Come rendere il tuo sito più sicuro con l’https

come rendere un sito sicuro con https

Navighereste su un sito dichiarato non sicuro dal vostro browser? L’80% delle persone coinvolte nello studio di Hubspot ha risposto di no, e neanche noi ci fideremmo.

statistiche di navigazione per siti non sicuri

La diffidenza verso i siti non sicuri nasce dalla recente implementazione in Google Chrome di un avviso che informa gli utenti del fatto che il sito su cui sono appena entrati è privo di protocollo SSL. Un avviso, che all’utente medio fa passare la voglia di proseguire la navigazione.

avviso chrome per sito non sicuro

L’SSL (Secure Sockets Layer) è un protocollo crittografico che protegge i dati in transito dal computer dell’utente al server del sito. Attivato il protocollo SSL, gli utenti possono compilare form, immettere mail e dati di login con la sicurezza che queste informazioni saranno protette dalla crittografia.

Da sempre sostenitore della sicurezza informatica, Google ha dato un giro di vite: a partire dal 2018, avere un sito non sicuro ne penalizzerà il posizionamento.
Considerato che il 77% degli internauti usa Google come motore di ricerca e il 58% Chrome come browser, attivare il protocollo SSL è, se non proprio un obbligo, una buona pratica SEO per quei siti aziendali che intendono avere visibilità, traffico e conversioni e non perdere i risultati raggiunti.

Come capire se il protocollo SSL è attivo

HTTPS

L’attivazione del protocollo SSL si manifesta nel passaggio da http ad https (HyperText Transfer Protocol over Secure Socket Layer). Quando il sito è dotato di SSL regolarmente attivato, la barra del motore di ricerca mostrerà l’URL del sito preceduto da https://.

Chrome

Il browser di Google segnala i siti privi di https anteponendo all’URL una scheda informativa in cui spiega perché la connessione non è protetta. Con l’https attivato, l’icona si colora di verde e assume la forma di un lucchetto chiuso: il sito è sicuro.

esempio di sito privo di https in chrome

esempi di sito in https su chrome

SSL checker

Esistono varie piattaforme che offrono un servizio di verifica semplice e rapido. Una di queste è l’SSL checker di Hubspot: inserito l’URL del sito nell’apposita barra, il sistema invia un feedback sulla presenza o meno di protocollo SSL.
È un metodo di verifica che ha il pregio della rapidità, però non riesce a individuare eventuali problemi di mixed content che si verificano quando il protocollo SSL è regolarmente attivo ma permangono elementi in http che convivono con quelli in https. Per analisi più approfondite conviene affidarsi a strumenti più professionali.

Screaming Frog

Per individuare e poi correggere gli eventuali errori dovuti al passaggio da http a https serve un software professionale. Noi usiamo Screaming Frog, un tool che eseguire il crawling completo del sito. Screaming Frog permette di separare le risorse in http così da capire dove intervenire per risolvere il problema. Se il software categorizza tutte le risorse scansionate come https, vuol dire che il passaggio al protocollo sicuro è andato a buon fine.
Screaming Frog ha dei costi e una complessità d’uso che lo rendono poco utile al di fuori di un contesto professionale. Starà quindi a noi che seguiamo la campagna di visibilità del vostro sito aziendale, affiancarvi nella fase di passaggio da http a https.

Come attivare il protocollo SSL

Avete verificato, e siete sicuri che il vostro sito non dispone di protocollo SSL. A questo punto, contattate il vostro hosting provider: si occuperà lui di attivare il certificato SSL sul vostro dominio e vi fornirà le istruzioni necessarie per il redirect dal vecchio al nuovo sito.

Il servizio d’attivazione del certificato SSL ha, di solito, un costo contenuto. Esiste anche Let’s Encrypt, una certification authority che valida, rilascia e rinnova certificati SSL a costo zero. Implementare un certificato SSL rilasciato da Let’s Encrypt richiede però una certa dimestichezza con server FTP e piattaforme hosting, perché ogni fase della migrazione da http a https va eseguito in prima persona. Altro punto a sfavore, la riconvalida annuale del protocollo SSL deve essere effettuata a mano.

Se Let’s Encrypt è un’ottima soluzione per le piccole realtà (l’ho testato sul mio blog personale e funziona egregiamente), per i vostri siti aziendali consigliamo di affidarvi all’hosting provider, che si occuperà per voi di mettere tutto in sicurezza.
Poi subentriamo noi, SEO e webmaster, a garantire una corretta migrazione occupandoci del mantenimento della visibilità raggiunta e di tutti quegli accorgimenti necessari a consentire un passaggio all’https il più possibile indolore!

La sicurezza del sito oltre l’https

L’attivazione del certificato SSL non tutela un sito web da attacchi malevoli e hackeraggio. Quello che l’SSL fa è permettere una comunicazione sicura dalla sorgente al destinatario (end-to-end): l’SSL cifra i dati in transito dal computer/smartphone/tablet al server del sito, così da renderli illeggibili finché non arrivano a destinazione.

Anche dopo aver attivato il protocollo SSL e pur avendo un sito che lavora in https è necessario proteggerlo con accorgimenti basilari:

  • usare password sicure, lunghe, imprevedibili e generate automaticamente (noi usiamo 1Password e ci troviamo benone)
  • aggiornare plug-in, temi e CMS
  • installare antispam
  • eseguire controlli periodici
noemi

noemi

SEO e Copywriter. Sognatrice a tempo pieno, blogger part-time, geek nel tempo libero e spacciatrice di krumiri. Appassionata di cinema e letteratura è nata a Moncalvo, vive a Genova.