Certificato SSL: perchè lo devi installare subito sul tuo sito

Google e il protocollo HTTPS

 

Da Ottobre 2017 tutti i siti sprovvisti di un certificato SSL saranno identificati come NON SICURI dal browser Google Chrome.

Ciò avverrà principalmente per tutti quei siti contenenti dei form (moduli) da compilare, sono pertanto quindi compresi i siti web delle agenzie immobiliari che normalmente richiedono la compilazione di un modulo per ottenere maggiori informazioni su un immobile nello specifico o per mettersi in contatto con l’agenzia immobiliare o con l’agente che sta pubblicizzando quel particolare immobile.

Già da alcuni mesi i principali browser (Google Chrome, Firefox, ecc.) identificano come NON SICURI tutti i siti web che richiedono l’immissione di nome utente e password (quindi i siti web che hanno delle aree riservate agli utenti, anche semplicemente per gestire le impostazioni di iscrizione alle newsletter), ma ultimamente Google ha dichiarato una vera e propria guerra a “Internet non sicuro” partendo proprio dai certificati SSL.

Ma cosa significa ciò nello specifico e come vengono avvisati gli utenti?

http:// e https://

Quando si naviga sui siti web, il programma di navigazione (o l’app usata sullo smartphone) si occupa di reperire le informazioni e i contenuti della pagina richiesta dall’utente, scaricandola dal server su cui è ospitata.

In pratica quando volete visitare un qualsiasi sito, inserendone l’indirizzo nell’apposita barra o cliccando su un link dei risultati di ricerca, il vostro browser si collega al server che contiene tutti i contenuti della pagina ed inizia a scaricarli per poi mostrarli a video.

Nello stesso modo, quando interagite con il sito, magari compilando un modulo di ricerca o appunto un modulo di contatto, il browser trasmette le informazioni immesse al server che dovrà poi elaborarle.

Le connessioni tra browser e server avvengono mediante uno specifico protocollo di trasmissione dei dati denominato HTTP (acronimo di HyperText Transfer Protocol) che trasmette i dati in chiaro. In pratica quello che avete scritto viene spedito direttamente al server così come lo avete inserito.

Va da se che quando si inseriscono informazioni personali (come ad esempio il nome, il cognome, il proprio numero di telefono e l’indirizzo email) questi dati viaggiono sulla rete internet in modo perfettamente leggibile a chiunque.

Il protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) invece trasmette i dati in modo cifrato, utilizzando algoritmi di ultima generazione.

Ciò significa che i vostri dati vengono codificati tramite una CHIAVE di cifratura e quindi trasmessi al server che li dovrà decifrare prima di poterli processare.

Questa operazione di cifratura vi mette al riparo da spiacevoli inconvenienti quali il furto e la sottrazione dei vostri dati personali, pratica che avviene sempre più di sovente a causa soprattutto delle connessioni alle reti WIFI aperte e gratuite.

Infatti un malintenzionato potrebbe “sniffare” i dati che transitano in chiaro sulla rete WIFI (in gergo tecnico si definisce appunto sniffare i pacchetti) e acquisire importanti informazioni che poi potrebbe riutilizzare per scopi illeciti (ad esempio per effettuare SPAM collezionando gli indirizzi email).

 

Cos’è un certificato SSL

Un certificato (lo dice appunto il nome) è un mix di chiavi di cifratura (pubbliche e private) che devono essere installate sul server che ospita il sito web per poter quindi abilitare correttamente il protocollo HTTPS.

Esistono vari tipi di certificati SSL, gratuiti e non, che permettono diversi livelli di cifratura ed affidabilità.

Certificati SSL self signed

Sono dei certificati che non vengono rilasciati da un ente abilitato e che servono esclusivamente in ambito locale o per scopi di test. Possono essere autoprodotti dall’amministratore del server, ma non mostrano la dicitura SICURO nè il lucchetto verde in prossimità dell’indirizzo del sito. Cifrano comunque le informazioni, ma vengono segnalati come certificati non autentici dai browser e richiedono il consenso da parte dell’utente per proseguire.

