HTTPS: i 10 errori più comuni — Nuova ricerca Semrush (2017)

Valentina Pacitti

mag 16, 20179 min di lettura
HTTPS: i 10 errori più comuni — Nuova ricerca Semrush (2017)

Da HTTP ad HTTPS: i 10 errori più frequenti riscontrati nei siti web

Trasferire un sito web dalla versione HTTP a quella in HTTPS non dovrebbe essere visto come un provvedimento opzionale nelle pratiche di ottimizzazione SEO, ma andrebbe considerato a tutti gli effetti una pratica necessaria per tutti i tipi di sito, non solo quelli delle grandi aziende. Il volume del traffico crittografato cresce infatti di anno in anno e, secondo la rilevazione effettuata da Firefox il 29 gennaio 2017, solo la metà di tutto il traffico Internet è sicuro.

Percentuale di pagine web caricate da Firefox utilizzando HTTPS (2017)

La rilevanza di questo aspetto non può essere esagerata

— Ross Schulman - Cibersecurity New America Fundation

Se il tuo sito web è ancora nel lato "oscuro", dovresti riconsiderare la tua percezione del traffico crittografato. Adeguarsi al protocollo HTTPS è importante per il ranking, è un segnale di fiducia che aumenta la credibilità del tuo sito agli occhi degli utenti, inoltre è un modo sicuro per proteggere i dati del tuo sito web da vari tipi di attacchi.

In questo post vedremo quali sono gli errori che possono verificarsi in seguito alla migrazione di un sito all'HTTPS, come risolverli ed evitarli.

Se hai già migrato il tuo sito web in HTTPS o stai pensando di farlo questo articolo ti aiuterà ad evitare alcune delle insidie più comuni che si celano dietro il passaggio dall’HTTP al più sicuro HTTPS

Errori di implementazione dell’HTTPS

Tutti i dati statistici citati in questo articolo sono stati ottenuti utilizzando lo strumento Site Audit di SEMrush. Abbiamo raccolto dati anonimi su 100.000 siti web per scoprire la frequenza degli errori di implementazione del protocollo HTTPS. Innanzitutto, dobbiamo dire che solo il 45% dei siti web che abbiamo analizzato supportava l’HTTPS e tutti i dati sulla frequenza degli errori relativi ad HTTPS sono stati raccolti analizzando tali domini protetti.

Google ha definito molto chiaramente i problemi in cui si può incorrere adeguando un sito all’HTTPS, indicando anche come possono essere evitati. Vediamoli insieme nel dettaglio ed esaminiamo esattamente i modi in cui questi errori si verificano.

I 10 errori più comuni nell'implementazione dell'HTTPS - infografica

1. Pagine con input di password non sicure

A partire da gennaio 2017 (Chrome 56) contrassegneremo come non sicurelepagine HTTP cheraccolgono password o datidi carte di credito, come parte diun piano a lungo termine per contrassegnare tutti isiti HTTP come non sicuri

— Emily Schechter, Chrome Security Team

Puoi approfondire la notizia  qui.

Google è stato molto chiaro sulla questione della sicurezza: ogni pagina che raccoglie password deve essere crittografata. Per individuare la frequenza di questo errore, abbiamo analizzato tutti i 100.000 domini, scoprendo che il 9% dei siti web analizzati richiede l'inserimento di password in pagine non protette.

Speriamo che la consapevolezza della pericolosità di questo errore faciliterà la diffusione del protocollo HTTPS. 

2. Problemi nell'Architettura del sito

Contenutimisti

Abbiamo a che fare con contenuti misti quando una pagina viene caricata tramite connessioni HTTPS protette, ma contiene elementi (come immagini, collegamenti, IFrames, script, ecc.) che non sono protetti da HTTPS.

Questo può portare a seri problemi di sicurezza. Inoltre, i browser avviseranno gli utenti della presenza di contenuti non sicuri e questo potrà influire negativamente sulla user experience e ridurre la fiducia degli utenti rispetto al tuo sito web.

La portata di questo problema è superiore a quanto si potrebbe pensare: il 50% dei siti web presenta questa situazione, probabilmente perché valutare manualmente questo problema richiede molto tempo. Un sito web, infatti, può contenere centinaia di pagine e questo rende l’errore del contenuto misto difficile da risolvere.

Tutti i link interni, le immagini, gli script, ecc. di un sito dovrebbero puntare alle versioni HTTPS. Ciò è estremamente importante, soprattutto se non sono stati implementati redirect (comunque in ogni caso è sempre meglio modificare i link alla versione HTTPS) o non è supportato lo standard HSTS. Questo è uno degli errori più comuni che si verificano quando si sposta un sito Web in HTTPS. E sembra che sia il problema più grande, sicuramente perché la verifica di tutte le pagine richiede molto tempo. Risulta infatti che il 50% dei siti web analizzati presenta questo problema.

Non ci sono redirect  o canonical alle URL HTTPS dalla versione HTTP

Quando si sposta un sito da HTTP ad HTTPS, è importante reindirizzare in modo appropriato le pagine con url canonici. Devi ricordarti di farlo per diversi motivi: innanzitutto per garantire un'esperienza sicura sul sito web; in secondo luogo perché la coesistenza di pagine HTTP non collegate a quelle in HTTPS influisce negativamente sulla SEO del tuo sito. I motori di ricerca, infatti, non riescono a capire quale pagina indicizzare e a quale dare priorità nei risultati di ricerca. Di conseguenza, si possono verificare molti problemi, tra cui pagine in concorrenza tra loro, perdita di traffico e pessimo posizionamento in SERP.

Ricorda! Implementarecorrettamentei redirect e utilizzare in modo appropriatoi redirect canonical migliora significativamente il ranking diunsito web.

Questo problema non pregiudica invece i siti web che utilizzano HSTS, in quanto questo standard impedisce la comunicazione del browser web tramite HTTP, quindi non li abbiamo tenuti in considerazione durante la nostra ricerca.

Abbiamo scoperto che nell'8% dei siti web analizzati (esclusi quelli che supportano l’HSTS) la home page in HTTP non corrisponde alla versione in HTTPS (e ci siamo soffermati solo sull'homepage, possiamo quindi immaginare quante altre pagine di questi siti web non siano state correttamente reindirizzate).

URL in HTTP nella sitemap.xml per unsito in HTTPS

Altro errore che può verificarsi facilmente quando si sposta un sito Web in HTTPS.

Per impedire a Google di rendere erroneamente la pagina HTTP canonical, dovresti evitare l'inserimento della pagina HTTP, al posto della versione HTTPS, nella Sitemap o in voci hreflang

— Guidadi Search Console

Anche se si tratta di un requisito chiaramente descritto, il 5,5% dei siti web analizzati ha mostrato questo errore. Quando sposti il tuo sito web in HTTPS, non devi creare un altro file sitemap.xml per la versione HTTPS, è sufficiente modificare il protocollo HTTPS nella Sitemap.

3. Errori nei Certificati di Sicurezza

Certificato SSL scaduto

Un certificato SSL (Secure Socket Layer certificate) viene utilizzato per stabilire una connessione protetta tra un server e un browser ed evitare che i dati sul tuo sito web vengano rubati. Per alcuni tipi di aziende che lavorano proprio con dati riservati, come i numeri delle carte di credito dei clienti, un certificato SSL scaduto comporta il rischio di perdita di credibilità. Inoltre, un certificato scaduto innesca un messaggio di avviso agli utenti che entrano nel tuo sito web, il quale ovviamente influenza negativamente l’esperienza dell’utente, aumentando la frequenza di rimbalzo della pagina. Durante la nostra ricerca abbiamo scoperto che il 2% dei siti web analizzati hanno certificati SSL scaduti.

Certificado SSL registrato su un nome dominio incorretto

Questo errore si verifica quando il nome di dominio a cui viene rilasciato il certificato SSL non corrisponde al nome di dominio visualizzato nella barra degli indirizzi. Questo errore di mismatch è apparso sul 6% dei siti web analizzati nel nostro studio.

La maggior frequenza di questo errore rispetto a quello precedente può essere spiegata con l'idea errata che un certificato SSL rilasciato solo al dominio principale (example.com) funzioni anche per i sottodomini (info.example.com). Questo errore può verificarsi anche se il certificato è installato correttamente. Ad esempio, se viene rilasciato un certificato SSL per il sito web www.example.com, entrando da example.com l’utente arriverà sul sito web ma riceverà una notifica di errore.

Questo problema può essere risolto utilizzando un certificato Multi-Domain, che  può essere utilizzato per più nomi di dominio o indirizzi IP. Da notare che i nomi non qualificati (www), i nomi locali (localhost) o gli indirizzi IP privati violano le specifiche del certificato.

4. Problematiche relative al Server

Non è supportatolo standard HSTS (HTTP Strict Transport Security)

Ilprotocollo HSTS informai browser web che possono comunicare con i server solo tramiteconnessioni HTTPS protette. Mettiamo che l'utente abbia digitato nella barra degli indirizzi il nome del tuo sito web come http://example.com: l'HSTS istruirà il browser per utilizzare la versione HTTPS.

Lo standard HSTS è una protezione contro il downgrade e l’appropriazione dei cookie; è un modo per proteggere gli utenti dal cosiddetto " attacco man in the middle", che cerca di intercettare il traffico da un utente vittima, utilizzando un certificato non valido nella speranza che l'utente l’accetti. L’HSTS non consente ad un utente di ignorare il messaggio di certificato non valido.

Abbiamo scoperto che l’86% dei siti web analizzati non supporta l’HSTS ma non è una sorpresa: la tecnologia è piuttosto nuova e i browser hanno iniziato a sostenerlo abbastanza recentemente. Speriamo che il prossimo anno vedremo una situazione diversa con un trend positivo.

