Certificato SSL: il nuovo tormentone del web. Ecco come effettuare la migrazione lato SEO!

certificato ssl
Tempo stimato di lettura: 10 minuti, 14 secondi
Pubblicato il 2 marzo 2017

È l’incubo del momento, un trend assoluto. Sui forum, gruppi Facebook e blog il tormentone è sempre lo stesso: il certificato SSL.
L’acronimo SSL sta per Secure Sockets Layer, un metodo di protezione che consente la crittografia dei dati quando vengono trasferiti su un server.
Proteggono il trasferimento di informazioni sensibili e riservate come, ad esempio, credenziali e numeri di carte di credito.
Con il protocollo HTTP i dati inviati tra un browser e un server web sono in genere sotto forma di normale testo, cioè vulnerabili.
Attraverso un algoritmo di cifratura, l’SSL garantisce la sicurezza dei dati trasmessi e ricevuti sul web.

ssl

Quando va installato un certificato SSL?

Sempre! Per il momento è “obbligatorio” per e-commerce e siti con form di contatto, dove viene messa in pericolo la privacy del dato sensibile, ma io consiglio di muoversi verso questa direzione in tutti i siti web.
Dalla versione 56 di Google Chrome il browser segnalerà all’utente che il sito che si sta per visualizzare non è sicuro: avvertimento sufficiente affinchè un visitatore si allontani immediatamente.

A partire da gennaio 2017, Chrome (versione 56 e successive) contrassegnerà come “Non sicure” le pagine che raccolgono password o dati di carte di credito, a meno che le pagine vengano pubblicate tramite HTTPS (Google Search Console).

I certificati SSL permettono di guadagnare la fiducia dei tuoi clienti, proteggendoti anche da schemi di phishing.

Ho deciso di fare un pò di chiarezza sul certificato e sulla protezione dei siti web in generale porgendo alcune domande “tecniche” a uno dei massimi esponenti di sicurezza informatica in Italia: Cristiano Cafferata.

cristiano-cafferata

Cristiano Cafferata – Regional Manager Italy, Sales presso DellSonicWALL

Google considera il certificato SSL fondamentale per tutti i siti web e dichiara che sarà un fattore di ranking rispetto a siti senza https. Cosa ne pensi? A livello di sicurezza cosa cambia?
Google ne parla dal 2014 e indicizzare i siti in base all’uso di HTTPS o meno ha anche senso, ma il “peso” dato a tale securizzazione delle comunicazioni deve essere giusto, non si deve parlare di “penalizzazione” per chi ancora non riesce ad implementare HTTPS.
E la sicurezza dipende da che lato la si guarda: le comunicazioni fra un client e un server teoricamente non potranno essere lette da terzi, quindi sembrerebbe aumentare la privacy, ma se è puro HTTPS, i client ancora accettano certificati fasulli, quindi alla fine non si risolve molto se prima non si insegna agli utenti a leggere un certificato. Questo è penalizzante: non può (non deve o va scritto meglio il codice di controllo e bypass) leggerlo il browser da solo e l’utente non è preparato.
In una fase successiva gli utenti avranno imparato meglio a capire il significato del “lucchettino” e forse servirà ad aiutarli, ma quanti attacchi hai sentito essere stati portati in HTTP? Pochi. Molto di più sfruttano HTTPS, e qui il rovescio della medaglia: gli attacchi ransomware sono per lo più portati via HTTPS, quindi l’aumento dell’uso di tale protocollo renderà sempre più difficile la caccia al malware.

Per i vendor come Sonicwall c’è un piccolo vantaggio: commercializziamo ottime soluzioni sia adatte a fare SSL offloading e WAF e gestione dell’HTTPS (NDR SRA/SMA/SME) sia Firewall dedicati a fare ispezione dell’HTTPS. È un vantaggio commerciale: a chi ospita uno o più siti possiamo dare la soluzione di protezione e securizzazione rispettando la richiesta di Google, ma al tempo stesso possiamo scansionare il traffico cifrato (sembra un controsenso ma non lo è) per evitare ransomware e malware o navigazione illecita.

Un caso a parte è HSTS. Quando il sito controlla meglio e usa direttive più rigide (più costoso però per l’owner del sito stesso, ma in uso su Google mail, Wikipedia, eccetera), dunque se nel mezzo vi è un sistema di controllo (MITM), la sessione non si instaura e la sicurezza/privacy viene rispettata al 100%. E qui l’amletico dubbio sulla cifratura : privacy o antiterrorismo? Analisi del malware o violazione della privacy? Serve, come sempre, buon senso, policy, formazione e cultura.

