Che cos'è HTTPS: la guida definitiva per capire come funziona

Daryana Solntseva

feb 01, 202111 min di lettura
Che cos'è HTTPS: la guida definitiva per capire come funziona

INDICE

Una definizione rapida: HTTPS sta per protocollo di trasferimento ipertestuale sicuro ed è la versione crittografata di HTTP. Viene usato per comunicazioni sicure su Internet o su una rete. Il protocollo di comunicazione è crittografato utilizzando Transport Layer Security (TLS) o, in precedenza, Secure Sockets Layer (SSL). 


Il nostro viaggio in questo articolo sarà un'immersione completa nel mondo di HTTP e HTTPS per scoprire come funzionano. Ti mostreremo come assicurarti che il tuo sito sopravviva a qualsiasi problema tecnico durante la migrazione da un protocollo all'altro. Ecco una panoramica delle cose che vedremmo oggi:

All'inizio, i SEO avevano HTTP, un protocollo che permetteva di fornire pagine web agli utenti. Il Web era semplice e le migrazioni dei siti Web esistevano esclusivamente da dominio a dominio o da server a server. Non dovevi preoccuparti di altro che dei soliti reindirizzamenti e assicurarti che la migrazione del tuo sito web non incontrasse intoppi. Poi arrivò HTTPS.

Le nuove tecnologie creano sempre nuovi problemi che è necessario risolvere per continuare a ottenere gli stessi (o migliori) risultati di prima.

HTTP e HTTPS: la loro importanza per il WWW

HTTP, o protocollo di trasferimento ipertestuale, è la spina dorsale del World Wide Web. È il protocollo usato per elaborare, visualizzare e consegnare pagine Web dal lato server al browser client. HTTP è il mezzo attraverso il quale viene visualizzata la maggior parte del Web.

HTTP e HTTPS funzionano attraverso quelle che vengono chiamate richieste. Queste richieste vengono create dal browser dell'utente quando l'utente interagisce con un sito web. Questo è un elemento essenziale nel rendering delle pagine e senza di esso non useresti il world wide web come esiste oggi.

Come funziona: Supponiamo che qualcuno cerchi "come eseguire la migrazione di un sito web". La richiesta viene inviata al server, che quindi invia un'altra richiesta con i risultati della query. Questi risultati vengono visualizzati sulla SERP (pagina dei risultati del motore di ricerca) che vedi quando completi la ricerca.

Tutto questo avviene nell'arco di millisecondi. Ma questa è una panoramica molto generale di come funziona il protocollo di trasferimento ipertestuale.

Cos'è l'HTTP? 

HTTP è l'abbreviazione di protocollo di trasferimento ipertestuale. Si tratta del metodo principale con cui i dati delle pagine web vengono trasferiti su una rete. Le pagine Web vengono archiviate su server, che vengono quindi servite al computer client quando l'utente vi accede.

La rete risultante di queste connessioni crea il world wide web come lo conosciamo oggi. Senza HTTP, il world wide web (WWW) per come lo intendiamo non esisterebbe.

Ma c'è un grosso problema con una connessione HTTP: i dati trasferiti non sono crittografati, quindi si corre il rischio che malintenzionati rubino le informazioni che vengono trasmesse. Qualsiasi informazione trasmessa su questa rete tramite HTTP non è privata, quindi i dati della carta di credito e le informazioni sensibili non devono essere inviati se ti trovi su una pagina HTTP.

Cos'è l'HTTPS? 

HTTPS è l'abbreviazione di protocollo di trasferimento ipertestuale sicuro o protocollo sicuro di trasferimento ipertestuale, se vogliamo essere pignoli dal punto di vista della semantica.

Come funziona HTTPS?

A differenza di HTTP, HTTPS usa un certificato di protezione di un fornitore terzo per rendere sicura una connessione e verificare che il sito sia legittimo. Questo certificato di sicurezza è noto come certificato SSL.

SSL è l'abbreviazione di "secure sockets layer". Questo è ciò che crea una connessione sicura e crittografata tra un browser e un server, proteggendo il livello di comunicazione tra i due.

