Confermato: i siti senza HTTPS sono notificati nella Search Console

Da quest’anno c’è aria di grosse novità in casa Google: la campagna pro-HTTPS da utilizzare su tutti i siti, almeno a lungo termine, sta iniziando a mostrare risultati concreti. Ho già esplicitato altrove (HTTPS è una buona cosa per WordPress?) il mio scetticismo di fondo legato a questa iniziativa: questo non tanto per l’utilità tecnologica in sè (che non si discute: HTTPS è uno standard di sicurezza molto elevato ed utile) quanto per l’uso che tenderanno a farne la maggiorparte delle persone (soprattutto quelle che si baseranno su quello che leggeranno, soprattutto da parte di web hosting interessati a vendere certificati SSL e indirettamente “poco obiettivi” sull’argomento: si veda anche Google penalizza i siti senza HTTPS?).

L’ulteriore novità è che i siti senza HTTPS vengono da qualche tempo, come mi suggeriva qualche collega giorni fa, notificati nella Search Console via email: ovvero i webmaster vengono avvisati in questi termini che il sito non supporta SSL, e che sarebbe preferibile farne uso.

La prima parte del comunicato mi ha notificato il sito web interessato:

La seconda mi ha fornito una descrizione dettagliata, con un URL di esempio (NB mandano solo un esempio, potrebbero esserci altre pagina analoghe: apparentemente le notifiche degli URL specifici riguardano pagina indicizzate e, nel mio caso, ben posizionate su Google). Viene anche esplicitato che si tratta di una prima fase, e che ne seguiranno altre per cui, presto o tardi che sia, tutti i siti senza HTTPS saranno notificati.

Infine propongono come risolvere il problema:

Mi pare opportuno, a questo punto, fare un paio di approfondimenti per evitare gli inevitabili fraintendimenti sull’argomento.

#1 Questa notifica non è una penalizzazione!

Le notifiche di questo tipo arrivano alla Gmail su cui avete registrato la vostra Search Console; non si tratta, per quello che ne sappiamo, di notifiche di penalizzazione (in senso manuale tipo per vendita di link, tantomeno algoritmica tipo Penguin, Panda o altri). Quindi, se riceverete una mail del genere da Google, non vuol dire che siete stati penalizzati: significa semplicemente che è stata rilevata una pagina con un form di login che non usa HTTPS (o comunque almeno una sezione che, secondo la traduzione italiana, “pagine che raccolgono password o dati di carte di credito“: “raccolgono”, in questo caso, va inteso come “ricevono”, “utilizzano” password, ovvero form di login ed eventualmente form di pagamento con numero di carta di credito, data di scadenza e codice CVC: vedi anche come funzionano i pagamenti online).

Il fatto che sia stata rilevata almeno una pagina senza HTTPS non significa, a mio modesto avviso, che ci saranno per forza “guai in vista” se non passate ad SSL: certo, è buona cosa farlo (nessuno lo nega), e sarebbe obbligatorio farne uso, ma questo vale soprattutto per coloro i quali hanno implementato form di pagamento, login o registrazione in HTTP.

#2 La notifica non arriva per tutte le pagine

Sui circa 30 siti che controllo via Search Console, per intenderci, solo in un caso mi è arrivata questa notifica, mentre per i blog ed i portali con pagina di login separata dal resto, per quello che si è capito ad oggi, questa notifica dovrebbe arrivare meno probabilmente.

Non è corretto, pertanto, sostenere – come molti stanno facendo – che la notifica arrivi indistintamente su tutte le pagine che usino HTTP (come detto, sembra arrivare solo su pagine con determinate caratteristiche): certo, l’idea di fondo resta quella di passare ad HTTPS su tutte le pagine, per un web più bello e per avere l’iconcina carina di colore verde su tutti i browser da Chrome 56 in poi. Le pagine interessate a questo genere di notifica, cioè quelle per cui sarebbe richiesto avere HTTPS obbligatoriamente, sono quelle che contengono dei form (caselline in cui digitare password o numeri di carte di credito) 1) di login 2) di pagamento.

Messa così, non ci voleva Google per accorgersene: è ovviamente corretto che avvisino i webmaster e li invitino a passare quanto prima ad HTTPS, ma è piuttosto improprio (e a mio avviso molto meno corretto) puntare sul terrorismo psicologico per cercare di cavalcare l’onda e vendere certificati.

Il messaggio corretto che dovrebbe passare, in effetti, è che bisogna quanto passare ad HTTPS per tutte le pagine di login e di pagamento dei vari siti, soprattutto quelli che vogliono lavorare bene e ridurre i rischi. Ma qui non è questione di SEO, scusatemi: è questione di web ben realizzato. C’è anche una questione di “immagine”, ovviamente, per cui chi usa HTTPS è un po’ come chi veste firmato, ma il punto non è tanto questo. Anche se questo è un blog sulla SEO, diffido da sempre dall’idea – trapelata fin dall’inizio – che HTTPS sia solo un “fattore di ranking” perchè, soprattutto per come ho visto che si lavora in Italia, messa così il potenziale protettivo della tecnologia SSL rischia di andare in malora.

