Hosting HTTPS: tutto quello che devi sapere

Argomenti:
Pubblicato il: 18-06-2021 11:00 , Ultimo aggiornamento: 18-06-2021 10:57

Da fenomeno tecnologico opzionale quanto incidentale, usato solo da alcuni siti, bistrattato da alcuni e usato in modo fuorviante da parte della community SEO, l’esplosione del fenomeno HTTPS sul web è ormai definitiva. E per quanto i siti web si posizionino lo stesso anche in HTTP, a volte, tutti parlano di questa tecnologia, dai vari siti e riviste del settore ai forum ed ai gruppi Facebook.

HTTPS, piaccia o meno, sembra destinato a consolidarsi come uno dei principali standard del web, e prevedibilmente potrebbe rimpiazzare completamente HTTP già nei prossimi mesi.

Cerchiamo di capire a questo punto se il servizio di hosting di cui faremo uso debba usare HTTPS, e in che termini debba farlo.

Che cos’è HTTPS?

HTTPS è il protocollo in versione criptata e sicura di HTTP, lo standard usato dal web per inviare e ricevere dati sulle pagine web e su alcuni servizi web ed app per vari dispositivi; funziona più velocemente se abilitato su HTTP/2, e garantisce sicurezza alla comunicazione client-server tramite un certificato ed una idonea crittografia. In tal modo può trasmettere e ricevere dati senza rischi e con la certezza che siano inviati al vero destinatario.

Di fatto, HTTPS viene offerto gratuitamente dalla quasi totalità di servizi di hosting web, sia economici sia di media o alta fascia, tipicamente come certificato gratuito Let’s Encrypt.

Cos’è un certificato?

La necessità di acquisire un certificato SSL emerge da due considerazioni fondamentali: la prima è legata al fatto di voler garantire l’identità del proprio sito web, la seconda è legata al voler ridurre il numero di possibili intercettazioni dei dati riservati che transitano sul proprio sito.

Che vantaggi fornisce HTTPS?

Senza scendere in complessi dettagli tecnologici, abbiamo che:

  1. i siti in HTTPS sono più sicuri per gli utenti, per i proprietari e per i clienti del sito stesso;
  2. HTTPS fornisce una protezione contro l’intercettazione dei dati inseriti nei form, nei pagamenti online e nelle transazioni riservate;
  3. HTTPS può anche fare in modo di garantire l’identità del sito che stiamo visitando, in modo da essere certi che stiamo comunicando con una certa azienda e non con un sito di phishing;
  4. se scritti adeguatamente lato frontend, possono sfruttare tecnologie come HTTP/2 e sono quindi più veloci a caricare
  5. in generale l’uso di HTTPS è considerato un fattore di posizionamento su Google abbastanza importante (per quanto, almeno apparentemente, non decisivo e non l’unico da prendere in considerazione)

A che serve HTTPS?

Il suo scopo è quello di aumentare il livello di sicurezza delle pagine web, e dare una maggiore garanzia (per quando indiretta e da verificare, in certi casi) dell’affidabilità di un sito web. Un sito che ne fa uso è decisamente più sicuro di uno che non lo fa: HTTPS ci mette al sicuro da possibilità di intercettazioni quando ad esempio digitiamo username e password di un sito, ma in generale serve ad evitare la possibilità che la pagina web a cui accediamo venga manipolata o sostituita con una di phishing, ad esempio. Google stessa, in termini SEO, tende a vederla come una discriminante per la sicurezza del sito web, ed è ovvio che questo è particolarmente importante nel caso in cui abbiate un sito di e-commerce – tipologia di siti per cui i certificati SSL dovrebbero, di fatto, essere comunque obbligatori. Ad ogni connessione HTTPS si accompagna un certificato che serve, appunto, a dare autenticità al sito a diversi livelli e con diverse “gradazioni”.

Hosting che forniscono HTTPS gratis (e non solo)

HTTPS si può avere (a volte) gratis. La prima cosa da sapere, per chi volesse resettare la propria conoscenza in merito e ripartire da zero, è che si può attivare HTTPS sul proprio sito senza costi aggiuntivi, il che sarà probabilmente uno dei modi più diffusi per configurare un certificato SSL come suggerito, del resto, da tempo da Google stessa. Se già utilizzate un servizio di hosting, in sostanza, come prima cosa se volete passare ad SSL / HTTPS – conviene chiedere direttamente a loro se dispongano della possibilità di fornire certificati ai propri clienti. C’è la possibilità che vi offrano un certificato SSL gratis, ma questo non è sempre vero e comunque dovreste prepararvi ad affrontare la spesa, in prospettiva, che può andare (a seconda dei casi e delle offerte) dalle 100 alle 300 euro in più all’anno. Ricordatevi, comunque, che non tutti i certificati sono uguali (i più costosi sono quelli che “si presentano meglio” ai visitatori) e che SSL è la tecnologia che fa muovere HTTPS, anche se i due termini SSL / HTTPS vengono spesso usati (impropriamente) come se volessero dire la stessa cosa.