Questo certificato crittografa una connessione con un livello di protezione definito al momento dell'acquisto del certificato SSL. 

Un certificato SSL fornisce un ulteriore livello di sicurezza per i dati sensibili a cui non si desidera che malintenzionati accedano. Questa sicurezza aggiuntiva può essere estremamente importante quando si tratta di siti Web e-commerce.

Ecco qualche esempio:

  • Quando vuoi proteggere la trasmissione dei dati della carta di credito o di altre informazioni sensibili (come l'indirizzo reale e l'identità fisica di qualcuno). 

  • Quando hai un sito Web di lead generation che si basa sulle informazioni reali delle persone, nel qual caso vuoi usare HTTPS per proteggerti da attacchi dannosi ai dati dell'utente.

Ci sono molti vantaggi con HTTPS, che valgono il piccolo costo. Ricorda, se il certificato non è presente sul sito, una terza parte potrebbe facilmente scansionare la connessione alla ricerca di dati sensibili.

Cos'è TLS? Come si applica a HTTPS

TLS sta per "transport layer security". Aiuta a crittografare HTTPS e può essere usato per proteggere la posta elettronica e altri protocolli. Sfrutta tecniche crittografiche che garantiscono che i dati non sono stati manomessi dal momento in cui sono stati inviati, che si sta comunincando con la persona reale da cui proviene la comunicazione e che non è possibile per terzi visualizzare i dati privati.

Le cose iniziano con un TLS handshake, il processo che dà il via a una sessione di comunicazione che usa la crittografia TLS. Qui è dove avviene l'autenticazione e vengono create le chiavi di sessione. Quando due dispositivi comunicano, vengono generate chiavi di sessione nuove di zecca, da due chiavi diverse che lavorano insieme. Il risultato è una comunicazione più profonda e crittografata.

Di seguito alcuni errori che Google suggerisce di evitare.

Un passaggio critico per HTTPS: l'autenticazione del server Web

Il passaggio più critico per una connessione sicura HTTPS è garantire che un server web sia chi dice di essere.

Ecco perché il certificato SSL è la parte più importante di questa configurazione: assicura che il proprietario del server web sia chi dice di essere il certificato. Funziona in modo molto simile alla patente di guida: conferma l'identità del proprietario del server.

Quando implementi HTTPS, hai un livello di protezione da determinati tipi di attacchi, rendendo questo un elemento fondamentale del tuo sito web.

HTTP vs. HTTPS — HTTPS crea un rapporto di fiducia con i tuoi utenti

Un grande vantaggio nascosto di HTTPS è che aiuta a creare fiducia con i tuoi utenti. Se gestisci un e-commerce che accetta i dati della carta di credito, il fatto che appaia un lucchetto sul tuo sito dal browser darà ai tuoi utenti la certezza che il tuo sito gestirà le transazioni con carte di credito senza far trapelare i dati trasmessi.

Questo aiuterà gli utenti a fidarsi del tuo sito molto di più che se fosse un sito non sicuro — e i browser moderni avvisano gli utenti quando i siti sono "non sicuri".

Con HTTPS, i dati delle carte di credito, le password, i dati privati degli utenti e i dati personali sono tutti crittografati con un livello di sicurezza molto più potente del normale. Questa sicurezza è ciò che consentirà al tuo sito di continuare a rimanere competitivo rispetto ad altri nella tua nicchia.

Oltre a proteggere i dati degli utenti da occhi indiscreti, https:// salvaguarda la tua reputazione. Se il tuo sito presenta regolarmente violazioni della sicurezza e i dati degli utenti vengono rilevati, le persone non vorranno usarlo. Ciò può danneggiare la tua reputazione online in modo irreparabile e compromettere i tuoi guadagni a lungo termine.

Eccezioni in HTTP

Sebbene le eccezioni siano più uniche che rare al giorno d'oggi, c'è ancora chi non ha effettuato il passaggio completo a https://. In certi casi, questo ha senso: se non ti interfacci con utenti che forniscono regolarmente dati sensibili ad un e-commerce o per altri motivi, probabilmente non hai bisogno di una maggiore sicurezza.

