Migrazione HTTPS, rendi il tuo sito web più sicuro

Condividi

La migrazione HTTPS rende il tuo sito web più sicuro e in linea con la GDPR evitando penalizzazioni da parte di Google. Scopri come migrare ad HTTPS.

Sommario

Ultimo aggiornamento: 20 aprile 2018

Perché conviene migrare il tuo sito internet ad HTTPS

Ti ricordi il primo avvertimento di Google per incoraggiare i possessori di siti internet a passare al protocollo HTTPS?

Se non te lo ricordi, nessun problema: ne ho parlato in questo articolo.

Google Chrome infatti, a partire dalla versione 56 – uscita a fine gennaio 2017 – ha cominciato a evidenziare come “non sicure” le pagine HTTP che richiedono dati sensibili (come le carte di credito o le password). Inoltre ha reso la connessione criptata un fattore di posizionamento, premiando leggermente i siti HTTPS.

Ma Google non si è fermato qui.

Con l’uscita della versione 62 infatti, Chrome ha cominciato a definire “non sicure” le pagine HTTP che richiedono il semplice inserimento di qualsiasi dato utente – anche solo un indirizzo email.

Ma lasciamo la parola al blog di Chrome, che già nell’aprile 2017 annunciava:

A partire da ottobre 2017, Chrome mostrerà l’avviso “not secure” in altre due situazioni: quando un utente inserisce dati in un modulo di una pagina HTTP e in tutte le pagine HTTP visitate in modalità incognito.

Il blog di Chrome continuava:

Le password e i numeri delle carte di credito non sono gli unici tipi di dati che dovrebbero essere privati. Qualsiasi tipo di dati che gli utenti digitano nei siti web non dovrebbero essere accessibili agli altri sulla rete, quindi a partire dalla versione 62 Chrome mostrerà l’avviso “not secure” quando gli utenti inseriscono qualsiasi dato nei siti HTTP.

Ripeto: qualsiasi tipo di dati. Anche un semplice termine di ricerca nella casella “cerca nel sito”.

E non è tutto.

Chi naviga con Chrome in modalità incognito si aspetta un livello di privacy ancora maggiore rispetto alla navigazione ordinaria. Ma le pagine HTTP non sono private. Pertanto, in modalità incognito tutte le pagine HTTP mostrano l’avviso “not secure”.

segnalazione pagine non sicure

Avvisi sempre più evidenti

Il giro di vite promosso da Google con Chrome 62 non è stato certo l’ultimo.

Lo scorso febbraio il blog di Chromium ha annunciato che da luglio 2018, con l’uscita di Chrome 68, tutti i siti HTTP verranno mostrati così:

chrome not secure phase 3 wide

Inoltre, è previsto che questi avvisi diventeranno man mano più evidenti, arrivando a mostrare  un chiaro segnale di pericolo e una scritta in rosso.

I fruitori dei siti web, soprattutto gli utenti di Chrome (circa la metà di tutti gli utenti), verranno progressivamente sensibilizzati ed educati all’importanza della sicurezza nel web. Col tempo diventeranno sempre più diffidenti nei confronti di quei siti che insisteranno a utilizzare una connessione non criptata.

Ad  esempio, possiamo prevedere che sempre meno utenti lasceranno la loro email per iscriversi a una newsletter, se vedranno il segnale di pericolo.

come Chrome mostrerà le pagine non HTTPS

Non dimenticare inoltre che Google, oltre a dare un leggero vantaggio di posizionamento per i siti HTTPS, comincerà a penalizzare i siti che manterranno la connessione non criptata.

Una questione di privacy

Per spiegare meglio i vantaggi di un sito in HTTPS, facciamo un passo indietro e cominciamo dal suo significato.

HTTPS è un acronimo che sta per Hyper Text Transfer Protocol over Secure Socket Layer.

Praticamente si tratta del protocollo HTTP con una connessione criptata. Il Secure Socket Layer ormai datato viene man mano rimpiazzato dalla più recente Transport Layer Security (TLS).

Cosa vuol dire connessione criptata? vuol dire che i dati che viaggiano dal dispositivo del tuo utente al tuo sito web vengono codificati in modo che non è più possibile intercettarli e “leggerli  in chiaro”.

