HTTPS è un fattore di posizionamento!

HTTPS

HTTPS è un segnale di ranking. Non ricordo altri casi – a parte quando, ad Aprile 2010, si parlò di velocità – in cui Google è stato così esplicito nel chiamare per nome e cognome un fattore di posizionamento, ma il 6 Agosto 2014 lo ha fatto per bocca di Zineb Ait Bahajji e Gary Illyes – 2 “Webmaster Trends Analyst” – sul Google Webmaster Central Blog, generando centinaia di reazioni e commenti all’interno della community SEO.

HTTPS as a ranking signal

Quello sopra è il titolo del post ufficiale, e quella qui sotto la mia traduzione integrale.

La sicurezza è una priorità assoluta per Google. Investiamo un sacco per fare in modo che i nostri servizi abbiano un livello di sicurezza ai massimi nel settore, come una forte crittografia HTTPS di default. Ciò significa che chi utilizza la ricerca, Gmail e Google Drive, per esempio, ha automaticamente una connessione sicura verso Google.

Oltre ai nostri prodotti, stiamo lavorando per rendere Internet più sicuro in senso più ampio. Una gran parte di questo lavoro è assicurarsi che i siti web ai quali accedono le persone attraverso Google, siano sicuri. Ad esempio, abbiamo creato delle risorse per aiutare i webmaster a prevenire e correggere violazioni riguardanti la sicurezza dei loro siti.

Ma ora vogliamo andare oltre. Al Google I/O di qualche mese fa, abbiamo parlato infatti di HTTPS everywhere sul web.

Abbiamo anche notato che sempre più webmaster adottano HTTPS sui loro siti, e ciò è incoraggiante.

Per questi motivi, negli ultimi mesi abbiamo effettuato alcuni test tenendo conto se i siti utilizzavano connessioni sicure e crittate come un fattore di posizionamento per gli algoritmi di ricerca. Abbiamo visto dei risultati positivi, e quindi stiamo iniziando a utilizzare HTTPS come un segnale di ranking. Per ora è un segnale molto leggero – interessa meno dell’1% delle ricerche globali, e pertanto pesa meno rispetto ad altri segnali, come i contenuti di alta qualità – e daremo tempo ai webmaster per passare a HTTPS. Ma col tempo, potremmo decidere di rafforzare questo segnale, perché vorremmo incoraggiare tutti i proprietari di siti web a passare da HTTP a HTTPS, per fare in modo che tutti sul web siano sicuri.

Nelle prossime settimane, pubblicheremo dettagli pratici per rendere più semplice l’adozione di HTTPS, e per evitare gli errori più comuni. Questi i primi suggerimenti per iniziare:

  • scegli il tipo di certificato di cui hai bisogno: singolo, multi-dominio, o wildcard
  • usa certificati con chiave a 2048 bit
  • usa URL relativi per le risorse che risiedono all’interno dello stesso dominio protetto
  • usa protocol-relative URL per tutti gli altri domini
  • consulta l’apposita guida di Google su come modificare l’indirizzo del tuo sito web
  • non bloccare con il robots.txt la scansione del tuo sito HTTPS
  • consenti l’indicizzazione delle tue pagine da parte dei motori, ove possibile. Evita il meta tag noindex

Se il tuo sito è già su HTTPS, puoi verificarne il livello di sicurezza e la configurazione con lo strumento di Qualys Lab. Se hai dubbi circa le prestazioni del tuo sito HTTPS, prova a dare un’occhiata a Is TLS fast yet?.

Un curioso precedente

Come ho detto all’inizio, l’unico parallelismo che mi viene in mente è quello di un post del 9 Aprile 2010, quando Amit Singhal e Matt Cutts dichiararono che da quel giorno la velocità di un sito faceva parte dei segnali dell’algoritmo di ranking.

Curiosamente, anche in quel caso i portavoce di Google erano 2, anche in quel caso diffusero il verbo tramite il Google Webmaster Central Blog, e anche in quel caso dissero che meno dell’1% delle ricerche era condizionata dal nuovo segnale.

Ci vollero comunque altri 3 anni per chiarire un po’ meglio la cosa, con una dichiarazione di Matt Cutts via video che arrivò nell’Agosto del 2013.

In quell’occasione Cutts disse che “a parità di fattori, se il tuo sito è molto, molto lento, Google può considerare la velocità di caricamento della pagina ai fini del ranking. Se tutte le altre cose sono uguali, il sito può posizionarsi peggio.”

Metterei i 2 segnali, velocità e sicurezza, sullo stesso piano: sono entrambi fattori “tecnici”, sulla carta sono molto importanti per Google, ma hanno ancora una modesta influenza ai fini del posizionamento sul motore. Almeno fino ad oggi…

Perché proprio la sicurezza?

Google ha a cuore la sicurezza dei siti web, semplicemente perché non può permettersi di “consigliare” ai suoi utenti un sito compromesso da spam o peggio da malware: ne va della sua fama, del suo brand, del suo futuro.

