HTTPS è sempre più popolare online (la copertura a livello globale è prossima al 50%) e nel post di oggi vedremo perchè, nel caso in cui si voglia pubblicare un sito online, è opportuno considerarne l’utilizzo.
La campagna a favore di HTTPS, ricorderanno alcuni, fu lanciata circa 3 anni fa da Google che lo introdusse direttamente tra i fattori di ranking – causando non poca confusione sul Web. L’impatto che ebbe l’iniziativa di Mountain View fu però contenuto, sarebbero dovuti passare altri 12 mesi per notare un significativo aumento dei portali HTTPS mostrati nella SERP del motore di ricerca (agosto 2015, in concomitanza con il passaggio di Wikipedia al nuovo protocollo).
A confermare il crescente successo di HTTPS anche il browser open source Firefox che tra gennaio 2016 e Agosto 2017 è passato dal 40% al 60% di pagine caricate via HTTPS – come mostra la seguente tabella pubblicata da Let’s Encrypt.
Svantaggi per chi non utilizza HTTPS
Va premesso che chi gestisce un semplice blog o un piccolo sito non è obbligato a passare ad HTTPS. La possibilità di usufruire gratuitamente delle maggiori garanzie offerte dal protocollo criptato (ad esempio grazie ai certificati Let’s Encrypt che sono stati implementati anche in tutti i nuovi piani hosting di Hosting Solutions) non va trascurata. Chi si trova invece a gestire siti ecommerce o portali in cui il flusso di informazioni sensibili è elevato (date di nascita, indirizzi etc.) dovrebbe avviare quanto prima la procedura di migrazione.
Quali sono gli svantaggi per coloro che decidono di non adottare HTTPS? Ne parliamo qui di seguito iniziando da:
- peggiore posizionamento nei motori di ricerca. Il “famigerato” post di Google “HTTPS as a ranking signal” del 6 agosto 2014 serve a ricordare proprio questo. Nella SERP un vecchio “articolo HTTP” sarà sicuramente preceduto da un contenuto ospitato su una connessione sicura.
- Avvisi di sicurezza dei browser. Dalla versione 51 di Firefox, tutte le pagine che richiedono l’inserimento di username/password ma non si affidano ad HTTPS sono adeguatamente segnalate ai visitatori con un lucchetto grigio barrato
Nei prossimi mesi è prevista l’implementazione di altri avvisi, come il seguente “popup”, in corrispondenza di form da compilare:
Per quanto riguarda Chrome, l’appuntamento con gli avvisi di sicurezza è ad ottobre 2017 quando sarà mostrata la dicitura “Not Secure” nelle pagine HTTP in cui sono presenti form da compilare:
Ed in futuro la notifica potrebbe comparire per qualsiasi pagina HTTP:
- Esporre allo sguardo indiscreto di ISP o terze parti dati ed abitudini degli utenti. L’assenza di connessioni cifrate consente ad internet service provider o altri “osservatori” di studiare le “abitudini” dei visitatori e/o carpire varie informazioni: quali pagine sono visitate, quali parole chiave sono ricercate maggiormente, quali credenziali sono state inserite per accedere ad un determinato sito etc.
Conclusioni
In base a quanto abbiamo appena visto, continuare ad ignorare HTTPS potrebbe rivelarsi controproducente per molti siti.
Come già detto in apertura, il passaggio ad HTTPS non è obbligatorio ma le crescenti “pressioni” dei browser (avvisi di sicurezza e notifiche varie), insieme alle opportunità offerte da importanti iniziative come quella di Let’s Encrypt, spingeranno anche i portali meno a rischio (classico blog) ad abbandonare il vecchio protocollo HTTP.