I siti privi di HTTPS vengono notificati nella Search Console: meglio aggiungerlo!

Indice mostra

Da qualche tempo c’è aria di grosse novità in casa Google: la campagna pro-HTTPS da utilizzare su tutti i siti, almeno a lungo termine, sta iniziando a mostrare risultati concreti. Ho già esplicitato altrove il mio scetticismo di fondo legato a questa iniziativa: questo non tanto per l’utilità tecnologica in sè (che non si discute: HTTPS è uno standard di sicurezza elevato ed utile) quanto per l’uso che tenderanno a farne la maggiorparte delle persone (soprattutto quelle che si baseranno su quello che leggeranno, soprattutto da parte di web hosting interessati a vendere certificati SSL e indirettamente “poco obiettivi” sull’argomento).

La morale della favola è sempre la stessa: se non siete skillati in informatica e non vi rivolgete ad un consulente serio, è difficile che possiate configurare a dovere un certificato SSL, anche se ovviamente nessuno vi vieterà di farlo.

Notifiche da parte di Google nella Search Console

Peraltro, ormai da tempo, i siti senza HTTPS vengono da qualche tempo, come mi suggeriva qualche collega giorni fa, notificati nella Search Console via email: ovvero i webmaster vengono avvisati in questi termini che il sito non supporta SSL, e che sarebbe preferibile farne uso.

Vorresti pubblicare guest post per la tua azienda? Prova il servizio di link building di ➡️ Rankister.com ⬅️

La prima parte del comunicato mi ha notificato il sito web interessato:

La seconda mi ha fornito una descrizione dettagliata, con un URL di esempio (NB mandano solo un esempio, potrebbero esserci altre pagina analoghe: apparentemente le notifiche degli URL specifici riguardano pagina indicizzate e, nel mio caso, ben posizionate su Google). Viene anche esplicitato che si tratta di una prima fase, e che ne seguiranno altre per cui, presto o tardi che sia, tutti i siti senza HTTPS saranno notificati.

Infine propongono come risolvere il problema:

Mi pare opportuno, a questo punto, fare un paio di approfondimenti per evitare gli inevitabili fraintendimenti sull’argomento.

La notifica non è una penalizzazione!

Le notifiche di questo tipo arrivano alla Gmail su cui avete registrato la vostra Search Console; non si tratta, per quello che ne sappiamo, di notifiche di penalizzazione (in senso manuale tipo per vendita di link, tantomeno algoritmica tipo Penguin, Panda o altri). Quindi, se riceverete una mail del genere da Google, non vuol dire che siete stati penalizzati: significa semplicemente che è stata rilevata una pagina con un form di login che non usa HTTPS (o comunque almeno una sezione che, secondo la traduzione italiana, “pagine che raccolgono password o dati di carte di credito“: “raccolgono”, in questo caso, va inteso come “ricevono”, “utilizzano” password, ovvero form di login ed eventualmente form di pagamento con numero di carta di credito, data di scadenza e codice CVC).

Il fatto che sia stata rilevata almeno una pagina senza HTTPS non significa, a mio modesto avviso, che ci saranno per forza “guai in vista” se non passate ad SSL: certo, è buona cosa farlo (nessuno lo nega), e sarebbe obbligatorio farne uso, ma questo vale soprattutto per coloro i quali hanno implementato form di pagamento, login o registrazione in HTTP.

La notifica non arriva per tutte le pagine

Sui circa 40 siti che controllo via Search Console, per intenderci, solo in un caso mi è arrivata questa notifica, mentre per i blog ed i portali con pagina di login separata dal resto, per quello che si è capito ad oggi, questa notifica dovrebbe arrivare – almeno, meno probabilmente.

Non è corretto, pertanto, sostenere – come molti stanno facendo – che la notifica arrivi indistintamente su tutte le pagine che usino HTTP (come detto, sembra arrivare solo su pagine con determinate caratteristiche): certo, l’idea di fondo resta quella di passare ad HTTPS su tutte le pagine (anche perchè è più facile farlo, visto che il certificato si attiva a livello di dominio, di norma), per un web più bello e per avere l’iconcina carina di colore verde su tutti i browser da Chrome versione 56 in poi.

Tecnicamente parlando, pero’, le pagine più interessate a questo genere di notifica, cioè quelle per cui sarebbe richiesto avere HTTPS obbligatoriamente, sono quelle che contengono dei form (caselline in cui digitare password o numeri di carte di credito) 1) di login 2) di pagamento. Dipende comunque dalla struttura del sito e da come viene implementato il form di login nelle pagine del front-end, ad esempio.

Messa così, non ci voleva Google per accorgersene: è ovviamente corretto che avvisino i webmaster e li invitino a passare quanto prima ad HTTPS, ma è piuttosto improprio (e a mio avviso molto meno corretto) puntare sul terrorismo psicologico per cercare di cavalcare l’onda e vendere certificati.