Di norma vengono utilizzati nelle intranet interne o per proteggere gli accessi della posta elettronica, in quanto sono gratuiti e il loro scopo è limitato ad una platea ridotta di utenti.

Certificati SSL gratuiti

Esistono certificati SSL gratuiti, nati per offrire a chiunque la possibilità di proteggere il proprio sito web. I più diffusi sono quelli di Let’s Encrypt, un’autorità di certificazione no profit supportata da Google, Facebook, Amazon e altri big internazionali.

I certificati hanno una data di scadenza (di solito 6 mesi) e vengono rinnovati in automatico. Sono molto comodi per progetti di breve/brevissimo periodo o per ambiti di test. Se ne sconsiglia invece l’uso per progetti commerciali di lunga durata o nei casi in cui l’identità del sito debba essere ben definita.

Certificati SSL a pagamento

Sono i più comuni e diffusi e vengono rilasciati da autorità di certificazione specifiche (tra cui Symantec, Comodo, Verisign, ecc.). Ne esistono di vari tipi tra cui i Wildcard e i True Business ID.

Di norma un certificato standard può costare pochi dollari, fino a svariate migliaia, in base al tipo di certificato che si vuole ottenere, il grado di cifratura, l’assicurazione ed altri parametri.

Il certificato SSL Wildcard è consigliabile quando si hanno domini di terzo livello in aggiunta al dominio principale.

Se ad esempio il nostro sito www.nomeagenzia.it ha anche dei sottodomini per ulteriori contenuti (blog.nomeagenzia.it, luxury.nomeagenzia.it, ecc.) allora è necessario dotarsi di un certificato di tipo Wildcard che permetta la certificazione globale sia del dominio principale che di tutti i sottodomini. Qualora in futuro si dovessero creare ulteriori domini di terzo livello non sarà quindi necessario effettuare un acquisto aggiuntivo, in quanto il certificato Wildcard è utilizzabile per un numero illimitato di sottodomini.

Il certificato SSL True Business ID permette di ottenere oltre al famoso lucchetto verde, anche l’indicazione esatta dell’intestatario. Viene di norma utilizzato su siti di istituti bancari o su siti dove sia assolutamente necessario indicare in modo chiaro e rapido l’identità del proprietario del sito. Ne sconsigliamo pertanto l’uso su siti di agenzie immobiliari in quanto i costi dei True Business ID sono abbastanza elevati.

 

Come richiedere e installare un certificato SSL sul proprio sito

E’ possibile ottenere un certificato SSL rivolgendosi direttamente alle autorità di certificazione o mediante i numerosi rivenditori presenti sul web.

Una volta ottenuto il certificato, lo stesso dovrà essere installato sul server e si dovrà procedere alla configurazione dello spazio di hosting che ospita il dominio per indicare di utilizzare il certificato installato.

L’operazione, seppur semplice, richiede ovviamente delle conoscenze tecniche di gestione dei webserver, ma soprattutto richiede un intervento specialistico in ambito SEO in quanto, una volta installato un certificato su un sito già online da tempo ed indicizzato da Google, sarà necessario provvedere alla corretta configurazione dei redirect 301 così come ad una corretta gestione delle risorse caricate dalla pagina (immagini in particolare) che dovranno essere servite anch’esse mediante il protocollo HTTPS.

Sarebbe infatti inutile attivare un certificato SSL su una pagina contenente immagini (ad esempio le foto degli immobili o altri elementi grafici) richiamate tramite HTTP, perchè ciò invaliderebbe il contenuto della pagina (si avrebbe un contenuto misto HTTP e HTTPS) e non farebbe quindi apparire il lucchetto verde.