Protocollo di sicurezza non aggiornato (TLS 1.0 o precedente)

I protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL) forniscono una connessione sicura tra un sito web e un browser e devono essere aggiornati regolarmente alle nuove versioni più forti (1.1 o superiore). Farlo è imprescindibile perché una versione obsoleta di un protocollo rende molto facile per i malintenzionati rubare i tuoi dati. È uno degli errori più pericolosi, tuttavia appare sul 3,6% dei siti web analizzati. Ciò significa che anche le aziende che si preoccupano tempestivamente di prolungare il certificato SSL possono dimenticare l'aggiornamento delle versioni dei loro protocolli. Evitare che questo accada è molto importante per la sicurezza del tuo sito e per quella dei tuoi clienti.

SNI (Server Name Indication) non supportato

Server Name Indication (SNI) è un'estensione del protocollo TLS (Transport Layer Security) che consente di supportare più server e di ospitare più certificati nello stesso indirizzo IP.

L’utilizzo dell’SNI risolve il problema di cui abbiamo parlato in precedenza: un certificato SSL registrato su un nome di dominio non corretto. Diciamo che hai aggiunto un nuovo sottodominio al tuo sito web. Inserendolo, il tuo utente riceverà un avviso di connessione non sicura perché il certificato SSL è stato rilasciato ad un nome di dominio diverso. Ed è difficile, o meglio dire impossibile, prevedere tutti i nomi possibili. Qui interviene l’SNI, che impedirà l'eventuale presenza di questo errore.

Non è un requisito necessario, probabilmente è questa la ragione per cui gli errori relativi all’SNI sono stati scoperti solo sullo 0,56% dei siti web che abbiamo analizzato.

Informazioni sul report di implementazione HTTPS di SEMrush

Tutti gli errori elencati in questo post possono essere individuati nel nuovo rapporto di SEMrush per l’implementazione del protocollo HTTPS, già disponibile all’interno del tool Site Audit.

HTTPS Implementation report - Tool Site Audit
Il report HTTPS Implementation del tool Site Audit

Vogliamo aggiungere alcune parole sulla realizzazione tecnica di questo rapporto e sul modo in cui è in grado di rilevare tutte le insidie che si celano nel passaggio da HTTP ad HTTPS.

Se il tool rileva un errore relativo ad un certificato SSL scaduto, il report di implementazione HTTPS di SEMrush non solo mostra lo stato del certificato, ma anche la data in cui questo è scaduto. Inoltre, lo strumento può aiutarti a prevenire questo problema inviandoti una notifica relativa a una scadenza imminente del certificato.

Da HTTP ad HTTPS: il problema dei certificati scaduti

Se un certificato è registrato a un nome di dominio non corretto, il report mostrerà il sottodominio a cui è stato rilasciato il certificato, in modo da consentire la rapida individuazione del problema.

In quanto ai problemi correlati al server, il report fornirà informazioni complete sul sottodominio esatto che necessita di un aggiornamento del protocollo di sicurezza (specificando la versione corrente) o l'implementazione del supporto HSTS e SNI.

Implementazione HTTPS: 10 errori più comuni, ricerca 2017: errori dal server

Per quanto riguarda invece i problemi relativi all’architettura dei siti web, uno dei controlli più interessanti nel report è quello sui contenuti misti rilevati in una pagina. Il report troverà qualsiasi tipo di elemento HTTP, estratto dall'elemento di tag.

Il report è in grado di trovare e specificare letteralmente qualsiasi elemento insicuro. Considerando quanto tempo richiede la rilevazione del contenuto misto, questo report rappresenta sicuramente un grande aiuto

Come passare da HTTP ad HTTPS in sicurezza: attenzione ai contenuti misti

Il report prevede diversi livelli di gravità per tutti gli errori, cosa che ti permetterà di impostare delle priorità e lavorare prima con le questioni più pericolose, per poi passare a quelle meno importanti.

Rilevazione errori a seguito del passaggio all'HTTPS, report Site Audit

Alla luce di queste ultime implementazioni, che si vanno ad aggiungere all'elevata velocità di crawling, i 50 ulteriori controlli on-page e di SEO tecnico, e l'interfaccia friendly, possiamo dire che lo strumento Site Audit di SEMrush è uno dei più potenti revisori di sito disponibili sul mercato e il migliore tra le suite SEO.

Ti è stato utile questo report e scoprire i gli errori dell’implementazione dell'HTTPS?

Dicci cosa ne pensi: condividi il tuo pensiero sul nostro nuovo studio e facci sapere quali errori ti hanno dato più problemi e come li hai superati.

Post tradottoda  10 HTTPS Implementation Mistakes - SEMrush Study di Elena Terenteva

Condividi
Author Photo
Esperta di digital marketing e contenuti, blog editor di Semrush Italia. Aiuto piccole e grandi aziende a creare le migliori strategie di contenuti per raggiungere il loro pubblico ideale. Con l‘obiettivo di fare la differenza.