Come passare da Http a HTTPS – La guida definitiva

passare da http a https
passare da http a https

Muoversi in direzione di un Web più sicuro è un’iniziativa di Google ben nota.

Di tanto in tanto, Google trova un nuovo modo per incoraggiare i proprietari di siti Web ad mettere in sicurezza i propri siti:

Dichiarando HTTPS un fattore di posizionamento.

Iniziando ad indicizzare per prime prima le pagine in HTTPS.
Mostrando come spostarsi su HTTPS non sia mai stato così economico e facile .
Contrassegnando tutti i siti HTTP che trasportano dati sensibili come “non sicuri” in Chrome(i siti ecommerce ne sono fortemente penalizzati).

Mentre Google ti dà una spinta e cerca di essere il più utile possibile(almeno in questo caso), molte cose possono andare storte quando si passa un sito da HTTP a HTTPS. Sottovalutare questa sfida può portare a un disastro.

È necessario pianificare ogni passo e testare accuratamente tutto per non rischiare un atterraggio tutt’altro che morbido.

Questo post ti insegnerà le migliori pratiche e le insidie più comuni che devi conoscere per una migrazione su HTTPS senza stress.

Che cos’è HTTPS?

HTTPS è un protocollo che viene utilizzato per la comunicazione tramite HTTP (Hypertext Transfer Protocol) con una “S” alla fine che significa “Sicuro”. Adottando HTTPS, fornisci ai tuoi utenti tre livelli di protezione fondamentali:

L’autenticazione evita attacchi “man-in-the-middle” e fornisce una garanzia che si sta comunicando agli utenti che il sito Web è esattamente quello che avevano intenzione di utilizzare.

La crittografia garantisce la privacy crittografando i dati scambiati.

Ciò garantisce che lo scambio informazioni non venga intercettato e che le informazioni non vengano rubate.

Il Data Integrity impedisce che i dati vengano modificati o danneggiati in modo inavvertito durante il trasferimento.

Per maggiori info sui certificati SSL clicca sul link nostro articolo, cos’è e a cosa serve un certificato ssl

Leggi anche il nostro articolo: Cos’è il protocollo Https

Perché migrare a HTTPS?

Oltre alla sicurezza come priorità chiave, ci sono molte altre cose da considerare:

Una navigazione privata e sicura, questo pretendono gli utenti che visitao il tuo sito, e la fiducia degli utenti è una risorsa veramente preziosa per un’azienda.

Alcuni aggiornamenti straordinari come HTTP/2 (da cui puoi davvero trarre vantaggi importanti in termini di velocità) sono supportati solo su HTTPS in alcuni browser.

Il miglioramento del posizionamento può essere un buon incentivo, dato che Google suggerisce di rafforzare il segnale HTTPS sempre di più.

Ora spero non ci siano più dubbi sul perchè è importante la pianificazione di un passaggio ad HTTPS.
È necessario un piano ben congegnato per rendere indolore la migrazione di HTTP.

Prima di eseguire la migrazione a HTTPS

https://youtu.be/_p-LNLv49Ug

Esegui una scansione  del sito Web e crea un piano.
Le condizioni iniziali possono variare: potresti avere un sito Web appena fatto, di 5 pagine creato con un CMS o un enorme sito Web con oltre 10 anni di modifiche alle spalle e diverse unità indipendenti da migrare (per il nostro team, è stato così).

In entrambi i casi, il primo passo da compiere è quello di sottoporre ad un analisi il tuo sito web in modo completo.

Questo ti aiuterà a valutare e lo stato attuale del sito e a visualizzare la sua struttura a pieno.

Mentre lo fai, prendi in considerazione tutte le tecnologie o i CMS alla base di ogni area del tuo sito web e fai un elenco di tutte le unità che devono essere approcciate separatamente in questa migrazione.

Quindi, fai un elenco di tutte le cose che potrebbero interferire con la migrazione (possono essere gateway di pagamento, file da scaricare, script esterni, API e altri). Prima ancora di iniziare, devi identificare le parti più vulnerabili da controllare, ed è anche la prima cosa da fare dopo la migrazione.Controllo delle classifiche

Mentre Google elabora le modifiche, inevitabilmente avrai delle turbolenze sul posizionamento.

Non c’è cura per questo, ma niente di cui preoccuparsi, perché le cose dovrebbero tornare alla normalità, a breve, se tutto è fatto bene.

Tuttavia, per essere in grado di verificare attentamente l’impatto e assicurarsi che sia solo una fluttuazione a breve termine, è necessario avere una certa storia pre-migrazione a portata di mano.

Durante la pianificazione di un passaggio, assicurati di controllare le classifiche quotidianamente per circa una settimana per ottenere l’immagine completa di dove normalmente si trova il tuo sito web.

Per evitare di dover cercare su Google “perché non compaio più su Google”, puoi fare ancora una cosa : controlla tutte le parole chiave per le quali il tuo sito web classifica e raggruppa le pagine che sono posizionate in base alle aree del sito Web a cui appartengono.

Questo ti aiuterà a rintracciare velocemente le ragioni, in caso di un significativo declino delle classifiche con un colpo d’occhio.

Scelta della giusta maniera di agire

Una volta che hai una chiara analisi del tuo sito web di fronte e un piano principale, puoi passare alla scelta della giusta opzione di implementazione del passaggio a Https.

  • Se sei un coraggioso, puoi modificare direttamente l’ambiente di produzione. In questo modo tutti i le modifiche saranno subito disponibili per gli utenti in una solo colpo, ma anche tutti gli errori trascurati incideranno sul sito web fin da subito.
  • Una mossa più accorta è quella di fare le modifiche prima su un ambiente di test e quindi, una volta superato il test, andare sul sito Web di produzione.
  • L’opzione più costosa e dispendiosa in termini di tempo è la creazione di un ambiente di test, verificare che le modifiche funzionino correttamente e poi spostare tutto in produzione.

Puoi scegliere una delle opzioni a seconda della complessità e altre specifiche del tuo sito, ma di certo non ti pentirai di avere scelto la seconda opzione se i potenziali bug che potrebbero venir fuori non si contano sulle dita di una mano.

L’opzione più costosa in termini di tempo è la creazione di un ambiente di Test per verificare le modifiche sul sito Web, prima di portarle sul sito Web di produzione.

Puoi scegliere una qualsiasi delle opzioni a seconda della complessità e altre specifiche del tuo sito, ma probabilmente non ti pentirai di scegliere quest’ultimo se i potenziali bug che potrebbero apparire non possono essere contati sulle dita di una mano.

Ottenere un certificato HTTPS

Per abilitare HTTPS per il tuo sito web devi ottenere e configurare i certificati SSL / TLS richiesti sul tuo server.

Inizia con la scelta di un fornitore di certificati attendibile (idealmente, quello che offre supporto tecnico). Quindi, assicurati di scegliere il giusto livello di sicurezza: Google consiglia di prendere un certificato con una chiave a 2048 bit o di aggiornarlo, nel caso in cui ne possiedi uno con una chiave a 1024 bit, più debole al momento.

A seconda della complessità del tuo sito Web, decidere tra un singolo certificato (per un singolo dominio), più domini (diversi sottodomini) o un certificato jolly (molti sottodomini dinamici). Una volta ottenuto il certificato, attivalo correttamente e configuralo seguendo le migliori pratiche.

Considerazioni SEO e pratiche pre installazione

Una volta che il certificato è stato installato, configurato e testato (e sicuramente sta funzionando bene), è tempo di impostare i reindirizzamenti 301 lato server alla versione HTTPS del tuo sito web per impedire a chiunque (un utente o un bot del motore di ricerca) di atterrare su una pagina HTTP da ora in poi.

Una volta completata la migrazione, nessuna delle pagine o risorse dovrebbe essere disponibile in entrambe le versioni(Http e Https), questo potrebbe causare problemi di contenuto duplicato e, inviare segnali confusi ai motori di ricerca.

Dopo l’implementazione dei reindirizzamenti, viene visualizzato un elenco di elementi da controllare e correggere rispettivamente.

Prevenzione dei problemi di scansione e indicizzazione

Vuoi che Google sappia che stai eseguendo la migrazione a HTTP. Quindi dopo dovresti:

Rivedi il tuo file robots.txt e assicurati di non aver limitato le tue pagine HTTPS.
Controlla le pagine HTTPS per qualsiasi tag noindex non modificato.
Una volta che tutto sembra essere in ordine, ricontrollalo.

A questo punto, dovresti eseguire una scansione del tuo sito Web con qualsiasi strumento di controllo che simuli la scansione di Googlebot e dare un’occhiata al tuo sito come se fossi Google.

Liberati dalle inutili catene di reindirizzamento

Il tuo sito web probabilmente ha già un sacco di reindirizzamenti; durante questa migrazione e l’applicazione di HTTPS, alcuni di questi potrebbero non essere più necessari.

Se hai una pagina di tipo www, reindirizzata a una di tipo non www e ora, in aggiunta, a https non-www, puoi eliminare un link della catena per migliorare la velocità.

Tempi di caricamento lenti a causa di reindirizzamenti eccessivi possono far sì che gli utenti abbandonino il tuo sito e danneggiano le tue classifiche di ricerca, quindi non trascurare quel passaggio.

Dato che ci sei, puoi anche verificare se tutti i reindirizzamenti portano alle pagine giuste.

Canonical, Alternate, Hreflang

I tag fuorvianti sono una fonte di maggiore confusione per Google.

Pertanto, devi prestare particolare attenzione ai tag sulle tue pagine e assicurarti che nessuno faccia più riferimento a HTTP.

Dopo la migrazione, tutti i tag rel = canonical devono puntare agli URL HTTPS appropriati. Se il tuo sito web utilizza tag rel = alternate o hreflang, tutti questi devono essere presi in considerazione prima di andare online.

Risolvere i problemi relativi ai contenuti misti

Ormai hai obbligato le pagine a caricare su HTTPS.

Tuttavia, supponiamo che un utente stia visitando una pagina HTTPS che presenta un’immagine, uno script o qualsiasi altro tipo di contenuto che viene recuperato tramite HTTP.

