servito per preparare il terreno al grande annuncio che è arrivato l’8 Settembre 2016 direttamente sul Google Security Blog: con il rilascio di Chrome 56 (1 Gennaio 2017) i siti in HTTP verranno contrassegnati dallo stesso browser come “non sicuri”, informazione che sarà ben visibile agli utenti che navigano su questi siti e che costituirà una forte penalizzazione per i siti stessi.
Partiamo dalle definizioni di base e proseguiamo poi nell’analisi dei vari step che, negli ultimi 6 anni, hanno portato Google a prendere questa importante decisione.
Che cos’è il protocollo HTTPS?
Continuiamo citando direttamente la fonte primaria, ovvero Google e la sua guida dedicata ai webmaster:
“HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati degli utenti scambiati tra i computer e i siti. Ad esempio, quando un utente inserisce dati in un modulo sul tuo sito per iscriversi ad aggiornamenti o per acquistare un prodotto, HTTPS protegge le informazioni personali dell’utente fornite da quest’ultimo al sito. Gli utenti si aspettano di poter fornire dati tramite un sito web in sicurezza […].
I dati inviati tramite HTTPS vengono protetti tramite il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione fondamentali:
Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni
Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati
Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.”
Ora facciamo un breve riepilogo di tutti i passaggi più significativi che hanno portato alla decisione che verrà implementata a partire dal prossimo anno.
Per Google il tema della sicurezza è sempre stato assolutamente fondamentale. Fin dal 2010, infatti, hanno introdotto di default il protocollo HTTPS all’interno di Gmail e in molti altri loro servizi (SSL Search, Docs e Google+). Principalmente questo significa che tutte le persone che utilizzano la Ricerca su Google, la mail su Gmail e la condivisione di Google Drive, per esempio, hanno automaticamente accesso ad una connessione sicura direttamente con Google.
Big G però non si è fermato a questo. Ad Agosto 2014, con un post sul Blog dedicato ai Webmaster, dichiarano infatti che il loro intento è quello di lavorare affinché il vasto mondo di Internet diventi un posto più sicuro a livello generale. Una grossa parte di questo obiettivo è fare in modo che i siti web accessibili tramite Google siano sicuri. Per raggiungere questo obiettivo è stata creata una vera e propria guida dedicata ai webmaster che, tra i tanti argomenti trattati, spiega loro anche come sistemare ed evitare errori di sicurezza nei loro siti.
HTTPS Everywhere
Nello stesso anno, durante la conferenza Google I/O (la conferenza annuale che si tiene a San Francisco rivolta a sviluppatori web e incentrata sullo sviluppo di applicazioni web e mobile), Ilya Grigorik (web performance engineer) e Pierre Far (Senior webmaster trends analyst) hanno tenuto un talk dedicato interamente alla sicurezza nel web, dal titolo “HTTPS everywhere”. In sintesi, durante questo intervento i due esperti hanno cercato di convincere i presenti che tutte le comunicazioni dovrebbero avvenire in maniera sicura di default. Durante l’intervento è stata più volte sottolineata l’importanza di proteggere la sicurezza, la privacy e l’integrità dei dati degli utenti. Una vera e propria lezione guidata su come rendere sicuri i propri siti web di default indicando quali tecnologie sono necessarie allo scopo, le configurazioni e le best practices da seguire su come migrare un sito in HTTPS e renderlo “user and search friendly”.
Guida all’utilizzo di HTTPS
I primi test per inserire nell’algoritmo dei risultati di ricerca l’utilizzo del protocollo HTTPS come fattore di indicizzazione sono iniziati proprio nel 2014. All’epoca questo fattore influenzava meno dell’1% delle query globali e aveva sicuramente un peso minore rispetto ad altri fattori, primo fra tutti il contenuto di elevata qualità. Per incoraggiare l’uso del protocollo HTTPS tra i webmaster ecco che compare la guida alle “Best Practice per l’utilizzo di HTTPS” direttamente disponibile nell’Help Center di Google. La guida contiene tutte le indicazioni necessarie per ottimizzare l’utilizzo del protocollo HTTPS, ma soprattutto le istruzioni per migrare il proprio sito da HTTP a HTTPS. Tra l’elenco delle best practice, abbiamo deciso di citarne alcune:
- Richiedere un certificato SSL per il sito web scegliendo tra i certificati dedicati, multi-dominio o wildcard (si consiglia l’utilizzo di certificati con chiave a 2048-bit) e installare il certificato SSL scelto sul server web.
- Reindirizzare gli utenti e i motori di ricerca alla pagina HTTPS o alla risorsa utilizzando un redirect 301 lato server. [vedi anche la guida “Spostamento di un sito con modifiche agli URL”]
- Non bloccare il sito in HTTPS usando il file robots.txt
Ovviamente questi sono solo alcuni dei punti da seguire per ottimizzare al meglio il proprio sito web in HTTPS e migliorarne quindi l’indicizzazione e la reputazione.