Di conseguenza diventa molto più difficile rubare dati personali come nomi, cognomi, indirizzi email, coordinate bancarie, numeri di carte di credito.

La sicurezza dei dati personali è uno dei principi fondamentali del nuovo Regolamento Europeo sulla Privacy (GDPR) che entra in esecuzione il 25 maggio 2018 e che sta obbligando a un ripensamento fondamentale del modo in cui tutti noi utilizziamo i dati personali dei nostri utenti.

Per saperne di più ▶︎ Privacy sito web: come adeguarsi al GDPR

Come passare ad HTTPS

Appurato che conviene passare al protocollo HTTPS, vediamo ora che come effettuare il passaggio.

1. Ottenere un certificato SSL

Per passare ad HTTPS, innanzitutto bisogna installare un certificato apposito sul proprio server. Il compito del certificato è di garantire che le informazioni fornite dagli utenti sul web non vengano intercettate da terze parti.

Gli Host più importanti includono l’attivazione di un certificato gratuito (Let’s Encrypt o equivalente) già attivato per default oppure attivabile in poche ore su richiesta. I provider includono anche le istruzioni specifiche all’interno del pannello di gestione (cPanel, Plesk, o simile).

Fai login nel pannello di gestione del tuo sito e segui le istruzioni.

Le’ts Encrypt ha il vantaggio di essere rapido da attivare e completamente gratuito, ma offre una protezione di base. Se preferisci un certificato con maggiori garanzie di sicurezza, gli host offrono una serie di certificati a pagamento, a costo crescente e tempi di attivazione generalmente più lunghi.

Prima di proseguire, devi attendere l’attivazione del certificato: come abbiamo detto, può avvenire in due ore come in due giorni: dipende dal provider e dal certificato che hai acquistato.

Per assicurarti di poter continuare, controlla l’attivazione digitando l’indirizzo del tuo sito web con HTTPS. Se il server risponde, potete continuare.

2. Modificare gli indirizzi del sito

2.1 WordPress

Se il tuo sito gira su WordPress i passaggi da eseguire sono pochi, ma per compierli devi disporre di un profilo di amministratore e di un accesso FTP. Ecco la procedura:

IMPOSTAZIONI > GENERALI 

modifica gli indirizzi del sito aggiungendo una bella “S”.

wordpress impostazioni sito https

Se l’operazione riesce, verrai “buttato fuori” dall’area amministrazione. Ripeti il login e, se hai Yoast puoi fare la modifica successiva senza ricorrere all’FTP.

SEO > STRUMENTI > MODIFICA FILE

Questa sezione di Yoast ti permette di fare modifiche al file .htaccess. Procedi con cautela e fai una copia del file prima di qualsiasi modifica. Aggiungi queste righe di codice:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R=301,L]

Se l’istruzione “RewriteEngine On” è già impostata, scrivi le due righe successive immediatamente sotto a questa, prima di qualsiasi altra riga.

Modificare il file WP-CONFIG

Per forzare l’uso di HTTPS anche nei pannelli di amministrazione aggiungiamo le seguenti righe in fondo al file wp-config:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
Fatto questo, se tutto va bene  potrai digitare il tuo nuovo indirizzo web e vedrai comparire un bellissimo lucchetto verde prima del nome del sito.

nuwebstudio sicuro
come appare un sito sicuro

A questo punto però, come al solito c’è anche la cattiva notizia.

Il fatto è che i siti web di oggi sono sempre più ricchi e complessi. Avendo fatto già “qualche” migrazione per i nostri clienti possiamo dire, oggi più che mai, che il diavolo è sempre nei dettagli: basta solo che qualche componente non sia stato convertito, o che contenga link assoluti (http://www.example.com anziché //example.com) per rovinare il lavoro fatto finora.

Ecco quindi che ci tocca andare alla caccia di:

  • link interni (es. link personalizzati nei menu di WordPress)
  • tema, plugin e qualsiasi parte del sito il cui codice contiene link assoluti a risorse esterne HTTP

e correggere tutto sostituendo “http://” con un semplice “//”.

