Certificato SSL: proteggi il tuo sito web e la tua immagine

Un lucchetto verde appare a fianco dell’indirizzo web del tuo sito web. Il certificato SSL rende possibile questa nuova funzione, ed è stato installato per questi motivi: proteggere i dati e il lettore. Incuriosito? In questo post ti spiego cos’è l’HTTPS e perché dovresti adottarlo sul tuo sito.

Certificato SSL

Prima però ti do qualche informazione in più. Ad esempio, perché ti parlo di SSL e di HTTPS? Il motivo è semplice: qualcosa è cambiato. Google Chrome, dal gennaio 2017 ha iniziato a segnalare come non sicuri alcuni siti web che non hanno il certificato SSL e che non utilizzano il protocollo HTTPS.

Determinati siti senza certificato potrebbero avere delle percussioni nel posizionamento. E l’esperienza utente verrebbe minata profondamente, soprattutto su quei domini dove si svolgono acquisti e prenotazioni. Con l’avviso di Chrome le persone potrebbero non visitare più l’indirizzo.

Questa però è solo la punta dell’iceberg, la storia parte da lontano e ci sono diversi aspetti da considerare. La sicurezza è una priorità assoluta per Google. Ma lo è per chiunque operi in rete, a tutti i livelli. Sia per le aziende che investono nella presenza sul web sia per i visitatori che vogliono affidare in mani sicure i loro dati. Allora, approfondiamo insieme l’argomento?

Cos’è e a cosa serve l’HTTPS

Faccio un passo indietro. Cos’è l’HTTPS? Definizioni tecniche a parte, è una risposta concreta ed efficace alla richiesta di sicurezza degli utenti che navigano il web. Crittografare il contenuto del sito consente di proteggere le informazioni e i dati delle persone. Prendo come fonte Google:

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito. 

Con il certificato SSL i dati scambiati con il sito vengono criptati e protetti dalle intercettazioni. Cosa significa? Vuol dire che nessuno può tenere traccia delle attività svolte sulle pagine o rubare le informazioni. Ecco a cosa serve il certificato SSL sul tuo dominio: a preservare gli utenti.

Da leggere: come scegliere il nome di un blog

Il certificato SSL è indispensabile?

Ci sono casi in cui il certificato SSL è fondamentale. Un’azienda che vende online i suoi prodotti e servizi non può accettare che i clienti inseriscano i dati in un sito non sicuro. Così come un’agenzia di noleggio con conducente di auto di lusso non può chiedere al pubblico di aggiungere informazioni per una prenotazione in un modulo che potrebbe avere dei problemi.

Certificato SSLMarkCom S.r.l. non ha un e-commerce (almeno per ora) ma possiede un modulo di richiesta per un ebook gratuito. Come altri siti, il form di contatto è un elemento necessario per ottenere delle conversioni. Per questo voglio dare al potenziale cliente tutte le sicurezze. Il certificato SSL è stata una scelta allineata con gli obiettivi: dare la migliore esperienza possibile. Ricapitolando, ecco alcuni esempi di siti che non possono assolutamente fare a meno dell’HTTPS:

  • E-commerce e portali di commercio elettronico.
  • Progetti che prevedono la registrazione in un’area riservata.
  • Siti che hanno modulo di contatto avanzato e di prenotazione.

Ti illustro due casi concreti di aziende che hanno adottato di recente l’HTTPS. Due storie parallele che hanno in comune la necessità di presentare un sito affidabile e creare, ogni giorno, opportunità concrete di vendita. Qui la scelta è stata obbligata, ecco i siti di riferimento.

Tecniwok S.p.A.

Tecniwok S.p.A.

Il sito web di Tecniwok S.p.A.

Nel 1999, la Tecniwork® si è rivolta a MarkCom per realizzare un sito di E-commerce con sistema di aggiornamento on-line. Nel 2003 sono emerse nuove esigenze: in particolare il catalogo avrebbe dovuto essere personalizzato in base alle esigenze dei propri Clienti e capace di gestire promozioni. Nell’ambito della Sales Force Automation, la Rete Vendita avrebbe dovuto reperire informazioni e comunicare con l’Azienda in modo semplice, immediato ed efficiente. Nel 2013 è stata rilasciata una nuova versione per personalizzare ulteriormente l’esperienza di navigazione dell’utente. L’implementazione dell’HTTPS è stata una scelta obbligata per tutelare la sicurezza dei dati dei propri clienti.

Clab Service

Clab Service

Il sito web di Clab Service.

