. Un’altro strumento che abbiamo usato e trovato utile è https://www.whynopadlock.com
2. Controlla i tuoi file CSS
Controlla anche il contenuto dei tui file CSS ed il riferimento alle immagini
Controllare che i CSS facciano riferimento ad immagini nel modo corretto, nel caso vengano usati degli url assoluti
3. Imposta i redirect 301 da HTTP ad HTTPS
Imposta un redirect 301 su tutte la pagine del sito che reindirizzino tutti gli URL alla versione HTTPS. Questo può essere fatto tramite .htaccess se sei su un server Linux.
Un esempio di redirect di questo tipo può essere il seguente:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]
4. Controlla i canonical tags del tuo sito
Controlla che tutti i tag canonical del tuo sito puntino alla versione HTTPS dell’URL. Il tag canonical, piazzato di solito nell’head del tuo file, indica i motori di ricerca qual’è la versione principale del file che stiamo visitando e quella che dovrebbe essere indicizzata. L’URL che compare nel tag canonical dovrebbe essere quindi quella con HTTPS
5. Verifica il codice ed i link hard-coded
Verificare che non siano stati usati link assoluti nella fase di programmazione del sito o nei redirect (ad esempio, il redirect alle pagine non trovate 404). Verificare che eventuali funzionalità complesse (shopping cart, registrazioni, login, gestione degli errori, etc.) facciano redirect alle pagine https. Verificare laddove possibile tutte le procedure ‘complesse’. In ogni caso, è buona norma, tutte le volte che si scrive del codice usare URL relativi. Questo, ogni buon programmatore lo sa!
6. Registra la versione HTTPS del sito sui Webmaster Tools
Usa il nuovo sito in versione HTTPs per fare una nuova registrazione su Google Webmaster Tool e Bing Webmaster Tool
7. Usa lo strumento ‘visualizza come Google’
Usa lo strumento visualizza come Google (lo trovi nel Google Webmaster Tools in Scansione -> Visualizza come Google) e verifica che il sito venga correttamente scansionato da Google e che possa essere visualizzato correttamente.
8. Aggiorna la sitemap
Aggiorna la tua sitemap, modificando tutti gli url da http ad https. Cerca di lasciare anche la vecchia, almeno per un certo periodo (uno o due mesi) per garantire una corretta registrazione dei redirect 301
9. Aggiorna il tuo file robots.txt
La tua sitemap potrebbe essere stata registrata sul file robots.txt. Verifica che quindi questo abbia il corretto puntamento alla sitemap del sito https. Verifica che il file non blocchi l’accesso alle risorse importanti per la corretta visualizzazione del sito
10. Se necessario, Aggiorna il tuo Google GA4
In generale, il nuovo snippet di GA4 dovrebbe gestire correttamente lo switch da http ad https. In ogni caso verifica di avere una versione aggiornata dello snippet e che il traffico venga correttamente registrato
11. Implementa HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS) è un meccanismo di politica di sicurezza proposta per il web dove un server web dichiara di interagire col browser usando solamente una connessione sicura (come HTTPS). In questo modo il server comunica al browser di voler usare solo la versione HTTPS del sito. Questo migliora decisamente le performances, eliminando i redirect e fornendo un livello di sicurezza migliore
12. Trasferisci i disavow file
Se hai usato questo strumento sul tuo sito, dovresti fare una copia del file e trasferirlo nel nuovo profilo Google Webmaster Tools, per essere sicuro che le indicazioni ivi riportate valgano anche per questa versione del siti
13. Verifica i tuoi widget di social sharing
E’ frustrante pensare che tutti i contatori dei tuoi social sharing vadano tutti a zero dopo la migrazione (sì, in effetti potrebbe accadere). Ad oggi molti social network trasferiranno automaticamente il conto attraverso le loro API senza bisogno di un intervento esterno. Tuttavia alcuni social non hanno API così evolute, e potrebbe essere necessario del lavoro extra per trasferire i contatori da una versione all’altra. Allo stato attuale i social network che trasferiscono il conteggio in modo trasparente sono: Facebook, Google +, Linkedin
Errori comuni da evitare durante il passaggio a HTTPS
Esistono molti fornitori di servizi di hosting che possono compiere questo lavoro. E’ possibile, senza problemi, attraverso l’”Area Clienti” allargare il pacchetto hosting disponibile inserendo un certificato SSL, in alcuni pacchetti addirittura è compreso. Per l’installazione, sono necessarie le procedure che di solito ti vengono date dal fornitore. Per sviluppare una buona installazione è necessario tenere conto di possedere i certificati corretti, la cifratura corretta e la configurazione giusta del server.
Se non sei pratico del settore sarebbe consigliabile rivolgersi ad un’ Agenzia SEO adeguata, altrimenti, se sei autonomo, ti consiglio di consultare la guida Google che può esserti d’aiuto per questa pratica. A coloro che vogliono migrare da http a protocollo sicuro https, è necessario che ricordino alcuni passaggi importanti.
Mancato redirect da HTTP a HTTPS
Senza un redirect corretto, rischi di dividere il traffico tra due versioni del sito, influenzando negativamente la SEO.
Certificati scaduti o non validi
Un certificato non aggiornato provoca l’etichetta “Non sicuro” nel browser, vanificando i benefici di HTTPS.
Contenuti misti
Assicurati che tutte le risorse (immagini, script, CSS) siano caricate tramite HTTPS, altrimenti il browser segnalerà il sito come non completamente sicuro.
Conclusione: HTTPS è il futuro della sicurezza online
Adottare il protocollo HTTPS è un investimento indispensabile per chiunque voglia costruire un sito web sicuro, affidabile e performante. Non solo protegge i dati degli utenti, ma migliora la SEO e aumenta la fiducia dei visitatori.
Non aspettare che i tuoi utenti si allontanino per problemi di sicurezza: fai il passaggio a HTTPS oggi stesso e assicurati che il tuo sito sia pronto per affrontare le sfide del web moderno.
L’adozione di HTTPS è cruciale per garantire la sicurezza e la privacy degli utenti online. I siti che utilizzano HTTPS proteggono le informazioni trasmesse attraverso la crittografia, riducendo il rischio di intercettazioni e attacchi informatici. Inoltre, i motori di ricerca come Google favoriscono i siti sicuri nei risultati di ricerca, migliorando la visibilità online.
Se non sei sicuro di quello che stai facendo, affidati agli esperti sviluppatori di Neting: ti sapremo consigliare e aiutare nella migrazione, effettuandola in tempi brevi e nel modo più efficace.