HTTP vs. HTTPS: Qual’è la differenza e perché dovrebbe importare?

La differenza è che l’HTTPS criptato è la base per la sicurezza oggi.

Magari avrete sentito persone che vi mettono fretta per passare alla crittografia dell’HTTPS; citano l’annuncio di Google che riporta come l’HTTPS sia ormai un segnale per il ranking, e che non fare il passaggio vorrebbe dire affossare il vostro posizionamento su Google.

E questo a sua volta vorrebbe dire meno traffico e meno affari.

Ma può un prodotto che costa circa 100 euro all’anno (o addirittura zero, con servizi come Let’s Encrypt) fare davvero tutta questa differenza? E se sì, quanto è semplice fare il passaggio?

Diciamoci la verità, fino a poco tempo fa l’HTTPS era usato solo dai siti di e-commerce per le loro pagine di pagamento. Le cose possono farsi complicate e la domanda che molti imprenditori si fanno è se valga la pena o no passare all’HTTPS.

Quindi diamo un’occhiata alle motivazioni a favore e contro. Ma prima di tutto, cos’è esattamente l’HTTPS?

 

Che cos’è l’HTTPS e perché ne avete bisogno?

HTTP sta per hypertext transfer protocol. E’ un protocollo che permette la comunicazione tra sistemi diversi. Più comunemente, è usato per trasferire dati da un web server a un browser per vedere le pagine web.

Il problema è che i dati nell’HTTP (nota: senza “s” alla fine) non sono cifrati e possono essere intercettati da terze parti per raccogliere dati mentre passano da un sistema all’altro.

A questo si può rimediare usando una versione sicura chiamata HTTPS, in cui la “S” sta per sicuro.

Questo prevede l’uso di un certificato SSL — “SSL” sta per secure socket layer — che crea una connessione cifrata sicura tra il web server e il browser.

Senza l’HTTPS, tutti i dati trasferiti non sono sicuri. Questo è importante specialmente per i siti in cui vengono trasferiti dati sensibili, come i siti di e-commerce che accettano pagamenti online con le carte o le aree di login che richiedono agli utenti di inserire le loro credenziali.

 

Quel è la procedura per passare all’HTTPS?

Se avete familiarità con il backend di un sito web, passare ad HTTPS è abbastanza semplice nella pratica. I passaggi base sono i seguenti.

  1. Comprate un certificato SSL e un indirizzo IP dedicato dal vostro hosting.
  2. Installate e configurate il certificato SSL.
  3. Fate un back-up completo del vostro sito nel caso aveste bisogno di tornare indietro.
  4. Configurate i link nel vostro sito, da HTTP a HTTPS.
  5. Aggiornate tutte le librerie di codice come JavaScript, Ajax e tutti i plugin di terze parti.
  6. Reindirizzate tutti i link esterni che controllate ad HTTPS, come l’elenco delle directory.
  7. Aggiornate le applicazioni htaccess, come Apache Web Server, LiteSpeed, NGinx Config e le funzioni del vostro internet services manager (come Windows Web Server), perchè reindirizzino il traffico HTTP ad HTTPS.
  8. Se usate un content delivery network (CDN), aggiornate le impostazioni SSL del vostro CDN.
  9. Implementate un reindirizzamento 301 su singole pagine.
  10. Aggiornate ogni link che usate negli strumenti di marketing automation, come i link nelle email.
  11. Aggiornate tutte le landing page e i link nella ricerca a pagamento.
  12. Impostate una proprietà HTTPS in Google Search Console e Google Analytics.

Per quanto riguarda la configurazione del certificato SSL — i punti uno e due qui sopra — è abbastanza semplice, e il vostro servizio di hosting potrà aiutarvi.

Inoltre tenete a mente che per un piccolo sito web questo sarà molto più facile, perché alcuni dei punti suddetti non si applicano in tutti i casi come le librerie di codice e i CDN. Ad ogni modo, per un sito più grande, è un argomento un po’ più complesso e dovrebbe essere affrontato da un webmaster con esperienza.

Fino a questo punto, l’unica decisione che prenderete sarà se volete usare un SSL che abbia una barra del browser verde “sicura”. Questi tipi di SSL di solito richiedono qualche forma di verifica dell’identità prima che siano richiesti. Questa è una delle ragioni per cui tendono a costare di più. Oltre a questa differenza, i certificati SSL più “normali” funzionano sotto lo stesso principio.

Se non siete troppo avvezzi alla tecnologia, probabilmente avrete bisogno di assistenza per i passi descritti sopra.

Vale la pena far notare che per un piccolo sito, diciamo meno di 50 pagine, questo procedimento non porterà via molto tempo. Invece, per siti più grandi, l’aggiornamento completo di link e reindirizzamenti di pagine dovrebbe essere fatto da uno sviluppatore esperto.