#3 HTTPS universale (su tutte le pagine dei nostri siti) non sarà una modifica “indolore”

Un paradosso, quello di SSL/TLS universalizzati su tutti i siti, che rischia di diventare di dimensioni epiche: da un lato, infatti, le pagine in HTTP già indicizzate andranno reindicizzate, e questa cosa sarà poco ovvia per molti di noi, e sono pronto a scommettere sui duplicati in SERP (stessa pagina indicizzata in HTTP e in HTTPS) che fioccheranno un po’ ovunque. La cosa che mi turba maggiormente, in questa fase, è pensare a tutti coloro che useranno, o che già hanno usato, HTTPS come fattore di ranking, senza neanche rendersi conto di ciò che comporta fare uso di SSL.

#4 HTTPS non risolverà in automatico tutti i problemi di sicurezza

A parte quest’ultimo aspetto squisitamente SEO, in tanti passeranno a breve ad HTTPS con annessi certificati (spesso abbastanza costosi) non solo con la beata speranza di migliorare il proprio posizionamento su Google (in bocca al lupo: ci sono tuttavia tante altre cose, all’ordine del giorno, per migliorare il proprio ranking): altri ancora sfrutteranno la questione per ribadire una maggiore sicurezza sulle proprie pagine, pensando di aver potenziato la sicurezza del proprio sito ed archiviando definitivamente la pratica: in fondo, se lo dice Chrome che il sito è sicuro, di cosa preoccuparsi?

Parliamo di HTTPS, ma ci sono ancora persone che usano irresponsabilmente la propria data di nascita come password. HTTPS in altri termini, mi permetto di ricordare, non ti protegge dall’uso di “12345” come password: per cui secondo me un problema esiste, ma si sta affrontando in modo poco efficace.

#5 HTTPS non è una tecnologia universalmente sicura

Qualche tempo fa (2014) uscirono fuori almeno tre falle informatiche su HTTPS, e molte di queste non sono ancora state risolte ad oggi (vedi ad esempio: 148 mila siti affetti da Heartbleed). Questo vuole dire che, da un certo punto di vista, è ancora prematuro che Chrome etichetti come “sicuro” un sito perchè usa SSL / TLS: in teoria, anche un sito con HTTPS può essere attaccato come qualsiasi altro, per quanto tale probabilità tenda ovviamente a ridursi in presenza di HTTPS. La notifica di “sito sicuro”, se da un lato aiuterà i visitatori a riconoscere i siti truffa (almeno, quelli che non usano SSL), dall’altro potrebbe finire per deresponsabilizzare ulteriormente i proprietari dei siti sull’aspetto legato alla sicurezza.

A: Il mio sito è sicuro, uso HTTPS!

B: Ma usi l’autenticazione a due fattori?

A: No, e la mia password è “password”.

Possiamo poi ipotizzare che il mercato, in questi casi, tenderà a seguire la “coda lunga”, per cui la maggiorparte dei certificati installati saranno certificati gratuiti (per cui, temo, non troppe garanzie) o saranno di qualità  non sempre eccelsa (esempio: da una delle falle di cui parlavo è emerso che su OpenSSL, una delle implementazioni più popolari di HTTPS, c’erano all’attivo solo 5 programmatori, di cui solo uno stipendiato!). Questo dilagare di tecnologia cheap, peraltro brandizzata ed ampiamente promossa da Google e da Chrome, mi pare che finisca per avere dei tratti vagamente inquietanti.

HTTPS è un problema ancora, ad oggi, complesso, e molti aspetti sono squisitamente destinati agli “addetti ai lavori” (perdonerete il taglio “poco SEO” di questo articolo, ma purtroppo da sempre HTTPS è stata legata a questo genere di discorsi): a me questa mossa di invitare tutti a farne uso sembra piuttosto prematura, anche se riconosco la sua bontà di fondo, ovviamente. Darlo in pasto alle masse come stanno facendo, tuttavia, in questo momento, mi pare comunque una strategia poco azzeccata.

Leggi anche
SEO per siti di giochi, come farla I portali di giochi sono molto interessati ad attività SEO, e in diversi casi mi è capitato di farci consulenza in ambito di ottimizzazione sui motori...
10 strategie SEO per portare traffico fresco al tu... Gli articoli che trattano l'argomento "aumentare le visite" sul proprio sito, di norma, di solito si concentrano sull'aspetto "contenutistico" puro: s...
A caccia di errori 404 per fare link building Essere linkati dai partner è fondamentale per tentare di incrementare i link "mirati" (Targeted link building) o fortemente tematici di cui ogni sito,...
SEO “fast & furious”: guida prati... La fretta, si sa, è cattiva consigliera: e questo vale soprattutto in ambito ottimizzazione per i motori di ricerca, non fosse altro che si tratta di ...
Come fare link building senza fare stupidate La link building è forse una delle principali attività per condurre campagne SEO efficaci, e consiste nel generare con varie tecniche dei link in ingr...
Come verificare se un sito è stato penalizzato da ... Verificare la presenza di una penalizzazione di Google sul proprio sito è un problema concreto per molti di noi: di fatto, soprattutto le penalizzazio...

...non andare via!

In questo sito ci sono tutorial, articoli sulla SEO e suggerimenti per la tua attività online: scoprili subito!