Paypal dovrebbe bloccare il pagamento sui siti senza https, potrebbe essere la fine per molti e-commerce?
No, sui pagamenti online ritengo sia il minimo forzare l’uso di HTTPS almeno nei frame di pagamenti e form importanti, ma il costo di implementazione viene facilmente ripagato dal sito stesso e la manutenzione dei certificati non è poi così onerosa.

Cosa ne pensi dei siti che vengono bucati per la tecnica di link building di parasite hosting?
Istintivamente stavo sorridendo quando ho letto la domanda. Anche per le tecniche SEO BlackHat (dette anche Ghost Hosting ma non solo) penso la stessa cosa che penso di tutti i fail di sicurezza: le soluzioni esistono, sono gli sviluppatori e i responsabili dell’hosting a dover mettere in piedi le corrette contromisure.

Hardware, software e cultura come sempre! Perché non vi è nulla di male o illegale nel comprare un vecchio dominio ancora famoso, o sbaglio?
Se poi il sistema ha aperta una falla e chi vive nel profondo la vede per primo e la usa, avere WordPress in uso senza patch, lavorare su sistemi obsoleti e non utilizzare WAF sono errori “da novellini” che a volte nascondono consulenze errate o poca disponibilità economica.
Dall’altro lato del monitor vi sono persone capaci, veloci, dotate che non si lasciano consigliare sapendo con cura cosa fare.

lucchetto-verde-https

E come difendersi da attacchi DDos di chi cerca di fare SEO negativa mandando offline il sito non raggiungibile ai robot?
Domanda trabocchetto, risposta aperta : il cloud risolve il 90% del problema, una soluzione di bilanciamento ben fatta è praticamente già la soluzione, e questo si che invece potrebbe significare una differenziazione fra bih players di Cloud e provider di Housing/Hosting minori, ma anche qui le piccole realtà a volte si muovono più velocemente delle grandi. Vedo spesso piccoli provider implementare soluzioni davvero solide.

IP Condiviso o Dedicato, cosa consigli?
In merito a Ip Condiviso o Dedicato la scelta si basa su molte variabili diverse.
Ma a mio parere l’ip dedicato da sempre ha dei vantaggi anche per i sistemi di filtraggio contenuti e per la “pulizia della reputazione” stessa, nonostante oggi pare che più di 75 siti su 100 siano ospitati su IP condivisi.
La causa era ed è la scarsità di classi IP pubbliche da acquistare e utilizzare, quindi anche qui il problema a volte sono i costi, ma il costo di un IP dedicato vale bene il non venir bannati per colpa di altri siti-spammer ospitati in modalità condivisa.
Spesso il sistema di reverse proxy usato per pubblicare siti diversi su IP condivisi fa parte della catena vulnerabile, quindi un ulteriore +1 all’IP dedicato in aggiunta a un bel NEXT GEN firewall, una soluzione WAF e un paio di corsi su secure coding e su secure hosting costa, ma ripaga!

Certificato SSL: un incubo dal punto di vista SEO?

Dal punto di vista SEO l’installazione del certificato SSL è un’operazione molto delicata.
Se non si effettuano determinati passaggi, il sito web potrebbe subire bruschi cali di traffico e conseguente perdita di trust.
Ecco alcune domande a uno dei SEO più famosi e più preparati, il maestro Jedi Benedetto Motisi.

benedetto-motisi

Benedetto Motisi – Consulente SEO freelance presso Jedi Consulting

Ciao Benedetto, a livello SEO è una bella botta, la migrazione è un passaggio molto delicato che, se non fatto con la dovuta cura, ti può portare grosse perdite di ranking. Come cambia la visuale di un SEO questo aggiornamento quasi forzato?

In realtà è dal 6 agosto 2014 che dalle parte di Google dicevano che l’https fosse un elemento di ranking.

La corsa all’https odierna è data più che altro all’annuncio di Paypal circa l’obbligatorietà dello stesso entro giugno 2017 per le loro transizioni, oltre che su Chrome i siti non sicuri saranno segnalati con ovvie conseguenze sulla percezione del sito da parte degli utenti.

Insomma, un altro elemento da tenere da conto 🙂

Con il redirect 301 da url in http a url in https verrà trasferito completamente il juice?

Pare che Google consideri questo 301 “soft”, quindi dovrebbe essere completamente trasferito. Già quasi due anni fa se ne parlava anche dalle parti di MOZ.

Parliamo di link building. Su questo argomento è fondamentale capire determinate dinamiche. Una volta effettuata la migrazione del sito, si andrà a richiedere il cambio di link a tutti i siti con backlink “conquistati” nel tempo?

Sento da più fonti che sarebbe la cosa migliore da fare, ma con il redirect “soft” dovrebbe andare tutto apposto: certo, se si hanno i link sotto il proprio controllo meglio iniziare a effettuare il cambio nella nuova forma.