Inizialmente, si supponeva che la pagina fosse sicura, ma qualsiasi risorsa non crittografata presente su di essa serve da porta aperta per gli sniffer e gli attacchi di tipo man-in-the-middle.

Questo è ciò che intendiamo per contenuto misto. Oltre a causare un avviso poco attraente in un browser, può effettivamente rendere la protezione inutile.

Comunemente, il contenuto misto viene diviso in passivo e attivo, a seconda dell’impatto dello scenario peggiore possibile(traduzione italianizzata di Worst case scenario che intende la peggiore delle ipotesi che si possono verificare).

In poche parole, un’immagine o un video (passivi) possono essere saltati o semplicemente caricati come collegamenti rotti; un collegamento, uno script o altri tipi di contenuti misti attivi possono consentire a un utente malintenzionato di intercettare la richiesta e riscrivere un contenuto o sottrarre dati sensibili agli utenti.

Per mettersi al riparo, è necessario rivedere tutti i collegamenti interni e tutte le risorse su cui si basa il proprio sito Web e assicurarsi che stiano facendo riferimento solo a HTTPS. Ciascuna delle seguenti risorse deve avere un URL HTTPS assoluto o un percorso relativo:

  • Immagini, video o audio interni
  • Caratteri Web
  • iframe
  • File JS e CSS interni all’interno del codice HTML
  • Immagini, caratteri e qualsiasi altro URL interno all’interno dei file JS e CSS
  • Open Graph
  • Qualsiasi riferimento URL assoluto nei Dati strutturati utilizzati nel sito Web (nonché riferimenti Schema.org)
  • Qualsiasi altro collegamento interno

La risoluzione di contenuti misti su tutto il sito Web può richiedere molto lavoro. Tuttavia, è fondamentale armarsi di pazienza e non trascurare nessuna piccola cosa, poiché non devi assolutamente finire in una di quelle situazioni in cui l’operazione è stata un successo ma il paziente è morto.

Contatori di social media

Su alcune delle tue pagine, probabilmente hai implementato i pulsanti di condivisione social.

Nelle pagine in https funzioneranno bene, ma se vuoi conservare la prova social che le tue pagine si sono guadagnate nel loro passato HTTP, devi fare alcune cose.

Quello che dovresti tenere a mente è che dopo la migrazione alcuni contatori si rivelano totalmente compatibili con HTTPS mentre altri potrebbero azzerarsi. Questo potrebbe costringerti a cercare un elegante trucco o ad abbandonare del tutto i vecchi numeri.

Preparati e Attenti

Metti alla prova tutto di nuovo. Scorri nuovamente il sito Web con tutte le pagine, le risorse e collegamenti e assicurati che nulla sia stato danneggiato. Cerca eventuali pagine o risorse che potrebbero essersi rotte accidentalmente o che si caricano ancora su HTTP, per eventuali reindirizzamenti errati che portano a URL HTTP o solo pagine improprie.

Infine, scegli saggiamente il momento per fare uscire le modifiche.

Non vuoi farlo nel primo giorno della tuo momento di maggiori vendite annuali o un venerdì sera. Una volta che il tuo nuovo sito sarà pubblicato, devi essere pronto a reagire immediatamente a qualsiasi errore possa comparire.

Best practice post distribuzione

Congratulazioni, il tuo nuovo sito HTTPS è stato attivato! Ha un bel lucchetto verde brillante! Ora è il momento di consultare una lista di garanzia della qualità di base:

Scansiona nuovamente il sito Web e assicurati che tutte le pagine e le risorse restituiscano il Codice di stato 200 e siano pubblicate su HTTPS.

Torna alla lista di controllo delle vulnerabilità creata durante la pianificazione iniziale. Provali tutti con rigidità teutonica.

Fai sapere a Google che ti sei trasferito

Google visualizza una migrazione HTTPS come spostamento del sito con una modifica dell’URL.

Quindi ora devi aggiungere la nuova proprietà HTTPS alla tua Search Console di Google. HTTP e HTTPS sono trattati separatamente e non condividono i dati.

Quindi, genera una nuova sitemap con gli URL HTTPS e inviala a Google.

Infine, trasferisci le altre impostazioni nella nuova proprietà, ad esempio l’elenco dei parametri URL e rinnova il file.

 

 

Leggi la Guida Search Console per Principianti

 

In Fine

Se segui questa guida, sarai in grado di vistare tutti questi compiti cruciali come “ESEGUITI”, evitando le insidie più comuni.

Prima di passare al brindisi, lascia che le cose si sistemino un pò. Continua i test.

Fai attenzione agli errori e risolvili istantaneamente.

Monitora attentamente le modifiche per esser certo che il processo di indicizzazione stia andando bene e che il traffico /  posizioni tornino alla normalità.

Non devi aspettarti alcun aumento del posizionamento, percettibile, a causa del passaggio; tuttavia, se fai una migrazione indolore non fai danno alle classifiche e non hai un drastico calo del traffico, sei già un campione.

Quindi, buona fortuna, e che la curva del traffico sia sempre stabile!