Per chi ancora non lo sapesse, Google Chrome ha alzato un putiferio dichiarando che da gennaio 2017 i siti http non protetti da certificato SSL verranno indicati tutti come “non sicuri” nella barra di navigazione.
Cosa significa? All’atto pratico i siti che usano il protocollo https per le transazioni online e che già dispongono di certificati SSL adeguati sono indicati come “sicuri” nella barra di navigazione con lucchetto verde chiuso e tag “Sicuro“. Quelli che non ce l’hanno sono preceduti da una “i” cerchiata, cliccando sulla quale si viene informati che il sito su cui si sta navigando non è sicuro e che non bisognerebbe rilasciare informazioni personali come mail, telefono, etc.
Quanti utenti sapranno mai cosa significa e cliccheranno sulla “i”? Quanti noteranno la differenza? Una piccola percentuale, ma non è questo che ci preoccupa.
Infatti sembra che il motore di ricerca di Google dal lato SEO, così come ha fatto per i siti mobile friendly, favorirà la visibilità dei siti protetti con https. Questo ha portato ad una corsa ai certificati SSL senza sapere di cosa si tratta.
Cos’è il certificato SSL
Non mi dilungo perché ci sono già adeguate guide online, e ve le segnalo:
https://sos-wp.it/guida-introduttiva-https-certificati-ssl/
Ma riassumendo, esistono diversi livelli di certificato che permettono di rendere sicuro il nostro sito. Quello che ci mette in pari con le richieste di Google è il DV, Domain Validation ed è quello basilare.
Altri tipi di certificati di livello maggiore, che costano anche diverse centinaia di euro, sono invece rivolti ad un tipo di protezione maggiore e servono principalmente per sistemi di pagamento online, e-commerce, etc.
I certificati possono essere prodotti autonomamente (con Let’s Encrypt, che va però aggiornato ogni 3 mesi) e poi installati sul proprio hosting per permettere poi la migrazione da http a https, ma non tutti gli hosting permettono questa operazione.
Altri invece offrono il livello base gratuitamente, ma a seconda della tecnologia adottata permettono una maggiore o inferiore compatibilità del sito con sistemi e browser. Significa che ci sbattiamo tanto per avere retroattività di visualizzazione su certi browser e sistemi e poi scopriamo che se adottiamo il certificato SSL sbagliato rischiamo che su alcuni browser il sito non solo non si veda, ma venga contrassegnato come NON SICURO, ma non come il semplice http, bensì con l’avviso in piena pagina di sito non protetto, bloccando completamente l’accesso al sito. Gravissimo.
La mia limitata analisi si rivolge ai tre hosting che conosco meglio:
ARUBA
Offre gratuitamente il certificato base, rinnovabile automaticamente ogni anno, ma non è prodotto con Let’s Encrypt che offre la maggiore compatibilità con sistemi e browser. Lasciando così fuori una discreta fetta di utenti che navigano su Android inferiore alla 4.4.3 e IOS 7. Questo non è poi così infrequente come potreste pensare. Io stessa ho un iPad con IOS 6 che sarebbe inevitabilmente tagliato fuori dalla navigazione di alcuni siti che hanno attivo l’https ma paradossalmente sono evidenziati come pericolosi e bloccati. A quel punto meglio lasciare il sito in http e aspettare di migrare il sito altrove, visto che non è possibile installarsi autonomamente Let’s Encrypt.
Va da sé che un e-commerce (che ha bisogno di certificati SSL di livello superiore) su Aruba non ci può stare, al di là delle prestazioni che già di per sé comportano valutare un’alternativa.
SOLUZIONI HOSTING.IT
Tramite il loro pannello è possibile caricare i propri certificati SSL a qualsiasi livello. In alternativa è possibile fare richiesta a pagamento del certificato base ad un costo di circa 30€ l’anno. Per certificati superiori i costi aumentano, ma sono disponibili.
SITEGROUND
Offre gratuitamente il certificato base che è sviluppato con Let’s Encrypt (maggiore compatibilità), permette il caricamento di certificati propri ma dà anche accesso alla SSH/SHELL per poter lavorare direttamente sulla macchina per creare il proprio certificato.
Fatevi i vostri conti con i vari piani di hosting, prestazioni, etc e ciascuno tragga le proprie conclusioni.
Vi lascio infine una guida che vi permette di monitorare anche il passaggio dal punto di vista SEO e fare gli opportuni test:
Migrare da http a https: la guida tecnica completa ad SSL per il tuo sito