Passare da HTTP a HTTPS è ormai divenuta un’esigenza sempre più pressante per tutti i siti web.
HTTPS non è semplicemente un plus nelle pratiche di ottimizzazione, ma è un fattore importante che Google stessa consiglia di tenere in considerazione; un “must” per tutti coloro che gestiscono un’attività commerciale appoggiandosi alla Rete.
In questo post, SEMrush fa luce sugli errori più comuni nel passaggio a HTTPS, un’operazione delicata che però non è ormai rimandabile.
Trasformando le vecchie pagine HTTP di un sito in pagine HTTPS, non soltanto si guadagnerà qualche punto agli occhi di Google ottimizzando il posizionamento nei risultati delle ricerche (SERP) ma si migliorerà la propria reputazione anche agli occhi dei visitatori.
Tutti i principali browser web, infatti, hanno cominciato a segnalare con l’indicazione Non sicuro quei siti web che pur contenendo form di login (con l’inserimento di username e password) utilizzano ancora il protocollo HTTP, senza ricorrere quindi a un certificato digitale valido e, in ultima analisi, ad alcuna forma di cifratura: Sito sicuro su Chrome e Firefox, che cosa significa.
L’utilizzo di HTTPS, comunque, non è soltanto un fattore di posizionamento ma anche uno strumento per garantire che le informazioni scambiate tra client e server (e viceversa) non possano essere intercettate da parte di terzi (si pensi a credenziali di autenticazione, numeri di carte di credito, dati personali e così via).
Quali sono gli errori più comuni nel passare da HTTP a HTTPS
SEMrush ci ha informato di aver esaminato oltre 100.000 siti web e di essi solamente il 45% ad oggi supporta HTTPS.
Utilizzare sempre HTTPS per le pagine in cui si richiede l’inserimento di nomi utente e password. Massima attenzione agli eventuali contenuti misti.
Sempre secondo SEMrush, il 9% dei siti web analizzati richiede l’inserimento di password in pagine non protette (HTTP) e il 50% dei siti web analizzati presenta un problema con i contenuti misti.
Quando si carica una pagina HTTPS, il webmaster deve accertarsi che tutti gli elementi che la compongono e che sono richiamati mediante tag presenti nella pagina stessa utilizzino riferimenti, a loro volta, a indirizzi HTTPS.
In caso contrario, il browser valuterà la pagina come potenzialmente insicura e l’indicazione Sicuro scomparirà dalla barra degli indirizzi.
Per ciascuna pagina, quindi, bisognerà verificare che i contenuti (comprese le immagini, le tag per la visualizzazione dell’advertising, i riferimenti a servizi di terze parti,…) vengano sempre richiamati usando un URL HTTPS.
Quando si passa a HTTPS sostituire i riferimenti alle pagine HTTP e non usare versioni differenti per le pagine erogate via HTTPS
Uno degli errori più gravi ma, allo stesso tempo, più comuni, è quello di mantenere attive sia la versione HTTP che la versione HTTPS del sito.
SEMrush ha rilevato che nell’8% dei siti web analizzati (esclusi quelli che supportano l’HSTS) la home page in HTTP non corrisponde alla versione HTTPS.
“Questo può causare diversi problemi, tra cui pagine in concorrenza tra loro, perdita di traffico e pessimo posizionamento in SERP“, osservano gli specialisti di SEMrush. “Inoltre, il 5,5% dei siti HTTPS ha URL in HTTP nella loro sitemap.xml“.
Aggiungiamo noi che il modo corretto per gestire il passaggio da HTTP a HTTPS è effettuare un redirect permanente (301) dalle vecchie pagine alle nuove HTTPS creando una sitemap aggiornata con tutti i nuovi URL.
Se non si fosse fatto uso di link relativi, bisognerà aver cura di aggiornare (magari agendo direttamente a livello di database) tutti i riferimenti alle pagine HTTP.
Tenere d’occhio la validità e la data di scadenza del certificato digitale
Per quanto riguarda il certificato SSL/TLS utilizzato per stabilire una connessione protetta tra server e browser, SEMrush ha scoperto che il 2% dei siti web analizzati hanno certificati SSL scaduti e il 6% si servono di certificati SSL/TLS registrati su un nome dominio scorretto.
Nell’articolo abbiamo spiegato che cos’è un certificato digitale.
Di certificati digitali ne esistono diversi tipi ma è fondamentale che esso sia emesso da un’autorità riconosciuta a livello internazionale e ritenuta fidata da tutti i browser web.
Chi non volesse spendere un centesimo per acquisire un certificato digitale valido può rivolgersi a Let’s Encrypt quindi installarlo sul proprio server web:
– Ottenere un certificato HTTPS gratuito (SSL/TLS) per IIS su Windows Server
– Come attivare HTTPS sul proprio server Linux
Alcuni provider, come per esempio Aruba, consentono di attivare il certificato digitale anche sui servizi in hosting, quindi senza neppure intervenire sulla configurazione lato server: Ottenere un certificato HTTPS gratuito (SSL/TLS) per IIS su Windows Server.
Dal pannello di amministrazione del nome a dominio è addirittura possibile attivare un redirect automatico da HTTP a HTTPS.
SEMrush ha infine verificato che l’86% dei siti web analizzati non supporta l’HSTS (HTTP Strict Transport Security), una tecnologia che consente al server web di dichiarare che i browser e ogni altro tipo di client debbano comunicare con esso esclusivamente attraverso connessioni sicure su protocollo HTTPS (utile per proteggere dai dirottamenti di sessione).
“Visto che questa tecnologia è piuttosto nuova e i browser hanno iniziato a sostenerlo non molto tempo fa, non è una grande sorpresa“, hanno commentato gli esperti di SEMrush.
Per approfondire, suggeriamo la lettura del dettagliato post, in italiano, che è stato appena pubblicato sul blog di SEMrush.