Certificato SSL
Soffermiamoci un momento sulla questione Certificato SSL, che riguarda noi di Colt Engine (Joomlahost e Dnshosting) molto da vicino. Abbiamo visto che, per poter criptare la navigazione e renderla sicura per gli utenti, un sito web deve installare un certificato valido che viene poi presentato al browser durante la navigazione e che ne conferma lo stato di sito sicuro. I certificati necessari per questo tipo di operazione vengono rilasciati da un’autorità di certificazione attendibile (CA). Google ha deciso di avviare un progetto specifico dedicato proprio ai certificati e alle autorità di certificazione, il progetto Certificate Transparency, “ideato per proteggere il processo di emissione dei certificati offrendo un framework aperto per il monitoraggio e il controllo dei certificati HTTPS”. Sul sito ufficiale del progetto ne viene indicato lo scopo principale: “il progetto corregge diversi difetti strutturali del sistema di certificati SSL […] Questi difetti indeboliscono l’affidabilità e l’efficacia delle connessioni e possono compromettere i critici meccanismi TLS/SSL, tra i quali la convalida del dominio, la crittografia end-to-end e le catene di fiducia istituite dalle autorità di certificazione. Se non controllati, questi difetti possono facilitare una vasta gamma di attacchi di sicurezza […]”. Il progetto Certificate Transparency permette di identificare i certificati SSL non validi e, soprattutto, individuare le autorità di certificazione fraudolente per proteggere gli utenti da siti web non sicuri. E’ chiaro quindi che Google ha come obiettivo quello di proteggere gli utenti durante la loro navigazione sul web, a costo di penalizzare i siti web che non rispettano determinate caratteristiche. Nella sezione dedicata al progetto Certificate Transparency presente nel Rapporto sulla Trasparenza, Google invita tutte le CA a scrivere i certificati emessi in uno specifico log a prova di manomissione. “In futuro, Chrome e altri browser potrebbero decidere di non accettare i certificati che non sono stati scritti in questi tipi di log”.
L’importanza di avere un certificato SSL installato correttamente sul proprio sito web, permette quindi al sito stesso di dare una garanzia di sicurezza ai propri utenti, fatto che Google apprezza moltissimo ripagando il sito con una buona indicizzazione e una serie di funzionalità che vedremo più avanti nel dettaglio.
HTTPS come fattore di ranking
Proseguiamo il nostro viaggio attraverso la graduale implementazione del protocollo HTTPS come fattore rilevante nel ranking di un sito web nell’algoritmo di Google. Nel 2015 il sistema di indicizzazione di Google è stato “ricalibrato” in modo da ricercare quante più pagine HTTPS possibili. Nello specifico il crawl di Google ha iniziato a cercare tutti quei URL apparentemente identici ma serviti in realtà dai due diversi protocolli ed è stato deciso di prediligere l’indicizzazione delle pagine in HTTPS se queste:
- non contenevano dipendenze non-sicure
- non erano bloccate dal file robots.txt
- non reindirizzavano gli utenti verso una pagina HTTP
- non contenevano un link rel=”canonical” verso la pagina in HTTP
- non contenevano il meta tag noindex
In aggiunta a queste caratteristiche, il crawl di Google ha iniziato a valutare la presenza di un certificato SSL valido e correttamente installato sul server e la presenza di URL con HTTPS nella sitemap del sito.
Attraverso questa review dell’algoritmo, Google ha iniziato a indicizzare le pagine gestite in HTTPS di default privilegiandone il posizionamento rispetto alle loro versioni in HTTP.
Oggi, oltre il 50% delle pagine web sono in HTTPS
Arriviamo quindi a quello che sta accadendo oggi, nello specifico ci riferiamo ad un articolo comparso il 3 Novembre sul Google Security Blog. In sintesi, in questa bloggata scritta dal Chrome Security Team, si fa riferimento al fatto che “un web con HTTPS onnipresente non è un’ipotesi così lontana. Sta succedendo già adesso, soprattutto per chi utilizza Chrome che offre la navigazione sicura come standard”. Nello stesso giorno di pubblicazione di questo articolo, è stata aggiunta una nuova sezione interamente dedicata al protocollo HTTPS nel Transparency Report di Google (un insieme di dati che chiariscono l’influenza di leggi e norme sugli utenti di Internet e sul flusso di informazioni online).
“Più della metà delle pagine caricate e due terzi del tempo totale degli utenti desktop di Chrome avviene attraverso HTTPS, e ci aspettiamo che questi numeri continueranno la loro rapida traiettoria di crescita”.
All’interno del Rapporto sulla Trasparenza viene esplicitamente dichiarata la volontà di Google di “criptare completamente i suoi prodotti e servizi”.