 

I motivi per passare all’HTTPS

Messa in modo semplice, il motivo più importante per passare ad HTTPS è che state rendendo il vostro sito web più sicuro.
Certo, ci sono limiti a questo. HTTPS non è come un firewall per il web. Non preverrà gli attacchi degli hacker al vostro sito. Non farà neanche in modo che non vengano più mandate email di phishing.

Se state usando un content management system (CMS), come WordPress, o avete un qualunque altro account in cui tenete ogni tipo di dati sensibili, allora configurare un login HTTPS sicuro è la precauzione minima che dovreste prendere.

In realtà, HTTPS è il punto di partenza per la sicurezza di oggi. E’ davvero il minimo che possiate offrire ai vostri visitatori.

Oltre alla sicurezza, HTTPS aumenta la fiducia.
Secondo la ricerca portata avanti da GlobalSign, più dell’80 percento degli intervistati non porterebbe a conclusione un acquisto se non ci fosse l’HTTPS in uso.

Questo vale per i commercianti online, ma l’HTTPS aumenta la conversione e la fiducia per le aziende che non prendono pagamenti online? Ci sono prove che l’uso di sigilli di sicurezza possa migliorare la lead generation di oltre il 40%.

Non solo i vostri visitatori fanno attenzione alla sicurezza del vostro sito, ma lo fa anche Google. La sicurezza è al centro di ciò che fa Google in questi tempi. Ecco perché l’azienda ha elencato l’HTTPS come un fattore che influenza il ranking.

Quindi la ragione più importante per passare ad HTTPS è per rendere il vostro sito web a prova di futuro. Prima o poi dovrete rassegnarvi e fare il passaggio.

 

I motivi per non passare all’HTTPS.

Recenti ricerche hanno mostrato che per i siti B2B più piccoli, l’adozione dell’HTTPS è bassa.

Le ragioni includono una mancanza di consapevolezza sulla crescente importanza dell’SSL o la difficoltà percepita del passaggio ad HTTPS e in particolare il potenziale impatto negativo sulla SEO.

E la SEO è una delle considerazioni più importanti, specialmente per i siti web che hanno un buon ranking. Come si dice, “Finche la barca va, lasciala andare”.

Altri fattori, come l’ottimizzazione on page, il numero di recensioni Google, il numero totale di pagine e il numero di backlink, ha molto più peso sul ranking rispetto al passaggio ad HTTPS.

In breve, HTTPS come fattore di ranking ha poca importanza in questo momento. Non fraintendeteci: un minimo di importanza SEO ce l’ha, ma non aspettatevi cambiamenti radicali nel vostro posizionamento.

Il mio personale punto di vista è che se il vostro sito web non ha avuto un significativo impatto dal non usare HTTPS, allora non avrete esperienze negative significative se non farete il passaggio adesso o nell’immediato futuro.

Ad ogni modo, bisogna dare anche un avviso importante. Non fare il passaggio potrebbe lasciarvi esposti a un improvviso cambiamento nell’algoritmo. Il peggior scenario possibile sarebbe vedere il vostro ranking disintegrarsi da un giorno all’altro.

L’avviso di Google per i dispositivi mobili dà qualche rassicurazione che questo non succederà da un momento all’altro.

Una possibilità potrebbe essere coinvolgere uno sviluppatore esperto per pianificare tutto e realizzarlo, in modo che possiate muovervi velocemente nell’eventualità che Google inizi a dare un peso significativo ai segnali HTTPS con breve preavviso.

Questa è una buona idea specialmente per i siti più grandi. Come citato sopra, i cambiamenti richiesti alla SEO, come aggiornare i link interni, non sono cosa da poco, e nel caso dell’aggiornamento htaccess, non dovrebbero essere svolti da una persona che non ha esperienza tecnica. Se dovessero essere svolti di fretta, o da uno sviluppatore poco esperto, potreste vedere crollare il vostro ranking in brevissimo tempo.

Tenete anche a mente che nella sfortunata eventualità che ci fosse un cambiamento nell’algoritmo da un giorno all’altro che penalizzasse i siti non HTTPS, gli sviluppatori capaci sarebbero richiestissimi e avrebbero il coltello dalla parte del manico per decidere i costi. Pianificare una passaggio adesso sarebbe una mossa prudente indipendentemente da fatto che decidiate di fare il passaggio immediatamente o dopo.

Ma vale la pena ripetere che il mancato passaggio è solo un rimandare l’inevitabile.

Infatti, la direzione è chiara: usare HTTPS sarà sempre più la norma piuttosto che l’eccezione e dovreste pianificare la migrazione ad HTTPS il prima possibile.