• cerca

SEI GIA' REGISTRATO? EFFETTUA ADESSO IL LOGIN.



HAI DIMENTICATO LA PASSWORD? CLICCA QUI

NON SEI ANCORA REGISTRATO A WEBAREA? CLICCA QUI E REGISTRATI !

Migrare un sito da HTTP a HTTPS: la guida definitiva

11 febbraio 2018

da http a https

HTTPS è diventato un fattore di posizionamento per Google e quindi il passaggio da http ad https del tuo sito è oramai inevitabile.

In questo articolo vedremo tutti gli step necessari per effettuare questa migrazione, ma, prima di tutto, un po di teoria che non fa mai male.

Differenze tra tra HTTP e HTTPS

HTTP sta per Hyper Text transfer Protocol (protocollo di trasferimento di ipertesti). Si tratta di un protocollo che serve a trasmettere le informazioni sul web. HTTPS è la versione sicura dello stesso protocollo. La differenza consiste nel fatto che tra client (il browser) e server (il sito web) il flusso di informazioni non viaggia in chiaro sulla rete ma è crittografato, criptato. Questo garantisce l’autenticazione del sito e l’integrità dei dati trasmessi. Le informazioni scambiate vengono protette da eventuali intercettazioni e compromissioni. Per ottenere questo risultato occorre installare sul server che ospita il sito web un certificato SSL (Secure Socket Layers).

Per capire se un sito web utilizza il protocollo HTTPS basta guardare l’URL del sito. Se inizia con https://, allora il sito è sicuro (o dovrebbe esserlo...). In alcuni browser è presente un lucchetto verde ad indentificare un sito sicuro, e questo aiuta a far aumentare la fiducia negli utenti.

Cerificati SSL

Il certificato SSL è una sorta di carta di identità di un sito web. La Certificate Authority (CA), cioè l’ente ufficiale dove si acquista il certificato, ha verificato la tua identità ed è responsabile della correttezza dei dati. Il certificato SSL viene installato sul server in cui il sito web è ospitato e richiamato ogni volta che l’utente visita il sito web con HTTPS.

I certificati vanno acquistati, e quindi hanno un costo. Tuttavia esistono servizi che forniscono gratuitamente i certificati SSL, come Let's Encrypt, e provider che assegnano gratuitamente un certificato al sito web ospitato.

Inoltre i certificati hanno una scadenza. Ricordatevi quindi di rinnovarli! Un certificato scaduto, o non installato correttamente, viene evidenziato nella finestra del browser con un lucchetto NON verde, e sopra un triangolo di avviso. Questo si ripercuoterà negativamente su quello che era l’obiettivo iniziale: trasmettere all’utente sicurezza e fiducia.

I certificati non sono tutti uguali. Vediamo, in breve, le loro differenze.

  • Certificato SSL Domain Validated (DV)
    Questi sono i certificati con il livello di autentificazione più basso. Qui la CA verifica solamente che il richiedente sia in possesso del dominio per il quale vorrebbe acquisire un certificato. Le informazioni dell’azienda non vengono controllate durante la verifica, perciò con Domain Validated rimane un rischio residuo. Grazie ad un minor impegno per l’autentificazione, il certificato viene in generale rilasciato in fretta dalla CA ed è inoltre il più conveniente tra i tre tipi di certificato SSL.
    I certificati DV sono adatti per i siti web nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.
  • Certificato SSL Organization Validated (OV)
    Questo tipo di verifica è più completo e per questo più sicuro di un Domain Validated. Oltre al proprietario del dominio la CA verifica inoltre informazioni rilevanti sull’azienda, come ad esempio la registrazione alla camera di commercio. Le informazioni verificate dalla CA sono visibili dal visitatore, cosa che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, il certificato SSL Organization Validated è più caro di quello Domain Validated, ma offre un grado di sicurezza più alto. Questo certificato è adatto per i siti web dove non si effettuano transazioni con dati sensibili.
  • Certificato SSL Extended Validation (EV)
    Questo è il certificato con il livello di autentificazione maggiore e più completo. A differenza del certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente tramite criteri di assegnazione rigorosi. Inoltre questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata dell’azienda garantisce il livello di sicurezza più alto e con questo rafforza la fiducia e la credibilità nel sito web, ecco perché il certificato Extended Validation comporta costi maggiori. Questo certificato è adatto ai siti web che, ad esempio, prevedono transazioni con numeri di carte di credito o altri dati sensibili.

