A partire dall’agosto 2014 Google ha iniziato a considerare l’HTTPS come un fattore di posizionamento. Se un sito web utilizza esclusivamente il protocollo HTTPS potrebbe ottenere un piccolo vantaggio da Google. Ciò significa che l’HTTPS è soltanto un debole fattore di Ranking.
- Che cos'è l'HTTPS?
- Come rilevare una connessione criptata HTTPS nel browser?
- Su cosa si basa l'HTTPS Ranking Factor Update?
- Esempi di certificati SSL non convalidati nel browser
- SISTRIX chiede a Google: il segnale di ranking SSL
- Video esplicativo di John Müller (Google) sull'argomento
- Ulteriori informazioni sull'argomento
Che cos’è l’HTTPS?
L’HTTPS è, al pari del protocollo HTTP, un protocollo di comunicazione per trasmettere dati attraverso internet. Ciò che lo distingue dal protocollo HTTP è la trasmissione di dati criptata attraverso l’SSL/TLS, che è anch’esso un protocollo di crittografia.
Senza la crittografia, tutti i dati trasmessi attraverso internet possono essere letti in modo trasparente e sono a rischio di manipolazioni o modifiche da terze parti. Se i webmaster utilizzano il cosiddetto certificato SSL per permettere l’accesso ai propri siti tramite l’HTTPS, tutte le comunicazioni e le interazioni sul sito web vengono criptate prima di essere inviate.
Come rilevare una connessione criptata HTTPS nel browser?
Generalmente puoi rilevare una connessione criptata HTTPS guardando la barra dell’indirizzo, che riporterà un simbolo di lucchetto in verde e la dicitura della versione di protocollo “HTTPS”.
Lo screenshot di cui sopra mostra i domini di due banche: Santander.co.uk, la Santander Consumer Bank, e db.com, la Deutsche Bank.
- All’apertura del dominio santander.co.uk, l’utente viene indirizzato all’URL http://www.santander.co.uk/uk/index – il quale non è criptato.
- All’apertura del dominio db.com, l’utente viene indirizzato all’URL https://www.db.com/index_e.htm – una connessione sicura.
Su cosa si basa l’HTTPS Ranking Factor Update?
L’HTTPS Ranking Factor Update è un algoritmo indipendente e non parte del Google Panda Update. Esso viene utilizzato a livello dell’Indice di ricerca o dei dati indicizzati di un dominio, e lavora basandosi sugli URL.
Per rendere un sito disponibile attraverso il protocollo HTTPS si dovrà utilizzare il cosiddetto certificato SSL, facendo attenzione ad usare un certificato con una crittografia a 2048 bit (o superiore).
Il certificato SSL deve essere rilasciato da un’autorità di certificazione autenticata (chiamata anche CA). A Google non importa, il più delle volte, se un certificato copre un solo sito web o un’intera organizzazione.
Nota bene: il browser deve essere in grado di convalidare il certificato in uso. La presenza di avvisi verrà considerato un segnale negativo per Google, che non conteggerà il “bonus” dato da questo fattore di posizionamento.
Esempi di certificati SSL non convalidati nel browser
In entrambi i casi appena mostrati, il certificato SSL non viene convalidato all’interno del browser, per cui Google non offrirà alcun “bonus” per la connessione HTTPS.
- A sinistra: un certificato SSL (auto-firmato) la cui identità non può essere confermata.
- A destra: un certificato SSL convalidato da un CA. La sua identità è confermata. Tuttavia, non tutte le risorse vengono trasmesse attraverso una connessione sicura, il che si traduce con un potenziale problema di sicurezza. Il browser quindi non convaliderà questo certificato.
SISTRIX chiede a Google: il segnale di ranking SSL
SSL: Google tiene in considerazione il tipo di certificato SSL utilizzato? Per esempio: auto-firmato, convalidato da un dominio o da un’organizzazione. E riguardo ai certificati SSL “gratuiti”? Hanno qualche valenza? Hanno un qualche “peso” secondo il nuovo debole segnale di posizionamento?
– Rene Dhemant, SISTRIX
Video esplicativo di John Müller (Google) sull’argomento
Ulteriori informazioni sull’argomento vengono fornite da John Müller in un altro Google Webmaster Hangout:
Se un sito web non ha reindirizzamenti 301 e può essere raggiunto sia via HTTP che HTTPS, ma la connessione criptata non viene convalidata nel browser, allora Google indicizzerà solo la versione HTTP.
Cosa dice Google?
Il fatto che un sito sia indicizzato come HTTPS e possieda un certificato valido sarà da noi ritenuto abbastanza per affidargli il debole segnale di ranking corrispondente.
Fonte: John Mueller
Ulteriori informazioni sull’argomento
SISTRIX