In quest’ultimo periodo (gennaio 2017), sui social sembra molto più confusa del dovuto la faccenda della migrazione da HTTP a HTTPS. Ma tranquilli, in effetti basta leggere il comunicato ufficiale di Google per fugare ogni dubbio.
A cosa ci riferiamo?
Nelle prossime release Google Chrome segnalerà come “NON SICURI” alcuni siti in http, ma differentemente da quanto pensano molti la questione è molto meno complicata di quanto sembri e no, molti siti non sono per nulla a rischio, anzi potrebbe assolutamente non cambiargli nulla. Ma vediamo nel dettaglio di cosa stiamo parlando.
In cosa consiste il passaggio
Il passaggio da HTTP a HTTPS non consiste in altro se non nell’abilitazione della crittografia tramite un certificato SSL, questo significa che tutte le comunicazioni tra il client (il browser) e il server (il vostro sito) saranno cifrate tramite un “contratto” ed un eventuale malintenzionato non potrà frapporsi tra i due.
Questo aumenta la sicurezza? Assolutamente sì, aumenta notevolmente ed esclusivamente la sicurezza dello scambio di dati tra client e server, ma certifica in qualche modo le attività di chi ha fatto quel sito? Per niente.
Un truffatore che cercherà di acquisire i dati della vostra carta di credito tramite un form di vendita fasullo, ad esempio creando un ecommerce di abiti per poi non consegnare la merce, potrà farlo ugualmente. È comunque necessario prestare la massima attenzione!
Ne vale la pena passare a HTTPS?
Premettendo che sì, passare a HTTPS è una buona cosa, è anche un fattore di ranking e permette di abilitare HTTP2, c’è però da dire che tutta questa urgenza di fatto non sussiste per la maggior parte dei siti.
Dal comunicato ufficiale:
“Chrome will soon mark non-secure pages containing password and credit card input fields as Not Secure in the URL bar.”
trad:
“Chrome presto notificherà nella barra degli URL come non sicure le pagine che contengono campi di input per password o carte di credito”
Si evince che non tutte le pagine, non tutto il sito, solo le pagine contenenti form per dati sensibili sono soggette alla notifica.
E la cosa è molto chiara, lo dicono esplicitamente sempre in quel comunicato:
“you must ensure that all forms containing <input type=password> elements and any inputs detected as credit card fields are present only on secure origins”
trad.
“dovrai verificare che tutti i campi con elementi del tipo <input type=password> o campi rilevati contenenti dati di carte di credito siano presenti solo su siti sicuri”
L’avviso non si attiva su tutti i campi di input, men che mai sulle search box, ma solo sugli input type password o sui campi che lui considera come “potenzialmente sensibili“. In sostanza preso un input box, il browser cercherà di capire se è presente la possibilità di inserire nel campo dati sensibili. In caso di esito positivo (ovviamente può dare anche falsi positivi) fa comparire l’avviso.
Per dati sensibili lui intende campi in cui si inseriranno codici di carte di credito, conti correnti et similia, non la raccolta di email come per un form di iscrizione ad una newsletter.
L’avviso non è presente su tutte le pagine del sito, solo su quella in cui viene triggerato quando viene triggerato. Quindi se abbiamo un sito con 999 pagine normali e 1 pagina con un campo potenzialmente sensibile, l’avviso si attiva solo su quella. Se il campo compare in un secondo momento (popup, jquery o che sia) l’avviso appare con il comparire del field, non prima.
Google ci fa pure un esempio con un sito che triggera l’alert non appena compare il form di login!
Se volete testare il vostro sito, scaricate Chrome Canary dal sito ufficiale.
Quelli che seguono sono due screen su Napolike, come potete vedere l’avviso triggera solo sulla pagina di login al backend. E non è un lucchetto rosso o il classico avviso full page di quando si chiede un contenuto http su un sito https, è una semplice scritta grigia.
Detto ciò, in soldoni:
Consigliamo il passaggio da http a https?
Sì, se non avete fatto casini in passato con tanti 301 incatenati tra loro, se il certificato che prendete è almeno a 256bit e se, meglio ancora, fate fare il lavoro a qualcuno che fa queste cose di mestiere.
Ma non fatevi prendere dal panico 
È obbligatorio il passaggio a https?
In pratica sì, se avete: un ecommerce, landing page mirate alla vendita o form di login in tutte le pagine (tipo nei widget in sidebar).
Si perde qualcosa nel passaggio? Parliamo di SEO
Come si dice da noi a Napoli, il 301 non è una pazziella. Mai.
Prima di tutto i 301 da http a https sono visti come 301 normalissimi, Google (non si sa perché) non ha messo in campo un atteggiamento diverso in merito, forse perché si fida troppo delle proprie capacità di gestione dei 301. Migrare un sito intero da http a https è esattamente come migrare il sito da un dominio ad un altro.
All’inizio non ci saranno perdite, perché saranno posizionati ancora gli URL con http, ma poi oscilleranno man mano anche per alcuni mesi (di solito da 2 a 6, ma ovviamente dipende dal settore), e non parliamo di piccole oscillazioni. Se il sito ha traffico principalmente da poche query molto grosse, potrebbe vederlo anche quasi azzerato per un breve periodo, fermo restando che, essendo HTTPS un fattore di ranking e trattandosi di 301, dopo si recupererà tutto (potenzialmente guadagnandoci anche). Ma bisogna esser pronti ad un investimento in termini di traffico per quel periodo di buio, inoltre le oscillazioni più piccole possono durare anche più di un anno.
C’è anche da considerare che lo spider di Google passa per pochi livelli di 301 annidati, dopodiché per lui diventano un 404 se non arriva alla risorsa. Questo significa che i redirect 301 vanno controllati. In sostanza un redirect A ->B e un altro B->C andrebbero sostituiti, ma è una buona norma che vale sempre, in modo tale che rimangano solo “A->C” e “B->C”.
Teniamo presente che tra “www.miosito.it/” e “www.miosito.it” c’è un url rewrite che restituisce un 301 a causa dello slash finale, quindi arrivare a 5 livelli non è così difficile.
Inoltre il sito andrà reinserito su Webmaster tools (ora Search Console) con il nuovo url, perdendo lo storico, la sitemap andrà rigenerata e reinviata. Stessa cosa nei tools come Seozoom dove andrà ricreato il progetto.
Come già detto, consigliamo caldamente il passaggio a HTTPS come regola generale, anche per via del fatto che, se l’hosting lo permette, è possibile abilitare HTTP2 e veder migliorate notevolmente le performance del sito, ma va fatto con una certa cautela e non è detto che tutti debbano farlo con una stretta urgenza. Nella maggior parte dei casi potrete prendervi il vostro tempo per fare il passaggio.
Siamo sicuri che Google non segnalerà tutte le pagine http come non sicure?
In futuro Google ha intenzione di segnalare come non sicure tutte le pagine http, a prescindere dal fatto che contengano o meno form sensibili, ma in futuro… non oggi e nemmeno a breve.
