Negli ultimi tempi si fa un gran parlare di SSL e HTTPS. Ma il passaggio a HTTPS è davvero indispensabile? E se sì, per quale motivo?
Partiamo dalle basi. HTTPS è un protocollo per la comunicazione sul web, alternativo a HTTP, che protegge l’integrità e la riservatezza delle comunicazioni. Dal punto di vista della sicurezza, il protocollo è in grado, infatti, di garantire l’integrità dei dati (ovvero il fatto che non possano essere modificati o danneggiati durante il trasferimento degli stessi), la crittografia (per proteggere tali informazioni dalle intercettazioni di malintenzionati) e l’autenticazione (evitando, cioè, attacchi di tipo man-in-the-middle).
Per garantire tutto ciò entra in gioco SSL – che sta per Secure Socket Layer – una tecnica che prevede il criptaggio e l’autenticazione del traffico dati tra utente e sito web. Vediamo ora quali sono gli step e le raccomandazioni per migrare a HTTPS.
Il certificato di sicurezza
Il primo step prevede l’acquisto di un certificato di sicurezza, emesso da un’autorità di certificazione. Esistono tre tipi di certificato in ordine crescente di sicurezza e di costo:
– Domain Validated (DV)
– Organization Validated (OV)
– Extended Validation (EV)
I siti vetrina di professionisti o i blog potrebbero utilizzare il primo, mentre i siti web che gestiscono transazioni di vario tipo dovrebbero utilizzare gli ultimi due. Il certificato EV, in particolare, è consigliato nel caso di transazioni con carte di credito e dati sensibili.
I reindirizzamenti 301
Per garantire che gli utenti e i motori di ricerca vengano reindirizzati correttamente verso la nuova risorsa è necessario utilizzare i redirect 301 dalla vecchia pagina in HTTP alla nuova pagina in HTTPS. Per farlo è consigliato utilizzare reindirizzamenti lato server, ovvero modificare il file .htaccess piuttosto che agire tramite plugin. Dovrà essere, infatti, il server ad effettuare i redirect verso le nuove risorse.
Quando è indispensabile ricorrere a SSL?
HTTPS, di fatto, al momento non è indispensabile, ma è fortemente consigliato nel caso di siti che gestiscono informazioni sensibili, quali dati di registrazione e di login, informazioni legate a strumenti di pagamento, moduli di registrazioni e altri tipi di documenti dell’utente.
In pratica, SSL diventa fondamentale per siti di e-commerce e in generale per tutti i siti web che prevedono registrazione da parte dell’utente. Effettuare acquisti su siti sicuri (provvisti cioè, in ogni pagina, del lucchetto verde) rassicura gli utenti e, dunque, produce un incremento di vendite.
Alcuni pensano che migrare a HTTPS possa essere rischioso, dal punto di vista del posizionamento raggiunto con il sito in versione HTTP. Ciò non è vero e Google è in grado di gestire e interpretare correttamente le nuove risorse, senza alcun rischio di penalizzazione.
È importante, tuttavia, verificare che il passaggio venga svolto in maniera corretta e impeccabile. Dal punto di vista di Google, per esempio è importante aggiornare i dati di Analytics e creare una nuova proprietà su Search Console, in modo da proseguire il monitoraggio e intervenire tempestivamente in caso di problemi di qualsiasi tipo.