Il Certificato SSL / HTTPS: è davvero importante attivarlo? Ecco la guida completa

In questi giorni è scattata l’ansia da certificato “https”: quella scrittina verde nella barra del browser che dice “SICURO” vicino all’icona del lucchetto.

A sentire le voci che corrono, se non lo attivi subito il tuo sito diventerà inutile, i tuoi visitatori ti tratteranno come un Paria e l’internet cesserà di esistere per come la conosciamo.

Ma cosa c’è di “vero” in tutto questo? Scopriamolo insieme.

---

Che cos’è il certificato SSL

Il certificato SSL/TLS è un protocollo di crittografia che permette di rendere segreta e privata la comunicazione fra due computer.

Il protocollo HTTPS, quello che vedi scritto nella barra degli indirizzi del browser, è il modo in cui il tuo computer (il client) indica al sito web (il server) di utilizzare una connessione crittografata tramite SSL/TLS.

Per essere valido, il certificato deve essere rilasciato e firmato da un’autorità terza, al di fuori quindi della relazione client / server.

Nella pratica, il certificato funziona come un notaio: una terza persona che garantisce che tu sei proprio tu.

A cosa serve il certificato SSL

Questo tipo di certificazione è molto efficace per proteggere da attacchi “man-in-the-middle” (uomo nel mezzo), in cui un hacker si inserisce nella comunicazione fra il tuo sito e il visitatore, per ascoltarla o modificarla a vostra insaputa.

Tipicamente questi attacchi vengono usati per intercettare i dati sensibili (password, email, numeri di carta di credito, ecc) che un utente invia mentre interagisce con il tuo sito.

Google ha detto che…

Ad Agosto 2014 Google ha dichiarato che avrebbe iniziato a dare un piccolo aiutino ai siti provvisti di certificato SSL, così da premiare quelle pratiche che promuovono un web più sicuro.

Un paio di anni più tardi, Google rilascia due dichiarazioni (a Settembre 2016 e Aprile 2017) annunciando che il suo browser Chrome (il più usato nel mondo) avrebbe segnalato agli utenti le pagine non protette da HTTPS.

Prima dichiarando come non sicure le pagine di inserimento password sprovviste certificato, a partire da Gennaio 2016.

Ea partire da Ottobre 2017 segnalando tutte le pagine in cui l’utente deve inserire dei dati personali.

Nell’ultimo comunicato si preannuncia un futuro in cui Chrome segnalerà come “non sicure” tutte le pagine sprovviste di certificato, marcandole con bel punto esclamativo rosso.

Esagerazioni?

Se da un lato non esistono dati certi che Google abbia realmente avvantaggiato i siti provvisti di certificato SSL (e non sarebbe la prima volta che l’azienda rilascia una dichiarazione falsa per smuovere il mercato), dall’altra l’avviso sul browser Chrome è stato implementato.

Si trovano però in rete alcuni articoli carichi di allarmismo, diffusi da alcuni blog di sedicenti “esperti”, in cui si racconta che Chrome da Ottobre addirittura impedirà l’accesso ai siti sprovvisti di SSL in questo modo:

Oltre ad essere una tesi non supportata da alcuna dichiarazione ufficiale di Google, si vede chiaramente che l’errore è riferito a un certificato non valido, e non all’assenza di certificato.

I Vantaggi di attivare l’HTTPS sul tuo sito

Ora che abbiamo capito a grandi linee in che cosa consiste il certificato SSL/TLS, vediamo quali sono i motivi per cui vale la pena attivarlo.

Il Certificato SSL garantisce più sicurezza

Se sei indeciso se fare la spesa ed attivare un certificato, la sicurezza dei tuoi utenti dovrebbe essere la tua prima preoccupazione.

Il certificato SSL offre la garanzia al visitatore che il sito con cui sta interagendo sia proprio quello che dice di essere, e assicura che non ci siano dei malintenzionati nascosti a origliare per raccogliere i suoi dati sensibili.

Ma attenzione: il certificato SSL non è una panacea contro tutti i mali della sicurezza informatica. E’ un piccolo tassello che deve essere inserito in una strategia più ampia.

Un server ben configurato e software costantemente aggiornati completano un quadro che altrimenti rimarrebbe dipinto solo a metà.

