Un paio di mesi fa ho scritto un articolo su come fosse importante per Google che i siti web fossero mobile friendly.
Google inoltre faceva una velata minaccia (neanche tanto velata) affermando che a breve avrebbe declassato tutti i siti web non adatti ad essere visualizzati sugli smartphone.

Ebbene è già accaduto!
Non ci credi?
Quella che ti riporto di seguito è una comunicazione che ho ricevuto sui Google Webmaster Tool in relazione ad un vecchio cliente (talmente vecchio che all'epoca non esisteva neppure la rete GSM, altro che smartphone).

I sistemi Google hanno testato 108 pagine del tuo sito e riscontrato che il 95% delle pagine presenta errori critici di usabilità sui dispositivi mobili. Gli errori in queste 103 pagine incidono notevolmente sulla modalità di utilizzo del tuo sito web da parte degli utenti di dispositivi mobili. Tali pagine non verranno considerate ottimizzate per i dispositivi mobili dalla Ricerca Google e verranno quindi mostrate e posizionate adeguatamente per gli utenti di smartphone.

E' proprio il caso di dirlo: "Ve lo avevo detto!"

Quello di cui vorrei parlarti oggi è un altro fattore di ranking che Google da alcuni mesi considera importante, al punto che in un prossimo futuro potrebbe influire più che marginalmente sul tuo posizionamento.

Vogliamo rendere Internet più sicuro

Questo è il nuovo motto di Google e per ottenere ciò guarderà con occhi particolarmente benevoli tutti i siti che offriranno una comunicazione cifrata.

Questo di seguito è l'articolo ufficiale di Google: HTTPS as a ranking signal. 

Stiamo parlando di avere un certificato SSL/TLS (Secure Sockets Layer/Transport Layer Security) e dunque offrire ai tuoi visitatori una comunicazione protetta dal protocollo HTTPS.

Non hai capito niente?

Detto in poche parole significa avere nella barra degli indirizzi del tuo browser, quel lucchettino verde accanto al tuo sito web.

Si va beh, ma a cosa serve?

Dotare il tuo sito web di un certificato SSL/TLS porterà i seguenti 3 benefici a te e ai tuoi visitatori.

Privacy

I dati che i visitatori inseriranno sul tuo sito, ad esempio per iscriversi alla tua newsletter, per stabilire un contatto (lead generation) o per acquistare un prodotto, verranno cifrati e nessuno sarà in grado di intercettarli e rubarli (o cambiarli).
Questo è un aspetto molto importante in ogni caso, ma diventa obbligatorio nel momento che acquisisci dati sensibili come numeri di carta di credito, documenti, ecc.

Identificazione

I tuoi visitatori avranno la certezza che stanno guardando il tuo sito e non quello di un hacker che sta tentando di impersonarti. Quando richiederai infatti un certificato SSL ad un ente certificatore, questo prima di rilasciartelo farà una verifica sulla tua identità.
Il certificato che otterrai potrà essere utilizzato solo da te ed esclusivamente sui siti per cui è stato rilasciato.

Ti sfugge a cosa possa servire questa cosa?
Ti faccio un esempio.
Sfruttando un errore di digitazione che suppongo possano fare i visitatori, potrei comprare il dominio

www.deutsce-bank.com (invece che www.deutsche-bank.com)

e poi proporre a loro un sito uguale in tutto e per tutto all'originale.
I visitatori distratti mi comunicherebbero inconsapevolmente tutti i loro dati bancari.

La prossima volta che stai per inserire dati sensibili in un sito, ti basterà verificare la presenza del suddetto lucchettino verde e cliccandoci sopra avrai la verifica dell'identità.

Accesso all'area protetta

Preparati ad un tuffo al cuore, perché una situazione simile a quella che ti descriverò ora, molto probabilmente l'avrai già vissuta.
Ti trovi in vacanza, hai scattato una foto e vuoi pubblicarla da qualche parte, ad esempio sul tuo blog.
Entri allora in un bar che offre wi-fi gratuito e ti connetti all'area riservata del tuo sito che purtroppo non è protetta da una connessione cifrata HTTPS.

Per usare una metafora, ti sei appena fottuto con le tue mani!

Ricorda attentamente quello che ti dico ora: quando ti trovi collegato ad una rete wi-fi pubblica (gratis o a pagamento non fa differenza), tutti quelli che sono nella stessa rete vedono quello che invii in Internet... compresa la password di accesso al tuo sito che hai appena inserito.

Come faccio ad averlo anch'io?

Fino ad ora abbiamo parlato di "cos'è" e di "a cosa serve".
Ti spiegherò cosa devi fare per attivare il protocollo HTTPS sul tuo sito e al termine dell'articolo ti fornirò anche esempi presi direttamente dalla mia esperienza personale.

Primo passo, comprare un certificato SSL

Devi comprarti un certificato, ne esistono di prezzi differenti che crescono con l'autorevolezza dell'ente certificatore, ad esempio Comodo (quello che uso io), Verisign, ecc.
Nel caso te ne serva uno per un sito senza scopo di lucro, esistono enti che te lo possono rilasciare gratuitamente, ad esempio Let's Encrypt.

Esistono 4 tipi di certificato di prezzo crescente:

• Domain validation: serve per certificare il tuo dominio, ad esempio www.idea-r.it.
• Wildcard validation: serve per certificare tutte le varianti di terzo livello del tuo dominio, ad esempio blog.idea-r.it, shop.idea-r.it, ecc.
• Business validation: mentre i precedenti certificati vengono rilasciati molto rapidamente poiché si limitano a validare il sito web, questo tipo di certificato valida l'intera azienda e dunque ti verrà richiesto di fornire tutta la documentazione necessaria all'ente certificatore.
• Extended validation: questo certificato è una business validation di livello superiore, è stato studiato per prevenire il phishing (vedi l'esempio della banca) ed offre ai tuoi visitatori il massimo livello di certificazione.

