Cosa devi sapere sul passaggio da Http a Https
Se hai intenzione di raccogliere informazioni sensibili o condurre transazioni online, dovresti pianificare il passaggio da http a https sul tuo sito web.
Per scoprire perché, iniziamo con alcune definizioni:
Http (o Hyper Text Transfer Protocol) è il metodo con cui i dati vengono spostati sul web. Si può vedere quanto http sia parte integrante del mondo online guardando l’inizio di qualsiasi indirizzo web.
Sul lato positivo, http è veloce e affidabile. Il lato negativo è che è sicuro come un diamante ad una convention di scassinatori. Ci sono molti modi per introdursi nei dati trasferiti via http e mentre questo non è un problema per molti trasferimenti di dati online (ad esempio guardare un video, visualizzare un sito web), è un problema se avete bisogno di proteggere i dati che vengono inviati.
Https (o Hyper Text Transfer Protocol Secure) è la risposta al problema della protezione dei dati. Utilizzato su siti che presentano eCommerce, banche e anche solo una pagina di login, https protegge i dati crittografandoli prima di inviarli utilizzando un certificato SSL (Secure Sockets Layer).
Un certificato SSL contiene chiavi di crittografia pubbliche e private che sono lunghe stringhe di caratteri alfanumerici utilizzate per crittografare i dati in un modo che è molto difficile da decifrare, rendendolo ideale per proteggere i dati sensibili.
Il processo di passaggio da Http a Https
Alla superficie, il passaggio da http a https è abbastanza semplice:
- Acquistare un certificato SSL,
- Installare il certificato SSL sull’account di hosting del tuo sito web,
- Assicurarsi che tutti i link del sito web siano cambiati da http a https in modo da non essere interrotti dopo aver girato l’interruttore https, e
- Impostare reindirizzamenti 301 da HTTP a HTTPS in modo che i motori di ricerca siano avvisati che gli indirizzi del tuo sito sono cambiati e in modo che chiunque abbia messo un segnalibro su una pagina del tuo sito sia automaticamente reindirizzato all’indirizzo https dopo che hai girato l’interruttore.
È così facile. Tuttavia, grazie al numero schiacciante di opzioni offerte dai fornitori di certificati SSL e dai pacchetti offerti dalle società di hosting, questo processo semplice può diventare molto confuso.
La situazione non è aiutata dal fatto che spostare il tuo sito da http a https richiede di avere a che fare con più tecnologia di quanto la maggior parte dei piccoli imprenditori preferisca.
Ecco perché ci immergeremo nei quattro passi di cui sopra solo quanto è necessario per prendere le decisioni di business che devono essere prese e per capire i dettagli tecnici ad un livello base.
Perché non andare più a fondo sul lato tecnico? Per una buona ragione che renderà l’intero processo di cambiamento da http a https più facile:
La vostra azienda di hosting può gestire la maggior parte del processo per voi
Se avete già l’esperienza tecnica necessaria per cambiare il vostro sito da http a https, allora gestite l’intero processo end-to-end.
Molti piccoli imprenditori, tuttavia, non hanno esperienza con il lato tecnico di questo processo. Come vedrete presto, c’è abbastanza curva di apprendimento sul lato commerciale.
Come proprietario di una piccola impresa, è necessario essere coinvolti nel prendere le decisioni commerciali. Tuttavia, potrebbe essere meglio avere qualcuno che sa cosa sta facendo – qualcuno di cui ci si può fidare – gestire il lato tecnologico. Un’opzione potrebbe essere la società di hosting del tuo sito web.
Molte società di hosting offrono pacchetti che includono un certificato SSL, l’installazione del certificato scelto e la configurazione del reindirizzamento 301. Questo ti lascia con un solo compito tecnico, il semplice lavoro di cambiare i link del tuo sito web per puntare a https invece di http.
Potrebbe costarti un po’ di più acquistare un pacchetto. Tuttavia, la quantità di tempo che risparmierai, e la frustrazione che eviterai, consegnando la parte tecnica del processo alla tua compagnia di hosting, compenserà più che bene la spesa.
Di seguito un esempio di un’offerta di certificati https + SSL di una compagnia di hosting (SiteGround). Ecco un paio di cose da notare:
- Dovresti sempre contattare la tua azienda di web hosting per essere sicuro di capire esattamente cosa è incluso. Per esempio, anche se non è elencato, una rapida chat online con SiteGround ha confermato che l’impostazione dei reindirizzamenti 301 era inclusa in tutti e tre i pacchetti.
- Come potete vedere, è possibile utilizzare un certificato SSL fornito dalla società di hosting o è possibile utilizzare un certificato acquistato da un fornitore separato. Questo cambia un po’ il prezzo di ogni pacchetto (come indicato dalla riga “Prezzo dell’altro fornitore”). Questo avrà più senso tra un po’.
Come spiegato in precedenza, anche con qualcuno che si occupa della parte tecnica, è comunque necessario prendere le decisioni commerciali e capire, almeno a livello di base, cosa comporta tecnicamente. Questo è l’argomento del resto di questo post.
Pronti ad iniziare? Cominciamo!
Acquistare un certificato SSL
Ci sono due modi per acquistare un certificato SSL:
- Dalla tua società di hosting, o
- da un fornitore di certificati SSL.
Anche se è più facile comprare il certificato dalla tua società di hosting (specialmente se fa parte di un pacchetto a prezzo speciale), a volte non offrono il tipo di certificato di cui hai bisogno.
Sì, ci sono molti tipi di certificati SSL e dovresti sceglierne uno in base alle tue esigenze aziendali. Di seguito, i diversi tipi di certificati SSL sono raggruppati per livello di convalida (importante per il marketing) e poi per il livello di copertura. Dovresti selezionare un certificato che soddisfi il più possibile i tuoi obiettivi in entrambe le aree.
Certificati SSL per livello di convalida
Quando sposti il tuo sito su https, questo cambiamento si riflette nel tuo browser perché i visitatori del tuo sito lo vedano. Ci sono tre livelli di convalida, ognuno dei quali fornisce maggiori garanzie ai tuoi potenziali clienti rispetto al successivo. Ecco perché il livello di convalida che scegliete è anche una decisione di marketing.
Tutti e tre i livelli fanno apparire un lucchetto chiuso nella barra degli indirizzi del browser, un’indicazione che la connessione con il vostro sito è sicura. Oltre a questo, ci sono differenze sia nelle informazioni visualizzate quando si visualizza il certificato in un browser e, al livello più alto di convalida, anche nella barra degli indirizzi del browser. Potete vedere queste differenze nelle immagini incluse nelle descrizioni di ogni livello di convalida qui sotto.
Tempo e denaro sono altri due fattori da considerare quando si sceglie il livello di convalida del vostro certificato: più alto è il livello di convalida, più lavoro e più tempo ci vuole per ricevere il vostro certificato. Questo perché ogni livello superiore offre una maggiore convalida del proprietario del dominio (cioè la vostra azienda) rispetto al livello precedente. Richiede anche più documenti da parte tua e più controlli da parte dell’emittente. Inoltre, più alto è il livello di convalida, più il certificato SSL costerà
NOTA IMPORTANTE: la quantità di sicurezza effettiva dei dati fornita è la stessa per tutti e tre i livelli di convalida – la convalida aggiuntiva è più che altro un fattore di fiducia del cliente.
I tre livelli di convalida del certificato SSL sono:
- Convalida del dominio – Il livello base di convalida, i certificati SSL convalidati dal dominio faranno sì che un browser web visualizzi un’immagine di un lucchetto chiuso accanto all’indirizzo del sito web, dimostrando che il sito è sicuro. Come mostrato sotto, quando si visualizzano i dettagli di questo tipo di certificato all’interno di un browser, la sezione “Subject Name” mostra le informazioni più basilari. Dice a un potenziale cliente che, sì, questo dominio è sicuro. Ma non menziona quale azienda ha assicurato il dominio. E questa mancanza di un nome di società può essere un problema di fiducia con i potenziali clienti. Per esempio, può portare a situazioni in cui qualcuno può creare un dominio fraudolento (per esempio “robowhos.com” invece di “robowhois.com”) e rubare dati sensibili a coloro che sono stati ingannati dallo stratagemma.
- Convalida dell’organizzazione (a.k.a Company Validation) – Quando si ottiene un certificato SSL con questo secondo livello di convalida, l’emittente sta confermando il fatto che l’azienda che richiede il certificato possiede effettivamente i diritti sul dominio per il quale il certificato viene emesso. Come si può vedere qui sotto, quando si visualizza questo tipo di certificato in un browser, la sezione “Subject Name” mostra più dettagli – incluso il nome della società. Questo ulteriore livello di dettaglio garantisce ai potenziali clienti che il sito è legittimo e sicuro per fare affari.
- Extended Validation – I certificati SSL Extended forniscono il massimo livello di garanzia che un sito è legittimo e degno di fiducia per fare affari. Come puoi vedere qui sotto, non solo ci sono più informazioni nella sezione “Subject Name”, ma il nome della società è anche mostrato direttamente nella barra degli indirizzi del browser (infatti, in alcuni browser, l’intera barra degli indirizzi diventa verde quando il sito viene visualizzato). Un certificato SSL esteso proclama che l’azienda possiede i diritti su questo dominio e soddisfa i rigidi standard di revisione necessari per ricevere questo livello di convalida. Questo sì che è marketing!
Certificati SSL per livello di copertura
Un altro modo per raggruppare i certificati SSL è in base al livello di copertura che supportano. I tre livelli di copertura dei certificati SSL sono:
- Certificati SSL a dominio singolo – Questo tipo di certificato SSL copre un dominio e un solo dominio. Per esempio, lei può usare un certificato SSL a dominio singolo per proteggere mysmallbusiness.com ma non support.mysmallbusiness.com.
- Certificati SSL a dominio jolly – Questo tipo di certificato SSL copre un dominio e tutti i sottodomini sotto quel dominio. Per esempio, lei può usare un certificato SSL con dominio jolly per proteggere mysmallbusiness.com e support.mysmallbusiness.com e qualsiasi altro sottodominio.
- Certificati SSL Multi Dominio – Questo tipo di certificati SSL può essere usato per coprire più domini. Per esempio, puoi usare un certificato SSL multi-dominio per proteggere sia mysmallbusiness.com che qualsiasi altro dominio, per esempio myothersmallbusiness.com.
Installazione del tuo certificato SSL
Installare il tuo certificato SSL sul tuo sito web comporta la generazione di entrambe le chiavi di crittografia pubblica e privata e il loro inserimento nel punto corretto del tuo pannello di controllo di web hosting.
Se non sei sicuro di come fare questi passi, hai due opzioni:
- Lascia che il tuo fornitore di hosting lo faccia per te.
- Cerca nella sezione di supporto del tuo fornitore di hosting le istruzioni passo dopo passo. Se non ne trovi, prendi il telefono e chiama la loro linea di supporto.
Ottimizzazione per i motori di ricerca? Sì, Search Engine Optimization
Nell’estate del 2014, Google ha annunciato che stava facendo un piccolo cambiamento nel suo algoritmo per promuovere i siti che utilizzano https. Il motore di ricerca ha anche intimato che l’importanza di https nel rank di ricerca potrebbe crescere lentamente nel tempo.
Mentre le aziende con https non hanno visto enormi aumenti del rank di ricerca di Google, non è mai saggio ignorare il gigante della ricerca. Cosa significa questo quando si passa da http a https?
Invece di usare https solo su parti sensibili del tuo sito, potresti voler andare avanti e usare https per tutto il tuo sito. Questo non influisce in alcun modo sull’accessibilità o sulle prestazioni ed è un ottimo modo per coprire le tue scommesse contro i futuri cambiamenti dell’algoritmo di Google.
Cambiare i link del tuo sito
Cambiare il testo “http” in “https” in tutti i tuoi link che puntano ad altre parti del tuo sito è probabilmente l’unico compito tecnico che dovrai fare tu.
Se non avete usato link relativi (link parziali che usano solo una parte dell’intero url di una pagina come “/2015/03/update-wordpress.html”) dovrete rivedere tutto il contenuto del vostro sito per trovare i link che puntano ad altre parti del vostro sito. Approfittate di questa opportunità per passare ai link relativi invece di sostituire semplicemente “http” con “https”.
Se state usando un sistema di gestione dei contenuti come WordPress, assicuratevi di cambiare i permalink per usare https.
Impostare i reindirizzamenti 301
Come detto sopra, i reindirizzamenti 301 avvisano i motori di ricerca che gli indirizzi del tuo sito sono cambiati e reindirizzano chiunque abbia inserito un segnalibro in una pagina del tuo sito automaticamente al nuovo indirizzo https.
È probabile che la vostra società di hosting faccia questo cambiamento per voi (non dimenticate di chiedere se fa parte del loro pacchetto), ma se volete farlo da soli, dovete modificare il file .htaccess nella vostra cartella principale aggiungendo:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Conclusione
Se c’è una garanzia sul passaggio da http a https, è che sarete confusi ad un certo punto del processo.
Se potete evitare la maggior parte del lavoro tecnico e concentrarvi sulle decisioni di business che dovete prendere, raccoglierete i benefici. Questi benefici includono una maggiore fiducia dei clienti, una sicurezza dei dati super-forte e anche una piccola possibilità che Google classifichi il vostro sito più in alto.
Secure Site Photo via