Il certificato SSL migliora il tasso di conversione

Con i sempre più frequenti episodi di hacking, furti di identità e sottrazione di dati sensibili, gli utenti stanno diventando più sensibili (finalmente) al tema della sicurezza.

Vedere la scritta che dice sicuro può aiutare l’utente indeciso a compilare il modulo per contattarti, oppure a finalizzare il suo acquisto online.

Di contro, la scritta non sicuro potrebbe invece spaventare gli utenti più sensibili.

Se usi il tuo sito per generare nuovi contatti, l’SSL è la scelta giusta da fare, e da fare adesso.

Se invece il tuo è solo un “sito vetrina”, bè…. allora dovresti rivedere la tua strategia di presenza online perché stai perdendo delle opportunità.

E comunque ricordati: l’SSL è qui per rimanere, e sarà un passaggio quasi obbligato, da fare se non adesso, magari fra qualche anno.

l’HTTPS potrebbe migliorare il posizionamento su Google

Come dicevo, ad oggi non ci sono “prove provate” che Google abbia davvero iniziato a privilegiare i siti con HTTPS.

Diverse aziende che si occupano di seguire le mosse del motore di ricerca sono concordi sulla questione.

Dal 2014 a oggi c’è stato sì un aumento dei risultati di ricerca provvisti di HTTPS in prima pagina, ma questo è probabilmente dovuto al fatto che diversi siti molto grandi e già presenti in prima pagina (per esempio Wikipedia) siano passati a servire i propri contenuti su SSL.

Se un vantaggio c’è quindi, è molto piccolo.

Se il tuo sito, come la maggior parte dei siti, ha pochi contenuti e scritti male, non sperare che attivare il certificato ti porti dalla quinta pagina alla prima posizione. Dal punto di vista SEO hai problemi molto più grandi da risolvere.

Se invece hai già una strategia di ottimizzazione, produci contenuti in modo regolare, e ti stai giocando i primi posti con qualche concorrente, allora attivare il certificato SSL potrebbe darti quel piccolo margine che ti manca per raggiungere la vetta.

Conclusioni: devo attivare un certificato SSL sul mio sito?

La domanda giusta in realtà sarebbe: devo attivarlo adesso o posso aspettare?

La crescita esponenziale delle minacce alla sicurezza informatica e la conseguente maggiore richiesta di sicurezza da parte di aziende e utenti è un trend che non si può ignorare.

L’HTTPS è qui per restare.

Quindi, anche se non hai fretta di attivarlo adesso, devi mettere in conto di farlo fra qualche anno.

Quindi lo attivo?

Se tratti dei dati personali

Si! Se il tuo sito chiede ai tuoi utenti l’invio di dati personali (anche solo l’indirizzo email) allora ti consiglio di attivarlo in fretta.

Se vuoi migliorare il rendimento

Si! Se il tuo sito è uno strumento di lavoro attraverso cui raccogli ordini, prenotazioni, contatti utili, ti consiglio di attivarlo in fretta.

Se vuoi posizionarti meglio su Google

Ni… Se hai già una strategia di ottimizzazione per i motori di ricerca, allora puoi pensare di ricavarne alcuni benefici. Se non ce l’hai allora puoi aspettare… hai altri problemi da risolvere.

Come fare per attivarlo

Se sei già nostro cliente, il tuo ambiente di hosting è già stato predisposto per l’attivazione del certificato.

Le uniche attività che rimangono da fare sono:

• installazione del certificato SSL dedicato al tuo dominio
• impostazione del rinnovo automatico del certificato
• il cambio di tutti gli URL del sito da http:// a https://
• Il cambio del codice Google Analytics
• l’impostazione del reindirizzo automatico in modo che chi visita la versione http:// venga automaticamente reindirizzato sulla versione https://
• la registrazione di una nuova proprietà su Google Webmasters Tools con relativa procedura di cambio dominio per non perdere posizionamento su Google

Il processo è testato e sicuro e non comporta alcun tempo di downtime (tempo in cui il sito rimane non accessibile).

La procedura costa 150€ + IVA e non prevede alcun aumento del canone annuale per il suo mantenimento.