In un mondo perfetto, dove tutto ha lo stesso valore su un sito web, https:// è un elemento decisivo per le classifiche. Ma non possiamo dire di vivere in un mondo perfetto quando si tratta di SEO. Pertanto, puoi classificarti anche con http://.

Sebbene i vantaggi di https:// siano molti, John Mueller ha anche affermato che HTTPS è un fattore di ranking leggero, e questo è quanto, ma Google afferma che "quando tutto il resto è uguale, il vantaggio per il ranking di HTTPS è l'ago della bilancia."

Problemi di migrazione SEO: il passaggio da HTTP a HTTPS

Ci sono molti vantaggi nel passare da HTTP a HTTPS, soprattutto da una prospettiva SEO. Ma se non hai familiarità con il processo, puoi causare più danni che benefici.

Devi informare Google della transizione. Devi scegliere il certificato più adatto alla tua situazione, configurare Google Search Console, configurare Google Analytics, aggiornare i collegamenti interni e aggiornare eventuali URL relativi. Diamo un'occhiata a ciascuno di questi punti un po' più da vicino. 

Informare Google della transizione e gli errori da evitare

Questo passaggio prevede la configurazione di un altro profilo su Google Search Console. Non disabilitare il tuo profilo GSC non protetto. Devi infatti mantenere attivi tutti i profili. Imposta un nuovo profilo per la versione HTTPS del tuo sito e assicurati che continui a raccogliere dati.

Inoltre, in Google Analytics, devi assicurarti di impostare il tuo profilo in modo sicuro. Altrimenti, non traccerai i dati corretti.

Non dimenticare di aggiornare i parametri di raccolta dati in Google Tag Manager, ove necessario. In aggiunta, se usi Bing Webmaster Tools, sarà necessario aggiornare da http:// a https:// durante la migrazione.

Saresti sorpreso di quanti errori incontro nelle transizioni da http:// a https:// causati da una mancanza di supervisione nello sviluppo del processo di transizione iniziale e per il mancato aggiornamento dei profili di tracciamento dei dati fondamentali.

Questi tipi di errori possono causare una perdita di accuratezza nella stima dei dati, falsare le cifre e quindi portarti a prendere decisioni errate per la tua strategia SEO.

Scegliere il certificato di sicurezza giusto: SSL e certificati Wildcard

Hai a disposizione certificati SSL per una varietà di scopi. Uno per un singolo dominio, un altro per più domini, per non parlare delle certificazioni Wildcard. Per i siti più piccoli, in genere non è necessario un certificato wildcard completo. Tuttavia, può semplificarti la vita quando lavori per controllare la sintassi degli URL nei tuoi siti web.

Viene emesso un certificato SSL per un singolo dominio per un sottodominio o per il singolo dominio stesso. Un certificato SSL per più domini ti consentirà di proteggere il nome di dominio principale e fino a 99 SAN o nomi alternativi del soggetto.

Il carattere jolly (o asterisco, *) ti consente di proteggere l'URL del tuo sito web iniziale e tutti i sottodomini illimitati ad esso associati. Cosa significa questo? Significa che se imposti dominio.dominioprincipale.com con un certificato wildcard, questo è automaticamente protetto. Non dovrai spendere ulteriori sforzi per assicurarti che si adatti al livello di sicurezza in vigore sul tuo sito. In altre parole, ti farà risparmiare molti mal di testa.

Chiaramente, qui il certificato jolly è il chiaro vincitore. Tuttavia, essendo un certificato affidabile con molte funzionalità diverse, costa di più, quindi dovrai valutare la spesa aziendale aggiuntiva e confrontarla con le funzionalità che otterrai.

Assicurarsi che tutti gli URL siano correttamente aggiornati in tutto il sito

Alcuni consigliano di usare solo URL relativi per le risorse. Supponendo che tu sia abile nel gestire le esigenze attuali del tuo sito Web, non hai bisogno di realizzare questo passaggio. Devi solo assicurarti che tutti i contenuti on-site siano aggiunti dal giusto protocollo. E non dimenticare la tua Sitemap XML!

