Google penalizza i siti non sicuri (senza HTTPS)?

Google penalizza i siti non sicuri (senza HTTPS)?

Si legge da più parti, e sia autorevoli hosting che blog di settore che forumisti vari, sostengono che l’installazione di HTTPS sostanzialmente obbligatoria imposto da Chrome di Google corrisponda ad una “penalizzazione”, da parte di Google, per chi non si vorrà adeguare. La notizia si sta diffondendo in maniera, secondo me, un po’ esagerata e alquanto grossolana, e contiene vari aspetti non sempre esatti che è opportuno comprendere e cercare di far capire a tutti.

Prima di tutto, la notizia: come abbiamo scritto Google Chrome sta imponendo di fatto ai siti web – apparentemente solo a quelli che prevedono l’inserimento di dati sensibili come password, numero della carta di credito e così via – di usare HTTPS per un web più sicuro e via dicendo. Non c’è dubbio che l’affermazione di fondo sia corretta, anzi direi quasi sacrosanta: la mia impressione, pero’, è che si stia cercando di cavalcare l’onda per cercare di vendere certificati SSL in massa, cosa dettata ovviamente dal mercato (e ci sta pure, nessuno lo vuole demonizzare) ma che rischia di far passare idee sbagliate su questa tecnologia.

Quando si parla di “penalizzazioni da Google per chi usa HTTPS“, ad esempio, si sta facendo un errore (credo, e spero, in buonafede): le penalizzazioni algoritmiche (Panda, Penguin, ecc.) o manuali (notificate nella Search Console: sito compromesso ecc.) sono una cosa differente, e non rientrano ad oggi – secondo le informazioni di cui disponiamo – nelle medesime casistiche. Semplicemente, se un sito non possiede HTTP viene giustamente – e forse indiscriminatamente – etichettato come insicuro: se ci saranno vantaggi in termini di posizionamento su Google è difficile o impossibile dirlo. Mi pare altamente improbabile, in altri termini, che tutti i siti sprovvisti di HTTPS vengano penalizzati (cioè declassati come posizionamento su Google) solo perchè non hanno ancora un certificato: tanto più che, ad esempio, nel momento in cui si parlò per le prime volte di questi argomenti, in pochissimi notarono che la percentuale di query di ricerca affette era inferiore all’1% delle totali (ne parlavo qui). Quindi, seguendo questa idea balzana, significherebbe penalizzare il 99% dei siti mondiali, o comunque una percentuale molto vicina a quel valore: una cosa davvero poco probabile, una strage che credo, e spero, non avvenga mai, e rimanga come una sorta di teorica apocalisse, strumentalizzata o minacciata, a chi osi essere “miscredente” in fatto di HTTPS.

In pratica, sta succedendo quello che avevo pronosticato senza troppi calcoli di sorta qualche tempo fa: prima di tutto, i reali benefici sugli utenti rimarranno un effetto incidentale (per cui altro che sicurezza aumentata), perchè tantissimi si installeranno HTTPS usandolo male o, peggio ancora, installandolo peggio (ad esempio equiparando i certificati da 300 euro all’anno con quelli gratuiti: non è la stessa cosa, in termini di sicurezza reale). In secondo luogo, si diffonderà un’idea di siti sicuri in HTTPS che molti truffatori sfrutteranno alla grande: secondo voi quanto impiegherà ad uscire fuori il primo caso di phishing in HTTPS? Secondo me ci vorrà davvero poco, per quanto il suo uso riesca a limitare casi di truffe online davvero molto subdole, come quella che sta rubando le credenziali di Google.

HTTPS non è un protocollo banale e va usato in modo consapevole, evitando la strada intrapresa quando si è riusciti a banalizzare, e rendere a prova di utente comune, ad esempio, mod_pagespeed: anche lì gli equivoci si sono persi nel tempo, e ad oggi nella percezione di troppi utenti quel modulo è rimasto come poco più di un trucchetto SEO, e molti di noi hanno dovuto elemosinarne il pagamento proprio perchè ritenuto una mezza stupidaggine. La mia paura, come avrete intuito, è che con HTTPS stia succedendo esattamente la stessa cosa.

Sia chiaro: non voglio affermare che non installerò mai, a prescindere, HTTPS per WordPress, mi pare solo il momento di fermarsi un attimo e riflettere sulle priorità.

  1. Se credete che HTTPS vi preservi da furti di informazioni per voi e per i vostri visitatori, è corretto pensarlo: ma ricordate che si tratta pur sempre di una tecnologia, e come tale con dei limiti, e che anch’essa – soprattutto – possiede delle potenziali falle di sicurezza, in parte risolte, in parte no (Heartbleed, FREAK e Poodle, ad esempio). GoDaddy, per dirne un’altra, ha di recente dovuto ritirare circa 9000 certificati SSL affetti da un bug di sicurezza (ed ha reponsabilmente fatto presente la situazioni con un post pubblico, cosa che secondo me non tutti i servizi, in casi del genere, saranno disposti a fare di buon grado).
  2. Se usate HTTPS come fattore di ranking, quasi certamente – direi – dovreste concentrarvi su priorità ben più importanti: HTTPS non è un “trucchetto da SEO” come quelli tanto diffusi negli anni ’90, ed è un peccato che sia declassato in questi termini.
  3. In terzo luogo, per usare HTTPS in modo corretto dovrete capire come funziona SSL, e quasi certamente affidarvi ad un esperto informatico per installarlo in modo consapevole. Diversamente, rischiate di trovarvi con una problematica che secondo me sarà tra le più diffuse dell’anno: sito indicizzato su Google in HTTP in chiaro, e nuova versione delle stesse pagine duplicate in HTTPS. Con tutti i problemi di perdita di posizionamento, cali del CTR ed annessi. Questo forse è il mio timore più concreto, e proprio di questo si parlava con grande interesse durante un evento SEO recente a cui ho partecipato.
  4. Mi sembra ovvio che HTTPS sia diventato un fattore competitivo per le aziende, e per quanto la cosa – messa in questi termini – non mi piaccia granchè ne prendo atto, e mi regolerò di conseguenza anche per il futuro. Installatelo pure, soprattutto sui siti di e-commerce e se non utilizzate gateway di pagamento proprietari. Nel frattempo, pero’, chiedo che ci sia un livello di informazione un po’ più puntuale, ed invito i colleghi (e so che sono in tanti) scettici come me a fare lo stesso sui propri blog. Perchè si parli in modo corretto del problema, e si sappiano trovare le giuste soluzioni allo stesso. Ovviamente nessuno, e lo ribadisco per evitare i titoloni ad effetti che magari leggeremo in giro, che io “ce l’ho con HTTPS” ed amenità simili.

Facciamo attenzione a queste cose, perchè intravedo un futuro del web assai poco roseo, in cui l’uso forzoso ed inconsapevole delle tecnologie (HTTPS, mod_pagespeed, WordPress) – unito al quel tocco di sano burocratese, vedi legge sui cookie – stiano portando un mondo molto ampio, variegato e certamente utile, ma anche piuttosto appiattito.

La mia speranza è che gli hosting che offrono questi servizi trovino un modo davvero indolore, e libero da mentalità di marketing troppo spinto, per proporlo agli utenti.

Photo by Gunnar Ries zwo

Tophost
Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Google penalizza i siti non sicuri (senza HTTPS)?

Si legge da più parti, e sia autorevoli hosting che …
Votato 8 / 10, campione di 1 utenti

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.