Secondo passo, installare il certificato SSL

Qui di solito arrivano i primi problemi, però ti darò anche un'interessante alternativa.

In teoria il tuo sito web dovrebbe avere un indirizzo IP statico.

Questo vuol dire che non puoi stare su un server in hosting condiviso con migliaia di altri siti, ma devi avere un server tutto tuo. Aspetta! Non significa che ti devi comprare un server e metterlo a fianco alla lavatrice in casa. Tutti gli ISP (Internet Service Provider) ti permettono di acquistare Server Virtuali che gestiranno loro stessi.

Esiste anche un'opzione che costa meno che avere un server con IP statico ed è quella di usare il certificato in modalità SNI (Server Name Indication). Non entro nei dettagli per non annoiarti, ma sappi che questa modalità è stata studiata appositamente per evitare che ogni sito certificato dovesse avere un server tutto suo.

Ci sono delle controindicazioni?

Molte delle controindicazioni di cui sentirai parlare in giro sono falsi miti, diciamo che ci sono alcune difficoltà.

I certificati SSL costano molto, Falso!

Giusto per farti un'idea, io uso un certificato di tipo domain validation rilasciato da Comodo e lo pago meno di 4€ all'anno.

I siti HTTPS sono più lenti. Falso!

Visto che ogni dato prima di essere inviato deve essere cifrato, sembrerebbe logico pensare che tutta la comunicazione diventi più lenta.
Per risponderti con dati scientifici e non per sentito dire, ti invito a leggere il seguente benchmark:

TLS has exactly one performance problem: it is not used widely enough

In pratica, poiché oggi la cifratura viene effettuata da chip dedicati, il degrado delle prestazioni è impercettibile.
Ti basti pensare che il protocollo HTTPS è usato anche da un famosissimo sito web che per eccellenza ha bisogno di performance e che dunque non si sognerebbe mai di accettare compromessi.
Hai capito di chi sto parlando?
Ma di YouTube ovviamente!

Mi tocca avere un server dedicato. Parzialmente falso...

Di questo te ne ho già parlato prima, utilizzando server virtuali e certificati in modalità SNI, i costi possono essere notevolmente abbattuti.

Sempre per condividere la mia esperienza personale, il blog che stai leggendo ha un piano di hosting su Microsoft Azure che permette di installare gratuitamente 1 certificato in modalità IP statico e 4 certificati in modalità SNI (oltre questa soglia bisogna pagare). Dunque se fai una colletta con altri quattro amici, potrete avere tutti e cinque un bel sito con protocollo HTTPS.

Devo adattare il sito perché possa essere utilizzato su HTTPS. Vero.

Questa cosa è vera, ma non è niente di impossibile. Io ad adattare il mio sito ci ho messo meno di un'ora.

Praticamente il requisito per avere un sito sicuro è che quest'ultimo a sua volta utilizzi risorse sicure (cioè prelevate da indirizzi HTTPS). Per risorse intendo file CSS, JavaScript, font, ecc.
Se non rispetti questo requisito il browser del visitatore potrebbe impedire il caricamento di tutte le risorse non sicure.
Per esempio se sul tuo sito utilizzi un font preso da Google Fonts, assicurati che tu lo includa nella sua versione HTTPS:

Ti insegno ora un trucco che ti farà risparmiare un sacco di tempo se un giorno vorrai passare alla versione HTTPS del tuo sito.
Quando nella tua pagina devi inserire il link ad una risorsa, ad esempio ad un file JavaScript, invece di scrivere così

utilizza la versione indipendente dal protocollo

Questo modo di scrivere il collegamento alle risorse, detto protocol-relative URL, informa il browser del visitatore di caricare le risorse utilizzando lo stesso protocollo del sito.

Personalmente ho avuto problemi solo con due risorse: il widget StumbleUpon e gli annunci pubblicitari di Amazon Italia. Dico Italia perché per i contratti di affiliazione di Amazon USA questo problema non esiste. Beh si sa, noi in Italia siamo sempre gli ultimi.

Perdo tutti i miei Tweet e SHARE Facebook. Si può evitare.

Circoscriviamo il problema.

• Il problema non riguarda i like alla pagina Facebook, ma eventuali condivisioni di contenuti (share e tweet).
• In realtà non si perdono le azioni sociali ricevute nel passato, solo che i badge che eventualmente sono presenti sulle pagine mostreranno ZERO nei contatori.
• LinkedIn si adatta immediatamente senza problemi.
• Google+ ci mette un po' ma alla fine aggiorna i contatori.

Non preoccuparti, il problema Facebook e Twitter si risolve facilmente:

1. Per i vecchi contenuti continua a far puntare i widget alla versione HTTP precedente.
2. Redirigi i vecchi contenuti HTTP alle nuove versioni HTTPS (301 redirect)

Magia! I contatori tornano a mostrare le cifre tanto faticosamente conquistate.

Conclusioni

Google proseguirà nella campagna HTTPS everywhere a favore della sicurezza e aspettiamoci che gradualmente faccia retrocedere tutti i siti non HTTPS.

Poi non dirmi che non ti avevo avvertito...

Per approfondire l'argomento SSL/TLS ti invito a vedere il video ufficiale Google in calce all'articolo.

Scarica l'eBook gratuito

Scarica gratis

Scarica gratis la checklist SEO per ottimizzare il tuo sito web e sorpassare la concorrenza.
Troverai raccolte e spiegate oltre 50 linee guida per posizionarti al meglio sui motori di ricerca.
I requisiti di sicurezza che Google raccomanda e promuove, gli errori che devi evitare ad ogni costo, e molto altro ancora.