Il messaggio corretto che dovrebbe passare, in effetti, è che bisogna quanto passare ad HTTPS per tutte le pagine di login e di pagamento dei vari siti, soprattutto quelli che vogliono lavorare bene e ridurre i rischi. Ma qui non è questione di SEO, scusatemi: è questione di web ben realizzato. C’è anche una questione di “immagine”, ovviamente, per cui chi usa HTTPS è un po’ come chi veste firmato, ma il punto non è tanto questo. Anche se questo è un blog sulla SEO, diffido da sempre dall’idea – trapelata fin dall’inizio – che HTTPS sia solo un “fattore di ranking” perchè, soprattutto per come ho visto che si lavora in Italia, messa così il potenziale protettivo della tecnologia SSL rischia di andare in malora.

HTTPS universale (su tutte le pagine dei nostri siti) non sarà una modifica “indolore”

Un paradosso, quello di SSL/TLS universalizzati su tutti i siti, che rischia di diventare di dimensioni epiche: da un lato, infatti, le pagine in HTTP già indicizzate andranno reindicizzate, e questa cosa sarà poco ovvia per molti di noi, e sono pronto a scommettere sui duplicati in SERP (stessa pagina indicizzata in HTTP e in HTTPS) che fioccheranno un po’ ovunque. La cosa che mi turba maggiormente, in questa fase, è pensare a tutti coloro che useranno, o che già hanno usato, HTTPS come fattore di ranking, senza neanche rendersi conto di ciò che comporta fare uso di SSL.

HTTPS non risolverà in automatico tutti i problemi di sicurezza

A parte quest’ultimo aspetto squisitamente SEO, in tanti passeranno a breve ad HTTPS con annessi certificati (spesso abbastanza costosi) non solo con la beata speranza di migliorare il proprio posizionamento su Google (in bocca al lupo: ci sono tuttavia tante altre cose, all’ordine del giorno, per migliorare il proprio ranking): altri ancora sfrutteranno la questione per ribadire una maggiore sicurezza sulle proprie pagine, pensando di aver potenziato la sicurezza del proprio sito ed archiviando definitivamente la pratica: in fondo, se lo dice Chrome che il sito è sicuro, di cosa preoccuparsi?

Parliamo di HTTPS, ma ci sono ancora persone che usano irresponsabilmente la propria data di nascita come password. HTTPS in altri termini, mi permetto di ricordare, non ti protegge dall’uso di “12345” come password: per cui secondo me un problema esiste, ma si sta affrontando in modo poco efficace.

HTTPS non è una tecnologia universalmente sicura

Qualche tempo fa (2014) uscirono fuori almeno tre falle informatiche su HTTPS, e molte di queste non sono ancora state risolte ad oggi (vedi ad esempio: 148 mila siti affetti da Heartbleed). Questo vuole dire che, da un certo punto di vista, è ancora prematuro che Chrome etichetti come “sicuro” un sito perchè usa SSL / TLS: in teoria, anche un sito con HTTPS può essere attaccato come qualsiasi altro, per quanto tale probabilità tenda ovviamente a ridursi in presenza di HTTPS. La notifica di “sito sicuro”, se da un lato aiuterà i visitatori a riconoscere i siti truffa (almeno, quelli che non usano SSL), dall’altro potrebbe finire per deresponsabilizzare ulteriormente i proprietari dei siti sull’aspetto legato alla sicurezza.

A: Il mio sito è sicuro, uso HTTPS!

B: Ma usi l’autenticazione a due fattori?

A: No, e la mia password è “password”.

Possiamo poi ipotizzare che il mercato, in questi casi, tenderà a seguire la “coda lunga”, per cui la maggiorparte dei certificati installati saranno certificati gratuiti (per cui, temo, non troppe garanzie) o saranno di qualità non sempre eccelsa (esempio: da una delle falle di cui parlavo è emerso che su OpenSSL, una delle implementazioni più popolari di HTTPS, c’erano all’attivo solo 5 programmatori, di cui solo uno stipendiato!). Questo dilagare di tecnologia cheap, peraltro brandizzata ed ampiamente promossa da Google e da Chrome, mi pare che finisca per avere dei tratti vagamente inquietanti.

HTTPS è un problema ancora, ad oggi, complesso, e molti aspetti sono squisitamente destinati agli “addetti ai lavori” (perdonerete il taglio “poco SEO” di questo articolo, ma purtroppo da sempre HTTPS è stata legata a questo genere di discorsi): a me questa mossa di invitare tutti a farne uso sembra piuttosto prematura, anche se riconosco la sua bontà di fondo, ovviamente. Darlo in pasto alle masse come stanno facendo, tuttavia, in questo momento, mi pare comunque una strategia poco azzeccata.

Il servizio professionale per inviare SMS aziendali: ➡️ prova SMSHosting ! ⬅️

Notifiche da parte di Google nella Search Console

La notifica non è una penalizzazione!

La notifica non arriva per tutte le pagine

HTTPS universale (su tutte le pagine dei nostri siti) non sarà una modifica “indolore”

HTTPS non risolverà in automatico tutti i problemi di sicurezza

HTTPS non è una tecnologia universalmente sicura

Salvatore Capolupo

Potrebbe anche piacerti

PageSpeed Insights è un fattore di posizionamento, ma quasi nessuno ha capito come ottimizzarlo

Come diventare un professionista della SEO

Caso studio SEO: VolcanoHub, viaggi in Giappone (e non solo)