Clab Service è un portale che permette all’utente di prenotare il proprio viaggio in auto. Anzi, un viaggio di lusso con le migliori auto in circolazione. Chi sceglie quest’azienda si aspetta professionalità ed efficienza, ed è impossibile pensare che una soluzione del genere – con un form di prenotazione – possa essere presentata online senza un adeguato protocollo HTTPS.

SEO e HTTPS: serve veramente?

Uno degli aspetti più importanti per chi vuole l’HTTPS è il vantaggio sui motori di ricerca. Il certificato SSL, infatti, può essere un elemento dell’ottimizzazione SEO. La notizia è stata data da Google qualche tempo fa e segue quella che è una delle battaglie di Mountain View: garantire un web sicuro.

HTTPS Everywhere, ecco è la parola d’ordine. Questo vantaggio nella serp non riguarda tutti i siti ma solo quelli che richiedono dati sensibili. Per esempio password d’accesso e numeri di carta di credito. Quindi il certificato SSL può dare una spinta in termini SEO per i siti che hanno bisogno di sicurezza.

Molti vedono questo passaggio come un’imposizione, una forzatura. D’altro canto il comportamento di Google è lineare: deve fornire il miglior risultato possibile, di conseguenza questo aspetto può essere compreso nei fattori che influenzano il posizionamento. Non ha senso consigliare risultati che mettono in pericolo il pubblico, non è questo l’obiettivo ultimo di Mountain View.

Il certificato SSL su Chrome

Per completare l’opera c’è la politica di Chrome che con la nuova versione bolla come non sicuri i siti web che, secondo il suo giudizio, dovrebbero avere l’HTTPS. L’esperienza utente viene segnata: tu navigheresti su un dominio del genere? E inseriresti il numero della carta di credito?

Il certificato SSL su Chrome

L’etichetta Non Sicuro su Chrome.

Il browser di Google avverte l’utente sulla pericolosità di visitare un sito web in HTTP. Anzi, per la precisione il problema si trova nella comunicazione dei dati come password e numeri di carte di credito. Perché la connessione non è cifrata, non c’è alcun protocollo a vigilare sulla sicurezza. Devi implementare l’HTTPS sul sito web perché ce lo dice Google? No, perché è utile per i lettori.

Esiste un certificato SSL gratis?

Questo è uno dei passaggi essenziali: esiste un certificato SSL gratuito, magari a basso costo ed economico? In realtà, come vedrai tra poco, ci sono diversi servizi per implementare l’HTTP, ma se vuoi qualcosa di gratuito, a costo zero, puoi usare Let’s Encrypt.

Questo progetto permette a tutti di applicare una protezione senza spese. Conviene? Molti provider lo forniscono in automatico, è comunque una buona protezione. Ma se lavori con un e-commerce e hai in mano i dati dei tuoi clienti ti consiglio di investire una cifra adeguata alle tue necessità.

Come ottenere il certificato SSL

Ti ho convinto, vuoi aggiungere un certificato SSL sul tuo sito. Come ottenerlo? Molto semplice, devi rivolgerti al provider, il fornitore di servizi web, e acquistare la soluzione che preferisci. O meglio, quella che fa al caso tuo. Perché questo è il punto: non c’è un unico certificato, tutto dipende dal tipo di protezione che ti serve. Qualche esempio:

  • RapidSSL
  • Thawte Web Server
  • RapidSSL Wildcard
  • True BusinessID with EV
  • Thawte Wildcard

Questi modelli vanno dal più semplice ed economico al più sicuro e costoso. Nel momento in cui hai completato l’acquisto puoi abbinare il certificato al dominio e hai la protezione che ti serve. A questo punto, però, c’è un problema da risolvere: devi fare un redirect che punti sulla nuova versione del sito.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.iltuosito.com/$1 [R,L]
</IfModule>

 

Cioè devi passare da HTTP a HTTPS. In questo caso puoi agire sul file .htaccess e inserire questa stringa (prima ricorda di cambiare l’indirizzo del sito nelle impostazioni generali del blog) o sfruttare uno dei tanti plugin WordPress che ti consentono di gestire la migrazione. Qualche consiglio? In primo luogo usa questo tool (ssllabs.com/ssltest) per scoprire se funziona il protocollo SSL.

Risorse utili per implementare l’HTTPS

Come puoi ben immaginare, non è sempre facile passare da HTTP a HTTPS. Spesso i provider sono ben disposti nei confronti degli utenti e aiutano a svolgere le operazioni più complesse. Ma su progetti molto importanti, magari su siti web con molte pagine, conviene lavorare con un SEO e un bravo webmaster al proprio fianco. Senza dimenticare che ci sono diverse risorse da sfruttare.