Google deve fare in modo di indirizzare gli utenti verso pagine di qualità e prive di ogni genere di “pericolo”. E questa cosa costa un sacco, sia come soldi che come risorse umane.

Spostando parte del “problema” sui webmaster, dando loro un piccolo contentino (=lieve miglioramento del ranking), e facendo intendere che la cosa avrà maggior peso in futuro (=“col tempo, potremmo decidere di rafforzare questo segnale”), Google si alleggerisce di una parte del carico, e in prospettiva anche di una parte dei costi.

Le implicazioni

Probabilmente gli hoster saranno i più contenti se la cosa prenderà piede: solitamente, infatti, chi fa hosting vende anche certificati SSL, per poche decine di euro l’anno (che comunque sono spesso più del costo di certi piani hosting economici).

Col certificato, dovrai magari acquistare anche un IP statico, visto che mi risulta che ad ogni certificato può corrispondere un solo indirizzo IP (a meno di non avere un hoster che supporta SNI, estensione del protocollo TLS che però non lavora con browser molto vecchi).

E c’è già qualcuno che ipotizza che tramite Google Domains si potranno acquistare a breve anche certificati SSL… 🙂

Infine, l’installazione e la configurazione del tutto non è proprio “a prova di imbecille”, anche se Google ha promesso la pubblicazione di una guida dettagliata fra qualche settimana: non mi meraviglierei se nei prossimi giorni spuntassero un po’ ovunque offerte e pacchetti chiavi in mano del tipo “HTTPS/SSL per migliorare il tuo posizionamento sui motori”.

Cosa farò?

Personalmente ho deciso di stare a guardare l’evoluzione delle cose.

Non penso ci sia tutta questa necessità per un blog di avere un certificato SSL: non vendo nulla (direttamente), non sono un ecommerce, non sono una banca, non ho un’area riservata sul sito, sono solo uno che da anni pubblica contenuti di qualità (si spera!) e li rende fruibili gratuitamente, che pulisce giornalmente i commenti spammosi e che tiene sempre aggiornato il suo WordPress all’ultima versione.

Non credo che Google abbia bisogno che certi editori abbiano un sito sotto HTTPS per dargli una spintarella nelle SERP: ma se tutti salteranno sul carro, e quindi trarranno vantaggio dalla cosa, sarà necessario adeguarsi, volenti o nolenti.

UPDATE: in base ad uno studio pubblicato da Searchmetrics il 29 Agosto 2014, non sembra ci siano miglioramenti nel ranking su Google passando da HTTP a HTTPS:

Nessuna differenza di posizionamento fra HTTP e HTTPS

UPDATE n.2: durante un hangout del 26 Settembre 2014, John Mueller ha dichiarato:

“Non mi aspetterei di vedere alcun cambiamento passando da HTTP a HTTPS, solo grazie a quella modifica, e solo in ottica SEO. Questo tipo di effetto sul posizionamento è molto piccolo e molto sottile. Non è un qualcosa dove puoi vedere un miglioramento del ranking solo passando a HTTPS.

Credo che a lungo andare è sicuramente una buona idea, e ad un certo punto potrebbe diventare un fattore più forte – forse in futuro, fra qualche anno – ma al momento non vedrai nessun “vantaggio magico” dal punto di vista SEO nel farlo.

Detto questo, ogni volta che fai modifiche significative al tuo sito, che modifichi gli URL, avrai sicuramente delle fluttuazioni nel breve termine. Quindi è probabile che noterai qualche perdita di posizioni o altre cose mentre Google scansiona e indicizza nuovamente il tutto. Nel lungo periodo tornerà tutto come prima, non in una posizione più alta o qualcosa di simile.”

UPDATE n.3: Sembra proprio che Google voglia spingere quanti più webmaster possibili ad adottare HTTPS in tempi brevi. Da qualche giorno sta infatti girando questo avviso:

A partire da gennaio 2017, Chrome (versione 56 e versioni successive) contrassegnerà come “Non sicure” le pagine che raccolgono password o dati di carte di credito, a meno che le pagine vengano pubblicate tramite HTTPS.
Gli URL che seguono includono campi per l’inserimento di password e dati di carte di credito che attiveranno il nuovo avviso di Chrome. Esamina questi esempi per sapere dove verranno visualizzati questi avvisi e poter così adottare misure per proteggere i dati degli utenti.

Condividi su facebook
Facebook
Condividi su google
Google+
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn
Condividi su pinterest
Pinterest

7 Comments

  • A me non sembra un’iniziativa malvagia questa di Google, spero solo che i prezzi per la certificazione del dominio scenderanno un po.
    Sono completamente d’accordo con te sulla possibilità che tra qualche tempo inizieremo a vedere sul web la comparsa di offerte https che promettono di migliorare il posizionamento del tuo sito web.

  • Ma se si usa https poi come fai ad inserire i banner di adsense? Inserendo contenuti di altri domini, si “invalida” la protezione ssl.

  • @germantk qui: https://support.google.com/adsense/answer/10528?hl=it dice che non è più un problema: “Abbiamo aggiornato il codice dell’annuncio AdSense che ora supporta la pubblicazione protetta degli annunci tramite SSL (Secure Sockets Layer) sulle pagine web HTTPS (Hypertext Transfer Protocol Secure). Ciò significa che i publisher con siti protetti, ovvero siti che vengono pubblicati tramite il protocollo HTTPS, possono ora utilizzare il codice dell’annuncio AdSense per pubblicare annunci conformi allo standard SSL”.

  • Associare il concetto di sicurezza sul Web all’utilizzo di SSL, credo sia un pò una forzatura perché questo protocollo non protegge gli utenti che accedono a siti web contenenti malware e/o codice malevolo. Un po’ come curarsi della pagliuzza nell’occhio, quando poi ci si è conficcata una trave enorme.
    SSL, per sua stessa natura, serve esclusivamente a cifrare il flusso di informazioni tra client e server.
    Quindi, considerando lo scandalo del Datagate, non c’è livello di cifratura che tenga se “dall’alto” mi metto a “sniffare” il traffico su Layer 3.
    L’unico scenario sicuro (a prova di “guardone”) sarebbe il collegamento fisico end-to-end tra client e server, ma tutti sappiamo perfettamente che ciò sarebbe una chimera.

    Tecnicamente ci sarebbe anche un altro problema:

    1 certificato SSL = 1 IP

    Considerando che il RIPE ha iniziato a rilasciare l’ultima CIDR /8 circa due anni fa, la disponibilità di risorse IP libere (nella versione 4) è praticamente terminata.
    Piuttosto che pensare ad SSL, quando Google inizierà a premiare i siti web che usano IPv6?
    Se è già così, allora +1 per Google. 🙂

    Quanto al discorso relativo ai costi di un certificato SSL, il problema non si pone per due ragioni:

    1) Un certificato SSL economico (emesso da RapidSSL, GeoTrust e altre CA simili costa circa 10 € l’anno
    2) In alternativa si potrebbe tranquillamente utilizzare un certificato self-signed, grazie all’utilizzo di OpenSSL

    Resto comunque dell’idea che se non ho dati importanti da proteggere o non devo vendere online, SSL è piuttosto inutile.

    Chiedo venia per la lungaggine della risposta, un saluto a tutti! 🙂

  • Forse Google è convinto che quando dice una cosa del tipo “evolviamo il web” oppure “facciamo un web migliore”, tutti obbediscando. Come dice il @taglia, anche io non ne vedo l’urgenza ne il motivo per tutti quei siti/blog che non offrono transazioni dirette, acquisti e aree riservate. Tuttavia siccome in Italia ci sono milioni di “pecore”, sono convito che tutti ora compreranno i certificati, facendo la felicità degli hosting e magari sperando che il giorno dopo siano in prima posizione per le proprie keyword.
    Ora gli hosting iniziano a inviare mail a raffica sulle offerte di certificati a metà prezzo, quasi dandoti per spacciato se non lo acquisti!! Proprio stamattina ricevo la mail da un noto registrant che mi scrive:
    “La presenza del certificato SSL su un sito web è un fattore di ranking per Google: la notizia è stata pubblicata poche settimane fa e ha destato subito l’interesse dei SEO. Il protocollo SSL è importante per la sicurezza dei dati che gli utenti forniscono su e-commerce, servizi web e siti di prenotazione. Per tale motivo Google lo giudica positivamente: un sito sicuro per l’utente è un sito migliore per tutti. Vuoi proteggere i dati sensibili dei tuoi utenti? Vuoi offrire un servizio migliore e sicuro? Questo è il momento giusto: abbiamo riservato uno sconto del 50% per chi acquista i nostri certificati SSL e hosting HTTPS”

    In tutto questo SearchEngineLand mi fa davvero sorridere. Prima annuncia che l’https è un fattore di ranking per Google (vedi post qui: http://searchengineland.com/report-https-urls-discernible-ranking-benefit-google-currently-202350) e poi proprio una settimana fa afferma attraverso un post che riporta lo studio di Searchmetrics, che non hanno visto nessun beneficio dopo il cambio di urls in https (vedi post qui: http://searchengineland.com/report-https-urls-discernible-ranking-benefit-google-currently-202350)

    No caro Google, io non ci sto. Sinceramente spero che tutti prima o poi, abdicheremo verso altro motore di ricerca (bing?). IMHO Google sta facendo troppo lo sbruffone monopolizzando tutto.

  • Io credo che, da un punto di vista pratico, il fatto di far girare password in chiaro per la rete, tenendo conto che gran parte delle persone utilizza una password per tutti i servizi a cui è iscritta, non sia propriamente sicuro.
    Indipendentemente dal pensiero di Google, non è che sia proprio un male avere delle finestre di registrazione e login sotto https…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Max Valle

Max Valle

Da oltre 20 anni, fornisco consulenze per aziende e professionisti, che vogliono sviluppare il loro business, 
aumentando i clienti, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.

Seguimi sui social

Iscriviti alla Newsletter

Main sponsor

Sponsor

Scroll to Top

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web. Per maggiori informazioni visualizza la Privacy & Cookie policy