“Stiamo cercando di implementare HTTPS su tutti i nostri prodotti. Nel mese di marzo del 2014 abbiamo annunciato l’utilizzo esclusivo di HTTPS per Gmail. Ci stiamo adoperando per superare le barriere tecniche che complicano il supporto della crittografia su alcuni dei nostri prodotti”, questa la dichiarazione presa direttamente dal documento con tanto di grafico a supporto, che evidenzia il traffico suddiviso per prodotto specifico:
Per incentivare le migrazioni dei siti da HTTP a HTTPS sono state aggiunte nuove funzionalità all’utilizzo di questo protocollo, al di là della maggiore sicurezza. Oltre ad offrire le migliori prestazioni web, HTTPS offre potenti funzionalità che beneficiano le conversioni su un sito, tra le quali: Service Workers per il supporto offline e le Web Push Notifications. Oltre alle già esistenti funzionalità come l’autocompilazione dei dati della carta di credito e le API di geolocalizzazione in HTML5, funzionalità troppo potenti per essere utilizzate con una navigazione non sicura in HTTP.
Per aiutare gli utenti nella navigazione sicura sul web, lo stesso Chrome ha sempre indicato le connessioni sicure attraverso l’utilizzo di un’icona nella barra degli indirizzi. Fino ad oggi il browser di Google non ha mai esplicitamente indicato le connessioni HTTP come non sicure, ma come abbiamo detto all’inizio del nostro articolo, a partire da Gennaio 2017 con Chrome 56, questo non sarà più vero: tutte le pagine in HTTP che contengono campi di inserimento password o dati delle carte di credito verranno chiaramente marcate come non sicure. Google stesso ha dichiarato che questa prima operazione sarà solo una parte di un piano a lungo termine che ha come scopo finale quello di marcare come non sicuri tutti i siti in HTTP.
Un altro aspetto di questo piano a lungo termine risiede nello studio delle nuove icone che verranno proprio utilizzate dal nuovo Chrome 56 per indicare la mancanza di sicurezza nel momento in cui si utilizza una connessione HTTP su un sito web. Recenti studi dimostrano infatti che gli utenti non percepiscono la non presenza di un’icona di sicurezza come un allarme e, inoltre, diventano anche assuefatti agli avvisi e agli avvertimenti che compaiono troppo di frequente. Queste considerazioni sono oggetto del paper “Rethinking Connection Security Indicators” presentato in occasione del Dodicesimo Simposio sulla Privacy e Sicurezza Usabili (22-24 Giugno 2016 – Denver USA). All’interno di questa ricerca è stata proposta una nuova serie di indicatori di sicurezza del browser, sulla base di una ricerca svolta tra gli utenti e la comprensione delle sfide di design affrontate dai diversi browser. Per motivare la necessità di realizzare dei nuovi indicatori di sicurezza sono stati evidenziati tutti i punti di debolezza delle icone attuali sulla base di un’intervista ad un campione di 1329 persone sugli attuali indicatori utilizzati da Google Chrome. Sono state individuate 40 icone sulle quali è stata svolta un’intervista per valutarne la percezione. In ultima analisi, sono stati selezionati 3 indicatori specifici per la segnalazione di sicurezza e mancanza di sicurezza su un sito web: “i nostri indicatori proposti sono stati adottati da Google Chrome, e speriamo di motivare anche gli altri browser ad aggiornare i loro”, così si conclude l’abstract del paper che sottolinea appunto come la percezione da parte degli utenti sia un fattore assolutamente fondamentale per spingere i webmaster a migrare i loro siti web sul protocollo HTTPS al fine di offrire un servizio migliore agli utenti stessi.
I dati sull’aumento del traffico verso pagine HTTPS, lo studio della percezione di icone più significative per segnalare la sicurezza (o la mancanza di essa) in un sito web, l’implementazione su tutti i prodotti Google e l’aggiunta di funzionalità utili ai fini commerciali, fanno chiaramente capire l’entità dell’investimento verso la trasformazione del web in un luogo più sicuro per gli utenti. Così come, altrettanto chiaramente, si evince l’intenzione di penalizzare tutti i siti che continueranno ad utilizzare il protocollo non sicuro HTTP.
Elaborate queste considerazioni, concludiamo questa panoramica sul protocollo di sicurezza HTTPS con un doveroso accenno al servizio di Hosting che ospita il tuo sito web. Tra le tante opportunità che ci sono attualmente sul mercato, dopo aver letto questo articolo, avrete colto l’importanza di scegliere un Hosting Service Provider che vi dia la possibilità di aggiungere, già in fase di acquisto del vostro servizio, un Certificato SSL valido che vi permetta di creare la versione HTTPS del vostro sito web. Come in molti casi analoghi a questo vale sempre la regola del “prevenire è meglio che curare” e agire per tempo può dare al vostro sito web una spinta in più per scalare posizionamenti nei risultati di ricerca, soprattutto di Google.
E voi avete già migrato il vostro sito web a HTTPS?