La nuova policy Google sui protocolli HTTPS

Quotidianamente abbiamo a che fare con privacy da accettare e dati da proteggere, si reciti il ruolo del navigatore esperto o di quello alle prime armi. Si tratta di una ovvia e proporzionale conseguenza, dovuta all’aumento esponenziale della quantità di acquisti online e dei dati che mettiamo a disposizione tramite login e registrazioni.

Sicurezza informatica e protezione dati non sono più termini distanti dall’utente, ma ne accompagnono continuamente l’esperienza sulla rete.

E proprio per questo si è innescato un processo di auto-apprendimento, che ha portato gli utenti alla ricerca costante di segnali rassicuranti come un lucchetto verde in cima al browser ad indicare una connessione sicura.

Sicuro che sia sicura?

Google aveva già iniziato nel 2014 a tracciare la via per rendere il web più sicuro per gli utenti, lanciando la campagna HTTPS Everywhere, destinata ad apportare uno switch definitivo di tutto il traffico che lo attraversa dal semplice protocollo HTTP al più sicuro HTTPS.

Questo permette tramite l’applicazione di un certificato valido di:

  • identificare il sito web.
  • crittografare a diversi gradi di complessità, in base al tipo di certificato, la comunicazione intercorsa tra utente e sito web, e quindi di proteggere la stessa.

Mentre la prima conseguenza risulta sempre utile garantendo che il sito che sto navigando sia legittimo, la protezione della comunicazione non è sempre necessaria in quanto un sito web in cui la condivisione di dati sensibili non è presente (ad esempio una semplice pagina senza form di contatto o di login), non ha teoricamente nulla da crittografare.

Ma tanto chi se ne accorge che il mio sito non è sicuro?

Proprio per dare una decisiva accelerata alla sua campagna, ecco che il colosso di Mountain View nel 2016 lancia, attraverso un post nel suo Security Blog dal titolo: Verso una rete più sicura, la trave nell’occhio di molte realtà del Web che fino ad ora avevano navigato a vista sull’argomento.

Dalla versione di Chrome numero 56 (uscita a Gennaio 2017), verrà inserita la didascalia: “Not secure” a lato della icona informativa nella barra del browser più usato al mondo.

Anche se con la necessaria precisazione che questo varrà per i siti web non HTTPS che raccolgono password o numeri di carte di credito, viene comunque ricordato che si tratta solo della prima onda di un piano a lungo termine che porterà a marcare tutti i siti HTTP come non sicuri.

La “minaccia” non finisce qui, in quanto viene anche spiegato che nel futuro a questa indicazione potrebbe aggiungersi un ben poco rassicurante triangolo rosso, attualmente usato per indicare i siti HTTPS con certificati scaduti (i certificati infatti, hanno una scadenza e un’applicabilità che varia in base all’ente certificatore e/o all’opzione acquistata).

Boom.

 

Faresti acquisti o in generale ti fideresti di un sito web e-commerce in cui campeggia un bel segnale di pericolo?

Oppure alzeresti i tacchi aumentando il Bounce Rate del sito?

 

Il mio sito non raccoglie dati sensibili ne dati di pagamento. Fiuuu…sono “salvo”.

Ni. Infatti, in aggiunta a quanto sopra, dal lancio della sua campagna Google ha dichiarato che la presenza di una versione HTTPS del sito web è stata, è e soprattutto sarà un fattore di ranking.

La sua rilevanza non è paragonabile alla produzione di contenuti di qualità, come qualsiasi esperto SEO può farci notare, eppure in questo ambiente dove ogni singolo mattoncino può influenzare la nostra presenza sul web è meglio anticipare le mosse piuttosto che rimanere scottati.

L’obbligatorietà di provvedervi ovviamente non c’è, il web è una “splendida realtà” virtuale anche perché lascia piena libertà a chi lo occupa di comportarsi come meglio crede.

“Mother” Google si è però esposta chiaramente, auspicando al termine dell’articolo:

We hope to see more websites using HTTPS in the future. Let’s all make the web more secure!

Tutti, a cominciare dal tuo sito.

Un fattore di posizionamento così generico non rende nemmeno necessaria una analisi completa, ma puoi semplicemente pensare di provvedervi solo perché big G lo suggerisce.

5 su 9 per i Foo Fighters. Ed il sito ufficiale NON HTTPS risulta in posizione inferiore rispetto ad uno secondario in HTTPS.

La migrazione sta arrivando.

Se vuoi provvedervi in autonomia, sono a disposizione le indicazioni da seguire per far indicizzare i propri URL in HTTPS ma presta attenzione, in caso di errate configurazioni il posizionamento ed il traffico del tuo sito web potrebbero risentirne.

Se invece vuoi rendere il tuo eCommerce B2B o B2C più sicuro, vuoi acquistare un certificato ed attivare la versione HTTPS del tuo sito, ma non sai dove sbattere la testa, non esitare a contattarci per chiederci un aiuto.

Condividi il post