2.2 Altri CMS

Se il tuo sito utilizza un CMS diverso da WordPress, la posizione delle modifiche sarà leggermente diversa.

Serverplan ha pubblicato a questo proposito una guida completa con le istruzioni adatte a diversi CMS. Seguile passo passo e, se tutto va bene al primo colpo, la tua migrazione ad HTTPS non richiederà molto tempo.

3. Avvisare Google

Se ti occupi da solo del tuo sito, avrai sicuramente attivato Google Analytics e Google Search Console. Se usi WordPress, forse hai installato un plugin che tiene aggiornata la sitemap.

In Google Analytics sarà sufficiente modificare la tua proprietà selezionando, davanti al nome del sito, HTTPS anziché HTTP.

In Search Console invece devi creare una proprietà completamente nuova con l’indirizzo HTTPS – e ricorda di crearla sia nella versione https://esempio.com che nella versione https://www.esempio.com. Certifica la nuova proprietà come hai fatto per quella vecchia, ricrea gli utenti e invia la sitemap. Se avevi incorporato i dati di Search Console in Analytics, devi sostituire il collegamento della vecchia proprietà Search Console con quella nuova.

Monitorizza poi giorno per giorno sia Analytics che Search Console, assicurandoti che la sitemap che hai inviato non contenga errori. Col tempo Google comincerà a indicizzare le nuove pagine HTTPS sostituendole alle pagine HTTP.

Se avrai lavorato bene con Google, il calo di traffico e di posizionamento, se ci sarà, sarà trascurabile e verrà recuperato velocemente.

https-connessione-sicura-chrome

Conclusioni

In conclusione, conviene migrare ad HTTPS? a nostro avviso la risposta è sì, per due motivi.

  1. Il motivo principale è che in questo modo eviteremo la segnalazione di sito non sicuro. Ma, segnalazione a parte, col tempo il fatidico lucchetto sul tuo sito diventerà un requisito di base, mancando il quale potrebbe sorgere un problema di fiducia da parte dei lettori. Invece, proteggendo i dati dei tuoi utenti, di riflesso proteggerai anche il tuo business.
  2. Oltre al fattore Trust, c’è il fattore di posizionamento su Google: i siti che rimarranno in HTTP verranno leggermente penalizzati rispetto ai siti HTTPS.

Quando conviene fare il passaggio ad HTTPS?

Consigliamo di testare subito se il tuo certificato SSL gratuito è attivo, e in caso richiederne l’attivazione al tuo Host prima possibile.

Una volta accertato che il certificato è attivo, se gestisci da solo il tuo sito scegli un week-end o un periodo di scarso traffico, metti il sito in modalità “manutenzione” e segui passo passo le istruzioni del tuo Host o quelle che abbiamo riportato in questo articolo.

Se, una volta eseguite le istruzioni, non riesci a vedere il fatidico lucchetto verde, non resta che ispezionare il codice del tuo sito in cerca di link contenenti la stringa “http://” e modificarle una ad una con il tuo editor preferito. Questa procedura richiede che tu abbia almeno una conoscenza di base di HTML e della struttura dei file del tuo CMS, se lo usi. Quando hai terminato puoi riportare il sito online.

Solo a fine lavoro, cioè quando tutto il codice è pulito, pensa a Google. In Search Console crea la nuova proprietà nelle due versioni con e senza www e invia la sitemap. Testa la nuova sitemap per individuare subito eventuali problemi (pagine non trovate, risorse non disponibili, ecc).

Continua a monitorare il sito in Search Console, per qualche settimana dal passaggio in HTTPS, controllando che non vi siano errori o pagine su cui fare il redirect. In teoria, il redirect dovrebbe essere garantito dalle modifiche che avrai fatto nel sito (se hai seguito le istruzioni), ma se serve qualche intervento extra il monitoraggio te lo rivela subito.

E se ti trovi in difficoltà durante il passaggio in HTTPS, puoi mandarci un messaggio con la chat del sito o con il modulo contatti, oppure sulla nostra pagina Facebook, e penseremo noi a tutto. Mentre risolveremo qualsiasi problema che ti è capitato, ti permetteremo di tornare a occuparti di ciò che è veramente importante: il tuo business!

Condividi: