Ciclicamente Google detta nuove condizioni a cui presto o tardi ci si deve adeguare.
Ad esempio l’aveva fatto nella primavera 2015, quando con il MobileGeddon ha TERRORIZZATO chi ancora non aveva un sito web che fosse navigabile da smartphone e tablet…
Adesso è la volta dell’https e della navigazione sicura…quindi antenne dritte e leggi di cosa si tratta.
In quest’articolo di uno dei suoi blog ufficiali intitolato “Moving Towards a more secure web” (tradotto “Verso un Web più sicuro”) Google ci informa che da gennaio 2017 comincia a cambiare qualcosa nella navigazione dei siti web fatta con Chrome (il browser per la navigazione internet di Google).
In pratica, se fino ad oggi, nei siti web pubblicati con protocollo http non veniva dato alcun avvertimento circa la sicurezza di navigazione, da gennaio 2017, gradualmente, Chrome avviserà gli utenti nella loro navigazione circa la NON SICUREZZA della navigazione su protocollo http.
Spiegato più semplice:
Fino ad oggi, se avevi il sito in http (ovvero nella situazione normale della stragrande maggioranza dei siti) Chrome non dava alcun avviso al navigatore, mentre da gennaio 2017 comincerà ad avvisare con un “Not Secure” sulla barra di navigazione (vedi immagine sotto)
Col passare del tempo l’attenzione alla sicurezza dei siti e quindi alla presenza dell’https sarà sempre maggiore, fino ad arrivare probabilmente ad un’etichettatura in ROSSO dei siti siti in http come siti NON sicuri (vedi immagine sotto).
Cos’è l’https e perché è più sicuro dell’http
Cos’è l’https, spiegato in termini tecnici, lo puoi cercare su Google o leggerne la descrizione su Wikipedia.
Io te lo spiego in maniera semplice e NON tecnica. In pratica con l’http lo scambio di dati che avviene tra sito web e utente è in “chiaro” e quindi visibile da tutti, mentre se il sito web viaggia su protocollo https, lo scambio di dati avviene in maniera criptata in una sorta di “tunnel” creato tra sito web e utente, rendendo quindi i dati NON visibili ad altri.
Ti faccio un esempio:
diciamo che siamo in piazza e che tu devi darmi gli estremi della tua carta di credito. Con l’http è come se mi gridassi ad alta voce i dati della tua carta di credito (con tutti che possono ascoltarli) con l’https è come se me li scrivessi su un pezzo di carta e me lo consegnassi in mano: è evidente che è un pelo più sicura la seconda situazione 😉
Chrome e dati sul suo utilizzo
Come accennavo in apertura, Google sta attivando quest’iniziativa SOLO su Chrome, che è il browser di sua proprietà…
Ma quanta gente usa Chrome? (potresti chiederti)…
In Italia circa il 56% degli utenti (fonte https://www.netmarketshare.com/), quindi la maggioranza degli utenti (non solo in Italia e con una tendenza in costante crescita).
Lo scenario: c’è da preoccuparsi?
A questo punto forse ti starai chiedendo: e quindi che faccio? Devi preoccuparmi? Devo adeguare il mio sito? O a me non serve?
Tutte domande legittime, alle quali provo a risponderti.
Innanzitutto distinguerei tra Ecommerce e siti aziendali/blog.
Come dice Google stesso nel suo articolo del security blog, attenzione particolare e principale verrà data ai siti in cui avviene scambio di dati “sensibili” (pagine di login e raccolta dei dati delle carte di credito).
Quindi se hai un ecommerce dovresti affrettarti nell’adottare il protocollo https: pensa a cosa può pensare l’utente che vede scritto “NON Sicuro” nella pagina in cui deve inserire i dati della sua carta di credito…
Per tutti gli altri siti che NON sono ecommerce e che non trattano dati particolarmente sensibili, a mio modesto parere NON è necessario affannarsi o farsi prendere dall’ansia: non si corre nessun particolare rischio imminente.
Detto questo, Google ci sta avvisando, gradualmente “stringerà” sempre più a morsa verso l’http, e quindi non è questione SE passare o meno all’https ma solo QUANDO farlo.
A cosa fare MOLTA attenzione
Una fase a cui stare molto attenti è quella della migrazione del tuo sito/blog da http a https.
Ti spiego perché.
Se hai un sito che riceve traffico organico da Google, probabilmente è segnale che una o più pagine del tuo sito sono posizionate per alcune parole chiave. Questo significa che per Google, la pagina del tuo sito http://www.nomedelsito.com/paginaposizionata è pertinente per una o più parole chiave, e quindi la posiziona.
Migrando il sito da http a https, la pagina http://www.nomedelsito.com/paginaposizionata NON esiste più a favore della nuova pagina httpS://www.nomedelsito.com/paginaposizionata
ATTENZIONE:
In considerazione di quanto detto ASSICURATI che venga fatto il redirect 301 per tutte le pagine del tuo sito da http a https, altrimenti corri il GROSSO RISCHIO di vederti AZZERATO IL TRAFFICO ORGANICO.
Il redirect 301 è una configurazione lato server web (dove è installato il tuo sito) che istruisce Google dicendogli che la vecchia pagina http://www.nomedelsito.com/paginaposizionata adesso è rintracciabile al nuovo indirizzo httpS://www.nomedelsito.com/paginaposizionata, ed in questo modo sei salvo da qualsiasi problematica.
Non voglio preoccuparti: se ti affidi ad un professionista è una cosa normale ed un’operazione semplice.
Ma se fai tutto da solo (cosa che in questo caso, ti sconsiglio) o sei seguito da un tecnico che non ti dà fiducia piena, VERIFICA che il redirect 301 venga fatto.
Un falso mito
In queste settimane m’è capitato di leggere che il passaggio ad https aiuti e migliori il posizionamento su Google: questa cosa NON è sempre vera.
Mi spiego.
Effettivamente l’adozione del protocollo https è un fattore di posizionamento, ufficializzato anche da Google.
Ma…
…è UNO dei TANTI fattori di posizionamento, NON è uno dei maggiori e soprattutto può migliorare il posizionamento di un sito nel quale la SEO, poco o tanto, sia stata curata in precedenza, altrimenti non ti aiuterà affatto.
Usando una metafora: se alla tua macchina manca il MOTORE, puoi montarci pure gli alettoni, ma sempre ferma rimane 😉
Conclusione
Google ha dettato una nuova condizione alla quale dovremo adeguarci TUTTI.
Se hai un ecommerce fallo appena ti è possibile.
Se hai un sito “normale” non c’è bisogno di farsi prendere dall’ansia ma ricorda che DEVI farlo.
In tutti i casi (e soprattutto se il tuo sito riceve traffico organico) fai ESTREMA ATTENZIONE che chi si occupa dell’operazione faccia il redirect 301.
E affidati ad un professionista.
😉
********************************
Devi rifare il sito aziendale e vorresti evitare il DISASTRO di perdere gran parte del traffico?
[FERMA TUTTO e contattami SUBITO!]
Se stavi pensando di rifare il sito web aziendale, FERMA TUTTO e contattami SUBITO prima di prendere qualsiasi decisione. Se finisci nelle “mani sbagliate” rischi che ti facciano danni e potresti veder crollare il traffico del tuo sito (e i contatti/fatturato che ne deriva).
Se vuoi parlarne con me, puoi scrivermi qui.
********************************
8 risposte
Ciao Gianpaolo.
Per chi deve creare un blog da zero dove non ci saranno nessun scambio di dati sensibili poichè l’unica cosa sarà un report in cambio di un email, mi conviene impostare tutto su https?
Ciao Alessio,
innanzitutto va premesso che non conosco la tua situazione e quindi NON posso dare una risposta completamente sensata alla tua domanda in virtù di questo.
Fatta la premessa, se parti direttamente con l’https di certo male non fa.
Ciao e grazie del commento.
Grazie a te per la tempestiva risposta. A presto 🙂
Prego. 😉
A costo di passare per bastian contrario, continuo a sostenere che questa campagna “pro-HTTPS” lanciata da Google tutto sia tranne che chiara e utile. HTTPS obbligatorio, nonchè fattore di ranking prima che fattore di sicurezza (una cosa secondo me assurda già se posta così) sta portando le persone a fare cose un pochino assurde, del tipo blog indicizzato interamente in HTTPS (erano già posizionati da molti anni in HTTP, e li seguo da competitor praticamente da sempre).
A fronte del lavoraccio e del tempo di reindicizzazione del tutto, dubito fortemente che una cosa del genere possa servirgli sul serio, così come per molti e-commerce che usano – specie se si lavora in economia – gateway di pagamento esterni (e questi ultimi sono forse quelli che dovranno preoccuparsi di usare bene HTTPS). Se poi uno ha fatto un ecommerce in cui chiede i dati della carta di credito del cliente con HTTP in chiaro… bhe, non credo che sia questione di ciò che dice Google, ma di uno che ha sbagliato mestiere fin dall’inizio, per cui fanno benissimo a segnalarlo in quel modo.
La cosa singolare è che non sia per nulla chiaro, ancora adesso, se a Google si aspettino che QUALSIASI sito “buono” ne faccia uso “prima o poi”, quando in realtà la tecnologia suggerisce di farlo solo in presenza di dati sensibili (sulla wp-login.php ha senso, sulle pagine pubbliche di un sito molto meno, mipare).
Ciao Salvatore e grazie del commento.
Come dico anche nell’articolo, questo tipo di “novità” non mi entusiasmano affatto perchè sono tecniche e poco divertenti dal mio punto di vista. Sono anche d’accordo con te che non vada fatta una campagna di “corsa all’https” perchè sicuramente ci sono casi più urgenti, e tanti altri (la maggior parte) molto meno.
Detto ciò non sono d’accordo su quanto dici su due punti particolari:
1) “A fronte del lavoraccio e del tempo di reindicizzazione del tutto”
Non esiste nessun “lavoraccio” ne tantomeno tempo di “reindicizzazione” poichè, come spiegato nell’articolo, con una regla di redirect 301 lato server, il passaggio da http a https è rapido ed indolore (NON è assolutamente previsto alcuna perdita di posizionamento)
2) Nell’articol del suo blog ufficiale, questo (riportato anche nell’articolo) Google dice letteralmente nell’ultima immagine che pensano di Etichettare come NON sicure in futuro TUTTE le pagina http.
Non dicono quando, ma dicono questo (tant’è che nella prima immagine fanno l’esempio della pagina di Login, nell’ultima invece del dominio di secondo livello).
Ciao e grazie.
Se faccio un sito nuovo che quando sara’ online prendera’ il dominio di quello attuale e dovro’ far fare il redirect 301 per non perdere il posizionamento , quando e’ il momento di aderire ad https ? visto che anche questo richiede un redirect ?
grazie molte. buona giornata
Puoi farlo contestualmente.
Cioè con la messa online del nuovo sito passi direttamente ad https.
Se ti fa il lavoro un professionista non c’è alcun problema.
Ciao e grazie del commento.