Redirect 301

Quando si hanno già delle pagine indicizzate nei motori di ricerca o semplicemente sono state condivise sui social network, le stesse appariranno ancora come HTTP. Si dovrà quindi predisporre un reindirizzamento permanente (in ambito tecnico quindi un redirect di tipo 301) verso la nuova versione HTTPS della pagina.

Qualora non venisse effettuata questa operazione, si potrebbe incorrere in una penalizzazione del sito da parte di Google a causa del contenuto duplicato, perchè entrambe le risorse sarebbero comunque disponibili. Google infatti troverebbe online sia le pagine HTTP che quelle HTTPS e quindi avrebbe a che fare con un doppione esatto del sito!

E’ quindi obbligatorio effettuare tutte le azioni necessarie intervenendo sul codice del sito, su Google Search Console e su Google Analytics, affinchè ciò non accada e per indicare rapidamente a Google che si è migrato il sito su protocollo sicuro.

 

Certificati SSL e SEO

Abbiamo visto quindi che in ambito SEO è importantissimo configurare correttamente il certificato, onde evitare penalizzazioni. Ma vediamo invece quali vantaggi comporta il famigerato lucchetto verde.

In primis sicuramente un punteggio di qualità maggiore per Google quando analizza il nostro sito web, rispetto a quelli della concorrenza che magari sono sprovvisti. C’è poi da non sottovalutare l’aspetto di Google AdWords sempre in termini di quality score per pagine https rispetto a pagine http.

Seppur scientificamente non dimostrato (solo Google conosce perfettamente i propri parametri di posizionamento dei risultati) è altamente probabile che volendo “boicottare” tutti i siti non sicuri il motore di ricerca più utilizzato al mondo andrà a posizionare in cima ai risultati i siti provvisti di certificato SSL.

C’è poi da considerare un altro aspetto fondamentale, ovvero la user experience (esperienza utente). Se infatti un utente dovesse imbattersi in un sito definito come NON SICURO, le probabilità che la pagina venga abbandonata nei primi secondi di navigazione sarebbe sicuramente più elevata, aumentando di fatto la frequenza di rimbalzo (un parametro che indica quanto visitatori abbandonano il sito dopo aver visitato solo una pagina) e riducendo drasticamente i tempi di permanenza (ovvero il tempo speso dagli utenti sulle pagine del sito).

Questi due fattori indicano chiaramente a Google quanto sia stata gradita dagli utenti l’esperienza di navigazione e il motore di ricerca suggerisce prevalentemente risultati dove gli utenti hanno speso più tempo e visitato più pagine, perchè maggiormente coinvolti dai contenuti del sito.

 

Voglio il certificato SSL per il mio sito!

Se hai realizzato con noi il tuo sito web, per abilitare il certificato SSL sul dominio e rendere sicuro il tuo sito, puoi contattare il nostro customer care che ti fornirà tutte le informazioni necessarie per procedere con l’operazione.

Ci occuperemo noi di tutto, ovvero:

  • acquisteremo per tuo conto il certificato
  • intesteremo a te il tuo certificato (importante – molti fornitori se lo intestano direttamente e questa prassi è scorretta!)
  • provvederemo all’installazione del certificato sul tuo spazio web
  • ci occuperemo di riconfigurare il codice del sito internet per migrare tutti i contenuti in HTTPS
  • imposteremo tutti i redirect 301
  • effettueremo le dovute implementazioni su Google Search Console e su Google Analytics
  • provvederemo ad avvisarti alla scadenza del certificato per poterlo rinnovare in tempo

Ovviamente tutto ciò sarà possibile solo se hai realizzato il tuo sito con noi e se hai sottoscritto direttamente con noi la fornitura dell’hosting, ma non ti preoccupare, se hai l’hosting presso Register, Aruba o altri fornitori, saremo comunque lieti di supportarti nel processo di installazione e configurazione, intervenedo direttamente dove possibile.

Contattaci subito per maggiori informazioni:

    [recaptcha]