E come considera Google i siti da cui riceviamo link che ancora non installano un certificato SSL?

Fino a oggi non c’è stata nessuna comunicazione in merito, e sebbene qualche collega dica che questo porterà a beccare i link forzati, resto dell’idea che il livello medio non è così elevato da fare in modo che TUTTI passeranno all’https.

Quindi, succo di link come sempre, cambia giusto un po’ il sapore come dalla Coca Cola alla Pepsi.

Grazie Benedetto, adesso che abbiamo un pò più chiara la situazione sia a livello di sicurezza sia a livello SEO andiamo a scoprire i vari tipi di certificato SSL.

  • Un certificato SSL di un dominio convalidato è un certificato con un basso livello di garanzia considerato lo standard tra i certificati rilasciati.
    Effettuando una conferma via mail o configurando un record DNS per il sito otteniamo la validità del certificato. Questo fa si che il dominio venga registrato con tanto di approvazione da parte dell’aministratore.
  • Un certificato di organizzazione convalidato, detto anche certificato OV, rispetto al dominio convalidato richiede ulteriori documentazioni. È di livello superiore rispetto alla convalida del dominio.
    Molti di questi certificati con livelli di crittografia fino a 256 bit incorporano il nome dell’azienda nei loro sigilli aumentando la fiducia nell’utente.
  • Un certificato EV, o certificato di convalida estesa, offre la fiducia massima all’utente garantendo protezione contro gli attacchi di phishing. È il top per i siti con shopping online.
    Questo certificato indica la società proprietaria del sito mostrandola in modo chiaro nei browser.
    Ha una caratteristica esclusiva: nella barra del browser viene visualizzato un lucchetto verde, indice di grande fiducia per gli utenti pronti ad acquistare con le carte di credito.
    I certificati SSL standard non certificano che il tuo sito è gestito da un’azienda legittima e verificata.
certificato-EV

Come si visualizza nel browser il certificato EV

Quali sono i passaggi per la migrazione?

È la fase più delicata e importante. Sbagliare qualcosa significa compromettere il posizionamento ottenuto con il tempo del tuo sito web.
Vediamo insieme i passaggi principali per effettuare al meglio la migrazione da HTTP a HTTPS:

  • Imposta i redirect 301 di tutti gli url HTTP alla versione HTTPS.
    Esegui controlli incrociati (verifica immagini e link interni). Usa Screaming Frog per fare un’analisi dettagliata.
  • Aggiungi alla Search Console e nella Bing Webmaster Tools la versione del tuo sito in HTTPS.
    Setta come dominio preferito la versione in HTTPS (ovviamente è possibile farlo se al tempo avevi già aggiunto la versione in HTTP).
  • Controlla che gli evantuali Canonical puntino alla versione in HTTPS.
  • Segnala la nuova sitemap Xml con la versione in HTTPS.
  • Modifica il file robots.txt impostando la nuova sitemap corretta.
  • Verifica che la proprietà di Google Analytics sia aggiornata alla versione con il certificato SSL.
  • Tutti i link al tuo sito web dei canali social devono puntare alla versione HTTPS.

Dopo aver effettuato tutti i passaggi puoi verificare se il tuo certificato SSL sia correttamente impostato sul tuo sito collegandoti al sito https://www.ssllabs.com/ssltest/.
Ti aiuterà a capire se ci sono problemi di configurazione o altre problematiche.

Hai gia fatto la migrazione?

In conclusione consiglio, non solo per le categorie più a rischio bensì per tutti i siti web, di effettuare il passaggio in HTTPS. Google lo considera un fattore di ranking, dandogli per ora una bassa rilevanza, ma non si esclude che in futuro rafforzi in modo consistente questo elemento. La conferma arriva anche da Moz con una previsione di crescita intorno a Maggio/Giugno 2017.

Dr. Pete Meyers from Moz revealed that HTTPs pages on the front page of Google search results could reach 50% by late May/early June 2017.

https-moz

E tu hai già fatto la migrazione? Quali sono i dubbi e le paure più grandi che hai nel fare quest’ operazione? Scrivici nei commenti!

 

 

  • Insomma, Google propone e dispone, come suo solito – e noi a corrergli dietro 😛

  • Edoardo Galimberti

    domanda: l’HTTPS esclude totalmente l’HTTP? è possibile effettuare una migrazione graduale dei due protocolli?

    • Ciao Edoardo, no non lo esclude, chiedi al tuo provider di installare il certificato, quando è tutto okay puoi a quel punto occuparti di “migrare” ad https url e quant’altro 😉

      • Edoardo Galimberti

        Grazie Davide, questa è una gran bella notizia!!!

Shares