I siti in generale ed i blog possono utilizzare Let’s Encrypt senza troppe esitazioni; i siti autorevoli e di grosse aziende dovrebbero, inoltre, fare uso di HTTPS a livello di certificati più costosi, al fine di garantire come specificato all’inizio sia autorevolezza e garanzia di autenticità che sicurezza nella connessione.

Quando e perchè usare SSL

Da un punto di vista prettamente tecnico HTTPS sarebbe necessario solo sulle pagine in cui transitano dati riservati (ad esempio, le pagine di pagamento) ed è tuttora aperta la discussione sul fatto che debba essere utilizzato per i siti in WordPress in “sola lettura”, come spiegato per esteso in questo articolo che ho pubblicato giorni fa.

In linea di massima il problema si riconduce alla scarsa perizia con cui la maggiorparte delle persone sta attivando HTTPS, mettendo potenzialmente a rischio il proprio sito o pensandoci esclusivamente in termini di “vantaggi SEO” (salvo poi ritrovarsi con un certificato mal configurato). Da qualche tempo poi si aggiunge un dato importante: è un dato di fatto che Google Chrome stia notificando ai visitatori quando un sito non disponga di HTTPS e certificato, come potrete notare anche su questo stesso sito. La notifica è “neutra”, in realtà, cioè viene vista come una mancanza che non compromette la navigabilità o l’utilizzo del sito web, ma è comunque una notifica che denota una certa trascuratezza (per non dire peggio)  del sito in questione.

Cosa bisogna fare tecnicamente per HTTPS

Il passaggio da HTTP ad HTTPS non è indolore (spiace dirlo, ma è così) e, anzi, richiede più di una competenza tecnica da mettere in gioco: in un sito web medio che utilizza già di suo redirect 301/302, ad esempio, sarà necessario prevedere un ulteriore redirect da HTTP a HTTPS: se non lo facciamo, le pagine non saranno più reperibili, potrebbero dare errori lato server, non essere visibili sui browser e così via.

In genere comunque ci sono ottimi plugin per utilizzarlo in modo indolore su WordPress e Joomla! (ad esempio l’ottimo Really Simple SSL), ma è necessario comunque che a monte ne sia stato attivato uno dal vostro hosting (o che comunque ne supporti uno).

Passaggio da HTTP ad HTTPS: esempio pratico

Un possibile scenario, abbastanza semplice, potrebbe quindi essere il seguente:

http://miosito.it/pagina.html —-> https://miosito.it/pagina.html

per tutte le pagine del nostro sito, ma anche cose ancora più complesse quali, ad esempio, un multi-redirect: il primo da una pagina obsoleta ad una aggiornata, il secondo da quella aggiornata a quella con protocollo HTTPS!

http://miosito.it/pagina.html —redirect 301—> http://miosito.it/pagina_aggiornata.html —> https://miosito.it/pagina_aggiornata.html

Una delle tecniche più utilizzate nel passaggio indolore da HTTP ad HTTPS per tutte o parte delle nostre pagine web, dunque, sarà quella di effettuare un redirect da HTTP a HTTPS per garantire la reperibilità del proprio sito per Google e per i visitatori che non sanno che siamo passati in SSL. In questo articolo (Come effettuare un redirect da HTTP a HTTPS), per la cronaca, ho spiegato in modo piuttosto semplice ed accessibile a tutti come fare.

Accortezze nel passaggio ad HTTPS

Attenzione, quindi, a valutare bene caso per caso. Lo stesso vale nel caso in cui si configuri male un certificato SSL, oppure si utilizzi un certificato scaduto o non riconosciuto come autorevole dai browser (ad esempio un certificato auto-firmato spesso usato in fase di sviluppo): la pagina di errore o warning è in agguato, e potrebbe (almeno in teoria) ridurre l’impatto dei visitatori sulle proprie pagine.

Bisogna documentarsi un po’, in sostanza, prima di decidere a passare ad HTTPS, a meno che non abbiate un tecnico già preparato sull’argomento a vostra disposizione; è anche necessario valutare bene che tipo di certificato usare, in base al sito ed alla tipologia dello stesso. Sono da sempre promotore di un uso consapevole delle tecnologie, e c’è il forte rischio, in questo caso, che la maggiorparte di noi finisca per passare ad SSL per lo scopo o con modi sbagliati.

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919

Un caso particolare di cattivo utilizzo di HTTPS è legato al cosiddetto mixed content, che è un improprio mix di HTTP e HTTPS spesso dovuto alla cattiva configurazione di plugin, a theme obsoleti e via dicendo. Se il sito è in HTTPS deve essere interamente in HTTPS, per ogni pagina, script, immagine ed inclusione di frame, altrimenti sarà inutile aver fatto il passaggio ed il lucchetto dei browser non sarà comunque verde. Bisogna fare comunque molta attenzione a come si configura, ed è opportuno farsi aiutare da un esperto a farlo, se non vi si riesce.

Se hai ulteriori curiosità da soddisfare su SSL / HTTPS, ho preparato una FAQ molto nutrita con molte delle risposte alle domande più frequenti.

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Hosting HTTPS: tutto quello che devi sapere di Salvatore Capolupo su Trovalost.it
Hosting HTTPS: tutto quello che devi sapere (Guide, Configurazione Hosting)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost