HTTPS tra ranking e sicurezza: la cazzata di Google

HTTPS, ranking e sicurezza
Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram

Sono passati quasi dieci anni dal mio primo e ultimo – fino ad oggi – guest post sul blog di Davide, da allora ne è passata di acqua sotto i ponti e algoritmi di Google. Oggi se controllo il mio Google Analytics degli ultimi trenta giorni trovo quasi 250.000.000 di pagine viste – con MovingUp infatti aiutiamo editori a aumentare il traffico dei loro siti web per incrementare le performance da ADV che è il nostro Core Business. (Le cause/effetto della vita sono così strambe che mi piace sempre raccontare come uno dei lettori di quell’articolo di allora, Marco Valenti, mi contattò perché incuriosito della storia e oggi – dopo quasi dieci anni – è proprio il fonder di MovingUp Srl).

In questi anni ho scoperto una semplice regola: agli editori bisogna saper spiegare bene le cose per fargliele capire e aiutarli a comportarsi di conseguenza, ad ogni aggiornamento di Google siamo lì che proviamo a trovare le soluzioni migliori per assecondare i cambiamenti e qualche volta per correre ai ripari. Quello che sta accadendo con la scelta scellerata di Google/Chrome di segnalare i siti web senza HTTPS come non sicuri è una di quelle cose che bisogna spiegarle per bene e quando vengono capite, il commento è sempre lo stesso: “ma che cazzata è?” nelle diverse declinazioni linguistiche locali.

Ma andiamo per ordine. Qualche tempo fa Google ha segnalato che nell’ultima versione del suo browser Chrome, sarebbero stati mostrati degli alert ai visitatori in cui sarebbe stato detto in maniera allarmante, che se approdavano su un sito web senza HTTPS, avrebbe mostrato un messaggio funesto, del tipo: “Ehy, attenzione che questo sito non è sicuro!”. Gli utenti del web non sono meno sospettosi delle persone off line, anzi, essendo un fenomeno relativamente giovane in Italia (è vero, molte persone hanno scoperto le magnificenze del web grazie a Facebook) le remore e paure dell’ignoto hacker che vuole rubare i dati dei punti del Carrefour sono dietro l’angolo, ma anche i dati delle carte di credito, certo.

Cosa è l’HTTPS?

Ho preso il primo sito che mi è capitato di trovare su Google che vende certificati SSL e cito testualmente:

Quando un browser tenta di accedere a un sito web, normalmente la connessione tra i due funziona in chiaro: di conseguenza è tecnicamente possibile, per un utente terzo, effettuare una procedura di “sniffing” o spionaggio dei dati tramite un attacco man-in-the-middle.
Per arginare questi rischi, le transazioni online vengono solitamente protette con il protocollo SSL, che garantisce protezioni da eventuali letture esterne non autorizzate…

(tratto dalla pagina di vendita dei certificati SSL di Keliweb.it, potete leggere sul loro sito il resto della descrizione e le caratteristiche).

Tornando a noi, dopo la comunicazione di Google, una decina di giorni fa circa, arriva un messaggio da Google Search Console: “Hey, tu che non usi un protocollo HTTPS sui tuoi siti sai che faccio ora con Chrome? Dico a tutti che rubi, spacci e sei uno zozzone. Abbiamo addirittura trovato queste 4 pagine web del tuo sito in cui ti si vede con il passamontagna pronto a rubare i dati sensibilissimi degli utenti.”

Ovviamente il contenuto non era questo, ma il senso decisamente sì.

Controllando le URL riportate nel messaggi, non ho trovato nessun tipo di raccolta di dati sensibili. Era un articolo di un giornale online, testo, immagini, qualche adv e lo spazio per i commenti alla notizia.

Commenti alla notizia. State capendo cosa per Google è così rischioso da far transare senza HTTPS? Il nome utente e la mail per poter mettere un commento all’interno di una pagina.

Prova Seozoom

Starà esagerando, ho pensato e così prima che mi segnalasse altri siti di editori che seguo, ho provato a sperimentare soluzioni alternative ai commenti, come ad esempio l’utilizzo dei commenti di Facebook.

Puntuale come uno spigolo di un letto sul mignolo di un piede, arriva dopo qualche giorno la segnalazione proprio per quel sito sui cui avevo cambiato gestione dei commenti. E anche li, stessa lamentela: “Hey, ancora a cercare di rubare dati sensibilissimi ai miei utenti?” Eppure su quelle pagine non c’è assolutamente nulla di sensibile.

Tecnicamente credo che stia successo questo, per Google ogni FORM è un possibile punto di accesso per uno scippatore in Vespa 50 truccata davanti ad un Ufficio Postale.

Appena un numero sensibile di utenti aggiornerà la propria versione di Chrome potremmo cominciare a tracciare un calo importante di visitatori, se non ci adeguiamo a quanto richiesto da Zio Sam Google.

HTTPS e Ranking cosa c’entrano?

Ricordo come fosse ieri il test effettuato da Cesarino Morellato (purtroppo scomparso poche settimane fa e a cui la comunità SEO italiana deve molto, Ciao DAO Daddy!) e Andrea Scarpetta in cui dimostrarono che il click-through rate in SERP influenzava il ranking di un sito. Perché cito questo esempio? Perché il comportamento degli utenti su un sito sta diventando sempre più fattore di ranking, non più solo contenuto, non più solo parte tecnica e codice, ma anche esperienza degli utenti.

Qual è la mia misera considerazione?

Che per una cazzata dal punto di vista logico (sacrosanta sicurezza degli utenti, ma non su un portale che non raccoglie dati sensibili ma solo un form dei commenti!) le conseguenze per chi non si adeguerà sarà inevitabilmente un calo sul ranking, non diretto come da sempre si prodigano quelli di Google a dire: “Nooo, tranquilli che HTTPS o HTTP per il ranking è uguale..” ma indiretto.

Un utente che non accede ad un sito perché ha una segnalazione da Google che non è sicuro, riduce inevitabilmente il traffico e l’esperienza su quel sito.

Implementare un certificato SSL non è certo una spesa esorbitante, con poche decine di euro o addirittura gratis è possibile ottenerlo, ma più che una questione di costi è la logica applicata da Google che fa acqua da tutte le parti.

Autore: Alessandro Giagnoli, per il TagliaBlog.

2dc13395536c431966c0b7bc5282437b
Da oltre 20 anni, fornisco consulenze per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti, in modo serio e produttivo, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.
×
2dc13395536c431966c0b7bc5282437b
Da oltre 20 anni, fornisco consulenze per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti, in modo serio e produttivo, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.

29 Comments

  • L’articolo riassume in maniera dissacrante quello che è successo con la vicenda HTTPS… noi con il nostro sito divulgativo e senza raccolta di dati sensibili, a parte il famoso box commenti, ci siamo adeguati a fine luglio 2018… ad oggi, dopo questa manovra, riscontriamo un calo di visitatori del 50/60%, nonostante tutto sia configurato correttamente. Ad agosto avevamo notato il drastico calo, ma si sa, essendo un mese “strano” non ci eravamo allarmati. A settembre lieve rialzo, ma calo drastico rispetto ai primi 7 mesi 2018 quando navigavamo con HTTP.

    Adesso non avrebbe nessun senso nemmeno tornare indietro… però che rabbia!

    Reply
  • Leggere un esperto di marketing che parla di sicurezza informatica è un po’ come leggere un informatico che parla di marketing. No, non è un complimento, abbiate pazienza… 🙂

    Sia l’articolo che i commenti contengono la solita serie di obiezioni, assolutamente errate, verso la migrazione totale a HTTPS. Alcune sono:

    – il mio sito non tratta dati sensibili
    – ho un form in HTTPS, mica devo avere tutto il sito
    – i certificati costano
    – i certificati DV non sono sicuri

    Tutte queste obiezioni (e altri) sono magistralmente cassate su https://doesmysiteneedhttps.com/

    Buona lettura, è comprensibile anche a chi non è esperto di security.

    Reply
  • Direi che quando un colosso comincia a giocare così male si possa solo assecondarlo. Cioè il form dei commenti in parte raccoglie dati sensibili ma ci sono vari “livelli” di sensibilità, sicuramente la priorità la devono avere i form per le carte di credito, dunque e-commerce in primis.

    Per chi fa Seo, vedere quella fastidiosa “i” affianco al nome di dominio al posto di “Sicuro” con tanto di lucchetto è quasi una sconfitta. Quella “i” suona più come Incerto che come Info, dunque c’è bisogno di adeguarsi ed offrire un protocollo più sicuro, stabile e veloce.

    Ritengo che il vantaggio diretto nelle SERP non ci sia, a meno che non ci si trovi di fronte ad un e-commerce o un sito che vende qualcosa (anche attraverso PayPal, dunque senza condividere alcuna informazione sulla propria carta di credito). In tal caso tale sito può essere penalizzato.

    Per un brand forte ed affidabile è auspicabile implementare tale tecnologia soprattutto per il trust e la conversione. Ci sono decine di articoli e casi studio nei quali si sottolinea la maggior propensione a fidarsi e spendere da parte degli utenti su siti con protocollo https, prima di tutto per una questione grafica (la scritta verde “Sicuro” comunica quasi che il sito sia stato controllato ed “autorizzato” dagli alti piani dell’Olimpo). Però non tutti sapranno che oggi con Let’s Enscrypt ed un po di doti smanettone si possa attivare un certificato e cominciare a prendere in giro gli utenti…

    Reply
  • Il problema per me è diverso, perché non posso fornire la pagina in http e avere al suo interno una form che fa una post in https.
    Perché il cliente vede il messaggino simpatico e si spaventa.
    Che cazzata, controllino la post e non la pagina.

    Reply
  • Non vorrei darvi una delusione ma già sono stati craccati i protocolli https ormai da tempo…per proteggere i dati sensibili quelli veri non basta spendere una manciata di dollari per un certificato..il fatto è che molto provabilmente Google avrà le mani in pasta pure nel business dei certificati 🙂

    Reply
  • Le incognite riguardo il passaggio al protocollo https sono legate in parte anche alla presenza di migliaia di backlink che Google preferirebbe fossero aggiornati.. gli sembra facile?
    Idem per le condivisioni nei social, interviste, giornali ecc..ecc..
    Con il redirect 301 il problema è momentaneamente risolto, ma il “momentaneamente” è d’obbligo perchè Google prima o poi rivaluterà i backlink dando maggiore forza a quelli aggiornati in https.
    Quindi? volente o nolente si dovrà accettare il passaggio al protocollo https, che in futuro non sarà definito più così sicuro, per passare poi ancora a un nuovo protocollo e forse poi a un altro ancora..

    Reply
  • La messa in opera del certificato in sé non è un grosso problema. Tuttavia, se hai un vecchio sito (es. realizzato con WP), affinché non ti compaiano notifiche di “mixed content” (il triangolino giallo nella barra degli indirizzi dei browser lo segnala), ti tocca far servire qualunque risorsa da https. Questo può voler dire, a seconda del livello di sfortuna, alterare il db, modificare uno o più plugin e uno o più temi. SSL sì, ma qualche “costo occulto” ci può essere 🙂

    Reply
  • @ max, il fatto che a te personalmente sembri assurdo non ti autorizza a obbligare altre persone, alle quali non sembra affatto assurdo, a rinunciare alla loro privacy.
    Tra queste persone ci sono una parte dei visitatori (potenziali clienti se sei un’azienda) che vanno rispettati anche se non la pensano come te e per questo vorrebbero proteggere i propri dati personali sia sugli e-commerce, sia sui blog.

    Qui non si tratta di opinioni personali. Qui si tratta di imparare a rispettare chi la pensa diversamente, una cosa che evidentemente gli italiani non digeriscono bene…

    Reply
  • E’ ovviamente auspicabile usare un protocollo di sicurezza,quando si tratta di acquisti online ma obbligare ad usarlo è tutto un altro paio di maniche.Chiaramente anche io acquisto online solo su siti che mi garantiscono buoni protocolli di sicurezza,ma questa regola mi sembra assurda doverla estendere a tutti i siti,ad esempio i blog che si occupano solo di informare o condividere.

    Reply
  • Inoltre se “non deve essere permesso a nessuno (ISP, Stato, attaccante)” di conoscere le pagine visitate, allora non dovrebbe essere permesso neanche al motore di ricerca, che invece diventerebbe l’unico a conoscere queste informazioni in caso di uso massivo di HTTPS.

    Mi sembrano due problemi differenti e uno non esclude l’altro.
    Ciao,
    Emanuele

    Reply
  • @ Emanuele, discutere dei dati inseriti nel form non è “discutere del nulla” perché un conto è far sapere a chiunque che un IP anonimo visiti questa o quella pagina, un altro conto è far sapere che lo faccia un IP associato a un nome, un cognome, un indirizzo email e chissà cos’altro…

    Inoltre se “non deve essere permesso a nessuno (ISP, Stato, attaccante)” di conoscere le pagine visitate, allora non dovrebbe essere permesso neanche al motore di ricerca, che invece diventerebbe l’unico a conoscere queste informazioni in caso di uso massivo di HTTPS.

    Reply
  • Google ha fatto benissimo. La maggior parte dei siti utilizza di per se tecnologie non sicure o intrinsecamente scritte di m3rd4 (WordPress anyone). Almeno si faccia in modo di rendere piu’ complicata la vita a personaggi che ora sguazzano allegri in un mare di siti che verrebbero bucati da un bambino di 10 anni. Il 90% dei web-site non supererebbe la meta’ dei testi previsti dalle best practice OWASP, figuriamoci la porcheria su cui navighiamo allegramente ogni giorno. Che almeno la comunicazione sia cifrata. Se poi obbliga tramite terrorismo psicologico ben venga,

    Reply
  • Concordo con l’articolo, e con il fatto che forse è stato fatto un po’ troppo allarmismo da parte di Google.

    Reply
  • Ripeto, imho, la mossa di Google punta con coraggio a minare il tracking massivo che facevano/fanno gli Stati (Uniti?). Non solo il contenuto dei form è protetto con HTTPS ma anche gli URL interni al sito che visitiamo. Non deve essere permesso a nessuno (ISP, Stato, attaccante) sapere se quando vado sul sito di un giornale cerco i risultati del lotto o le ultime sulla guerra in oriente. La navigazione DEVE essere privata e l’HTTP da solo non garantisce un fico secco. Continuare a discutere circa la “qualità” dei dati inseriti nel form di questo blog è seriamente come discutere del nulla.
    Le connessioni DEVONO essere cifrate ed è un bene per internet che questo, grazie ad un influencer di rilievo, riesca ad avvenire in tempi relativamente brevi.
    Lamentarsi perché questo per i più piccoli webmaster comporti sforzi dal quale non si vede un ritorno è – semplicemente – non mettere correttamente a fuoco il problema.
    Ciao,
    Emanuele

    Reply
  • @ Alessandro Giagnoli, a me invece sembra eccessivo che esistano aziende che non si curano della privacy degli utenti e addirittura che ne facciano un vanto. Non scherziamo.
    Purtroppo molte aziende italiane non conoscono la differenza tra dati personali e dati sensibili. I dati personali (anche se non sensibili) vanno comunque trattati e inoltre la legge obbliga a informare l’utente di quale siano le finalità dell’uso dei dati personali (sensibili o non) e chi è il titolare del trattamento dei dati.

    Per i problemi di posizionamento si può anche indicizzare il sito in HTTP e realizzare in HTTPS solamente il form. Chi non fa neanche questo dimostra una mancanza di rispetto nei confronti degli utenti. Chi chiede agli utenti l’email + altri dati e non inserisce l’informativa, viola la legge.

    PS: in questi post inserisco un indirizzo email temporaneo, quindi nessun problema se qualcuno lo ruba per inviare spam. Inoltre questa email non è associata al mio vero nome, perciò di fatto non inserisco nessun dato personale.

    Reply
  • I form senza password sono sicuramente la minoranza. Ma non è poi solo un problema di password. Uno potrebbe non voler divulgare anche la propria email e per mille ragioni…
    Infine chi ha la responsabilità del sito si deve fare carico di cose che l’utente comune può ignorare.
    L’utente crede di spedire i propri dati in modo sicuro non sapendo che senza https questo non accade. E qui subentra la responsabilità del gestore del sito.

    Reply
  • @Allibito, un form dei commenti per un blog di solito non ha password e il nome può essere anche finto come hai fatto tu.

    Reply
  • HTTPS non protegge solo la password del sito “Amici della pesca”. HTTPS nasconde anche le pagine che decidiamo di visitare all’interno di un sito agli occhi di attaccanti/ISP/Stati. Probabilmente i dati della casalinga di voghera non sono interessanti, ma ci sono tanti (professionisti? attivisti?), in tante parti del mondo, che hanno bisogno di un web che li protegga. HTTPS è un passo avanti verso la privacy, non semplicemente un modo per gestire i ranking su Google. Trovo questo post molto pressappochista.
    Ciao,
    Emanuele

    Reply
  • L’http deve morire.
    È giusto così e ben vengano decisioni drastiche per arrivare al risultato.
    Non c’è bisogno che i non esperti di sicurezza ne capiscano gli innumerevoli motivi – fidatevi che è la scelta giusta

    Reply
  • Allora Alessandro, si chiama password no? E la mettiamo a salvaguardia di qualcosa oppure stiamo solo scherzando?
    Non capisco il senso di questo post, a parte che qualcuno non ha voglia di fare bene il proprio lavoro…

    Reply
  • Nel mio post non critico l’utilità dell’https, ma come è stata gestita da Google la comunicazione e applicata a ventaglio su siti che a livello di privacy dei dati sensibili non trattengono fondamentalmente nulla. Sembra quasi che sia stata gestita con l’accetta (si dice dalle mie parti per indicare una cosa grossolana) e nel corpo della pagina hai un allora son cavoli tuoi.

    Reply
  • Non concordo,
    sopratutto con il messaggio che passa, anche a chi non se ne intende: “Google è brutto e cattivo e detta legge”.

    Analizzo in maniera più concreta possibile i fatti, in maniera “ampia”:

    Grazie le rivelazioni di Snowden e di Assange tutti hanno preso consapevolezza di quanto può essere compromessa la privacy;

    L’Europa è sempre più stringente riguardo la privacy online delle persone;

    Anche se, indubbiamente, installare solamente i certificati ed attivare HTTPS non garantisce sicurezza online, un po di privacy durante la trasmissione dei dati la garantisce e qualche tipologia di attacco la blocca di default.

    Ovvio Google ha messo un po della sua influenza, ma il messaggio in Search Console avvisa solamente, anche Mozilla, tutti gli altri browser e le maggiori organizzazioni anche no profit incoraggiano anche da un po di tempo l’utilizzo di HTTPS (https://www.eff.org/pages/https).

    Inoltre pensare ad HTTPS solo come posizionamento è riduttivo.

    HTTP/2 che garantisce più velocità ai siti web, a tutte le persone del mondo, non solo a chi abita in città ed ha il 4G, richiede HTTPS;

    Per utilizzare le ultime “tecnologie” del web (vedi messaggi push solo per fare un esempio, e la navigazione avviene sempre più da mobile) serve HTTPS.

    Ciao,
    Yuri.

    Reply
  • @Andy
    mi sembra eccessivo il tuo commento, in un form dei commenti di un blog ad esempio, non passano dati sensibili se non il nome che si vuole dare e la mail, che solitamente non sono i dati più sensibili per cui qualcuno potrebbe prendersi la briga di sniffare la connessione.
    Eppure, nonostante il tuo commento, hai commentato su questo blog di Davide che non ha un protocollo https.

    Reply
  • Mi spiace ma non gradisco affatto che qualcuno possa spiare la mia email o qualsiasi altra cosa io scriva in un form, o peggio la mia password, anche se si tratta di “dati non sensibili”.
    Big G ne fa tante di cazzate, ma una volta tanto che vuole far rispettare la mia privacy dovrei contestare?
    Dovrei rassegnarmi a rendere pubblici i miei dati “non sensibili”?
    Per esempio qui?
    movingup.it/publisher
    O forse questo articolo è tutto uno scherzo, con 12 giorni di ritardo?

    Reply
  • Penso che con le pagine AMP si arriverà allo stesso punto, in cui Google forzerà la mano e gli altri si dovranno adeguare.
    Peraltro in questo caso la sua mossa ha portato molti fornitori di spazi web (come il citato Keliweb) ad offrire il certificato incluso nel servizio o a bassissimo costo.
    In più bisogna considerare le azioni di Google nell’ambito di quello che succede in tutto il mondo. In America il Senato ha approvato una legge per cui gli ISP possono vendere al miglior offerente la cronologia di navigazione dei loro clienti, avere un certificato HTTPS, quindi, protegge in parte la privacy.

    Reply
  • @Marco, si dici bene. Nel post infatti parlo più che altro dell’esperienza dell’utente che sta diventando sempre più parametro di ranking. Il bounce rate in fondo, misura l’esperienza dell’utente. L’esempio del CTR in serp era appunto per ricordare quel test e come oltre agli aspetti puramente tecnici della seo onsite o di link building, ci sono altri parametri da tenere in considerazione oggi.

    Reply
  • Condivido al 100%! Alla fine ti adegui, perché una battaglia contro G. è persa in partenza (e questo ci fa riflettere anche sul suo strapotere), però davvero non ha senso costringere tutti a mettere certificati SSL.

    Reply
  • Tutto vero, però con la nostra azienda erano anni che invitavano i nostri clienti (ecommerce) a implementare certificati SSL con una piccola spesa. Si sono decisi, quasi tutti, solo dopo gli alert di Chrome. Purtroppo se la questione non diventa drastica nessuno è incentivato a farlo.
    Anche noi riteniamo che spesso è superfluo, ma solo Google ha il potere di convincere tutti in così poco tempo… E se lo faccia in modo più o meno corretto, ben venga, affinché migliori il grado di sicurezza generale del web.

    Reply
  • Domanda probabilmente stupida: se il CTR in serp è un fattore di ranking ma la notifica di sito non sicura appare solo quando atterro sul sito, si può dire che il mancato passaggio ad https non ha nessuna conseguenza sul CTR ma eventualmente solo sulla bounce rate?

    Reply

Rispondi

Max Valle
Max Valle

Da oltre 20 anni, fornisco consulenze per aziendee professionisti, che vogliono sviluppare il loro business, aumentando i clienti, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.

Iscriviti alla Newsletter
Main sponsor
logo kleecks

Sponsor

HTTPS tra ranking e sicurezza: la cazzata di Google
Scroll to Top

Vuoi capire perchè il tuo sito non traffica?

REPORT SEO a soli 47€

anzichè 197€+iva
Giorni
Ore
Minuti
Secondi