Abbiamo iniziato a configurare alcuni dei nostri siti in modo che utilizzino sempre la cosiddetta connessione sicura, l’https, meglio noto come “il lucchetto”.
Cos’è la connessione sicura? L’HyperText Transfer Protocol over Secure Socket Layer (HTTPS) è una modalità di comunicazione attraverso la rete internet per cui tutti i dati vengono trasmessi in forma cifrata. Per farla semplice significa che i dati che vengono scambiati tra server e client, ovvero tra il sito che state visitando e il vostro browser, sono cifrati e non possono essere intercettati.
Il protocollo https risolve tutti i problemi di internet? No, proprio per niente. Innegabilmente però offre alcuni vantaggi.
- Offre certezza che il sito che state visitando è veramente quello che dice di essere (ovviamente se il certificato è valido)
- Offre una certa protezione della privacy, in particolare protegge i dati in transito che potrebbero essere intercettati
Quando è indispensabile usare il protocollo https? A nostro parere solo quando si stanno trasmettendo informazioni realmente importanti, in particolare in tutti i casi in cui è coinvolto un pagamento, la trasmissione dei dati della carta di credito, login e password verso siti effettivamente importanti
Perchè non si usa solo l’https? Questo è un punto interessante e se ne potrebbe parlare a lungo. In sintesi a nostro parere nella maggior parte dei casi usare l’https è inutile, comporta soltanto un appesantimento del lavoro del server, l’installazione di certificati, configurazione e controllo del sito e altre operazioni che portano via tempo che potrebbe essere meglio investito in altre attività
Perchè abbiamo deciso di usare l’https anche dove non è indispensabile? E’ dal 2014 che Google ha detto che l’https fa parte dei fattori di posizionamento. Sappiamo benissimo che tra quello che Google dice e quello che Google fa c’è una distanza enorme e fino ad ora, secondo le nostre prove, se davvero è stato usato come parametro nel posizionamento il suo peso è stato decisamente basso. Ora però parecchi segnali ci fanno pensare che questo potrebbe cambiare. Come al solito si tratta di interpretare segnali deboli, tracce lasciate qua e là e lasciate alla libera interpretazione ma crediamo che in futuro il peso di questo fattore potrebbe crescere
Come si fa a usare solo l’https su un sito? La cosa può essere meno semplice di quanto sembri. C’è da lavorare sulla configurazione del server che deve (ovviamente) poter accettare comunicazioni https. C’è da installare un certificato valido. Poi sarebbe altissimamente consigliabile ri-dirigere con un 301 tutte le richieste fatte a pagine http verso la corrispondente https e infine (ma in molti casi è il grosso del lavoro) c’è da controllare che tutto il sito utilizzi solo chiamate https; questo significa controllare che immagini, form e possibilmente url interni utilizzino sempre https
Qualche consiglio su come fare? Possiamo consigliarvi tre strumenti veramente utili
- Let’s Encrypt
Questa società offre gratuitamente certificati validi, noi li stiamo utilizzando su questo e su tanti altri siti. Sul loro sito troverete tutte le istruzioni per l’istallazione - Why No Padlock
Questo tool online vi aiuta a capire come mai il famoso lucchetto non compare o segnala degli errori - HTTP / HTTPS Remover
Come scoprirete presto se vi cimenterete nell’impresa di trasferire un intero sito in https, la maggior parte degli errori sono dati da “contenuto misto” ovvero pagine che contengono contenuto non criptato. Possono essere immagini o javascript incorporati nella pagina ad esempio. Se usate WordPress questo semplicissimo (ed efficacissimo) plugin risolve molti di questi problemi alla radice
Lascia un commento