Non hai idea di quanti controlli ho realizzato su siti che non riescono a completare questo passaggio, per assicurarmi che tutti i loro contenuti siano protetti.

Non importa se usi URL relativi o assoluti, purché li mantieni aggiornati. Puoi passare agli URL relativi se preferisci, ma se il tuo sito è costruito su URL assoluti, usa l'opzione trova-e-sostituisci sul tuo database, se il tuo sito lo consente. Questo ti aiuterà a eliminare tutte le istanze esistenti di contenuto misto.

Assicurati che i tuoi URL siano correttamente preceduti da https:// dopo aver effettuato la transizione e non dovresti riscontrare problemi significativi.

Non impedire a Google di scansionare il tuo nuovo sito in HTTPS

Devi assicurarti che tutti gli elementi possano essere scansionati dal tuo file robots.txt. A meno che tu non abbia un problema specifico, come una cartella che non dovrebbe essere indicizzata, ha senso consentire a Google di fare il crawling di tutto ciò che è sul sito, anche dei file CSS e JS. Se il tuo sito non consente il rendering dei file CSS e JS, potresti riscontrare problemi.

Ad esempio, se non consenti il rendering di un elemento CSS o JS fondamentale su una pagina, puoi impedire a Google di comprenderne il contesto, cosa molto importante per ottenere un posizionamento più elevato. Inoltre, in circa il 99% dei casi, non c'è motivo per indicare il disallow sui file CSS o JSS in questo modo.

Il Site Audit tool di SEMrush ti fornirà molte informazioni utili sulla tua implementazione di HTTPS. Potrai vedere eventuali problemi del tuo sito e ottenere consigli per risolverli. 

Ricontrolla tutto durante la tua migrazione

Il monitoraggio regolare e continuo del tuo sito è fondamentale per realizzare una corretta migrazione web a https://. Controlla Google Search Console e Google Analytics e verifica su qualsiasi altro software di reportistica che usi. Se non hai aggiornato http:// a https://, devi farlo non appena ti sia possibile. In questo modo non incapperai in ulteriori problemi che possono danneggiare seriamente i tuoi sforzi SEO.

HTTP:// vs. HTTPS:// - Qual è davvero il migliore?

Se non sei esperto in SEO, può essere arduo capire i dettagli intricati che si celano dietro la scelta di un protocollo sicuro o non sicuro. Ecco alcuni punti che potrebbero aiutarti a prendere una decisione:

Sei un negozio e-commerce che tratta informazioni sensibili su carte di credito e dati personali? In questo caso, proteggere il tuo sito web con HTTPS è la soluzione migliore. Ti aiuterà a conquistare il favore e la fiducia dei tuoi clienti online e ti assicurerà di non commettere l'errore di essere troppo aperto agli attacchi web. Anche la tua reputazione online ne gioverà.

E se non sei un e-commerce ma le persone ti inviano le loro informazioni (ad esempio, attraverso un sito di lead gen)? Anche in questo caso dovresti usare HTTPS. Le persone contano sulla sicurezza del Web e che i propri dati personali non vengano compromessi. Questa scelta aiuta ad aggiungere un ulteriore livello di fiducia e legittimità alla tua azienda.

Dovresti usare l'opzione gratuita di Let's Encrypt? Beh, dipende. Sei agli inizi e non hai budget a disposizione? Allora questa è una buona opzione. Ma se sei un'azienda che guadagna migliaia di euro, sarebbe meglio utilizzare un'opzione a pagamento come GeoTrust o Comodo. Fanno tutti la stessa cosa, ma nel marketing la percezione è importante.

Se scegli di rimanere in http:// o passare a https:// dipende da te. Ma se vuoi creare un Web più sicuro, passare a https:// è una fantastica opzione da sfruttare.

Altri suggerimenti su HTTPS da Google: HSTS e Domande comuni

Youtube video thumbnail
Condividi
Author Photo
Daryana is a PR manager at Semrush, she is responsible for product studies launch and coverage. Being an expert in public and international relations she takes inspiration from all possible cases to improve her work. She loves her profession because here you need to study and update your knowledge literally every day.