HTTPS in siti web in hosting condiviso

Oggi gran parte dei provider che forniscono servizi di hosting condiviso (ad esempio Aruba.it, Siteground.it,...) assegnano gratuitamente un certificato SSL e con un click il vostro sito diventa HTTPS!

HTTPS in server dedicati

Se il vostro sito risiede su un server dedicato, e quindi amministrate il server su cui è alloggiato il vostro sito webm dovete dotarvi di un certificato, installarlo, e configurare il vostro server web (es Apache) per la navigazione in HTTPS.
A fondo pagina è presente un link all'articolo dedicato a come configurare HTTPS su webserver Apache.

Modifiche da effetturare al vostro sito web: la CHECKLIST

Siamo giunti finalmente agli step necessari per passare da HTTP a HTTPS. Occorre stabilire un "piano di battaglia", preparando una checklist da seguire punto per punto, e prestare molta attenzione, ogni errore potrebbe pregiudicare il posizionamente sui motori di ricerca. Siete pronti?

  1. Redirect 301 da HTTP verso HTTPS
    Tutte le url del sito che si aprono in HTTP dovranno aprirsi in HTTPS, per questo motivo occorre impostare i reindirizzamenti automatici verso l'https. In questo modo impediremo a chiunque, che sia un utente o un bot del motore di ricerca, di atterrare su una pagina HTTP che, dopo quest modifiche, non esisterà più. In mancanza di questo redirect, aprendo una pagina http, si verificherà errore 404 "file not found" (pagina non trovata) ... e verrai penalizzato da Google! Impostiamo a livello globale (non pagina per pagina)  un redirect 301 lato server alla versione HTTPS del tuo sito web. Per fare questo aggiungiamo al file .htaccess presente nella root del tuo sito (se non è presente crealo!) la seguente regola:
    RewriteEngine on
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ https://www.miosito.it/$1 [R=301,L]
    Questa regola dice: al verificarsi di una condizione (RewriteCond) applica una regola (RewriteRule)
    La condizione da verificare è: "quando viene richiamato un file dalla porta 80 (HTTP)"
    La regola da applicare è :"il sito deve rispondere con un redirect 301 verso la corrispettiva URL in HTTPS"
  2. Verificare i collegamenti (link) interni cioè i link tra le pagine del tuo sito. Se sono presenti url assolute, cioè comprensive di prefisso "http://", dovrete modificarle in "https://" ... anzi, il mio consiglio è sostituire tutte le url assolute in url relative. Ad esempio da "http://www.miosito.it/nomepagine" passate semplicemente a "/nomepagina"
  3. Aggiorna, se presenti, i tag: canonical (se avete una stessa pagina visualizzabile con url diverse), hreflang e alternate (se avete URL in più lingue)
  4. Effettua adesso una scansione del sito, per accertarti che tutti i link del tuo sito siano corretti. Esistono vari strumenti, gratuiti e non, che simulano la scansione di Googlebot. Uno di questi strumenti è Screaming Frog.
  5. Aggiorna, se necessario, il file robots.txt, e, se lo usi, il file disavow.
  6. Per la Google Search Console, il sito in versione HTTP e quella in HTTPS sono due siti web diversi. Per cui aggiungere alla Console questo "nuovo" sito.
  7. Aggiornare la sitemap.xml del sito, sostituendo alle url in http, l'https, e caricarla nel Webmaster Tool di Google
  8. Se hai inserito lo script di Google Analytics, aggiornalo nelle impostazioni della proprietà. Dopo la modifica verifica che raccolta dati avvenga correttamente (attendi qualche minuto se non vedi subito i dati).
  9. Aggiorna i link che puntano al tuo sito sugli account social, su altri siti, eventuali banner pubblicitari che puntano al tuo sito, i widget di social sharing ed eventuali strumenti di marketing che usi.
  10. Modifica, se utilizzati, gli account pubblicitari (Google AdWords, Bing Ads, ...): se si inseriscono in un sito web HTTPS contenuti non cifrati (foto, script ecc.), all’apertura della pagina viene mostrato un messaggio fastidioso di avviso  per l’utente.

Abbiamo finito. Come vedi i passaggi da seguire sono molti, e tutti delicati. Se il tuo sito è ben posizionato, errori in questi step potrebbero comprometterne il posizionamento.

Se tutto è stato effettuato in modo corretto potresti vedere nei primi giorni un calo nel posizionamento, ma ultimata una prima fase di assestamento le originarie posizioni verranno riacquisite (se non migliorate).

Potrebbe interessarti

x

ATTENZIONE