Plugin WordPress

Quali sono i migliori plugin WordPress per gestire il passaggio da HTTP a HTTPS? Easy HTTPS Redirection è perfetto per passare gli indirizzi da una versione all’altra, mentre SSL Insecure Content Fixer ha un’utilità che puoi toccare con mano quando non tutto riesce alla perfezione. Questa estensione, infatti, consente di individuare i contenuti che portano ancora l’HTTP.

URL Canonical

Come mi comporto con le pagine canoniche che regolano i contenuti che hanno più URL? La risposta arriva da Mountain View: in questo caso Google preferisce le pagine HTTPS alle pagine HTTP equivalenti. Per risolvere i problemi relativi a questo passaggio conviene seguire le istruzioni che trovi nella guida ufficiale. Sempre in compagnia di un webmaster esperto.

Google Search Console

Se esegui la migrazione da HTTP a HTTPS, Google considera l’operazione uno spostamento del sito con modifiche agli URL. Ciò può influire sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina con una panoramica sullo spostamento di un sito.

Ancora un dettaglio: aggiungi la proprietà HTTPS a Search Console. Quest’ultima gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine che adottano entrambi i protocolli, devi indicare una proprietà Search Console distinta.

Google Analytics

Se vuoi ricominciare la raccolta delle statistiche dal momento in cui passi all’HTTPS puoi verificare una nuova proprietà di Google Analytics, generare un codice di incorporamento differente e cancellare il vecchio dal sito (Google stesso sconsiglia di tenerne due).

Se invece vuoi tenere lo stesso codice e raccogliere le statistiche senza perdere le vecchie devi aggiornare l’URL nelle impostazioni proprietà – amministrazione > proprietà > impostazioni proprietà – e nelle impostazioni vista – amministrazione > sezione vista > impostazioni vista.

Da leggere: 5 alternative a Ubersuggest da usare subito

Perché non compare il lucchetto verde

Ho il mio protocollo SSL ma manca l’etichetta verde. Quando fai il passaggio qualcosa può andare storto. Il concetto è questo: devi evitare di incorrere in errori comuni durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere gli sbagli che trovi in questa lista.

  • Certificati scaduti. Assicurati che il tuo certificato sia sempre aggiornato
  • Problemi di scansione. Non impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt
  • Problemi di indicizzazione. Consenti l’indicizzazione delle pagine da parte dei motori di ricerca.
  • Elementi di sicurezza misti. Incorpora soltanto contenuti HTTPS nelle pagine HTTPS

Ultimo punto, attenzione al nome del sito web. Verifica di avere registrato il certificato per il nome host corretto. Ad esempio, se acquisti il certificato per www.example.com e il tuo sito web è configurato per utilizzare example.com, riceverai un errore di corrispondenza del nome del certificato.

Ti piace quel protocollo che consente di attivare l’HTTPS e di inserire il nome dell’azienda in verde nel browser? Si tratta del certificato True BusinessID with EV, una realtà con un costo superiore ma con un riflesso decisivo sul brand. Pensa solo che le principali banche usano questa soluzione.

Certificato SSL: la tua esperienza

La presenza del certificato SSL incomincia a farsi notare sul web, non solo su e-commerce e portali ma anche sui blog. Google sta forzando la mano definendo “non sicuri” i siti che non adottano il protocollo HTTPS. Ma molto dipende dalla consapevolezza di chi crea, gestisce e cura i siti.

Questo impone una riflessione ulteriore sulle soluzioni che possono essere adottate per rendere il web più sicuro. Ora tocca a te. Mi interessa la tua opinione. Hai già adottato il certificato SSL sul tuo sito? Quali sono le ragioni che ti spingono a non farlo? Reputi eccessiva l’implementazione dell’HTTPS sui siti vetrina? Lasciami la tua opinione nei commenti.

Share

Diego Ricci

Innamorato di Internet, dal '97 mi occupo di servizi web per piccole e micro imprese. Ascolto e analizzo le esigenze dei Clienti e propongo soluzioni. Amo la buona compagnia, lo stare insieme e le cose semplici come una birra al pub.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Shares
Leggi articolo precedente:
Riccardo Esposito
Lavorare con la scrittura: intervista a Riccardo Esposito

Lavori sodo e decidi di pubblicare un grande sito. Un progetto senza pari, impossibile da eguagliare. Grandi aspettative, vero? A...

Chiudi