HTTPS è un segnale di ranking. Non ricordo altri casi – a parte quando, ad Aprile 2010, si parlò di velocità – in cui Google è stato così esplicito nel chiamare per nome e cognome un fattore di posizionamento, ma il 6 Agosto 2014 lo ha fatto per bocca di Zineb Ait Bahajji e Gary Illyes – 2 “Webmaster Trends Analyst” – sul Google Webmaster Central Blog, generando centinaia di reazioni e commenti all’interno della community SEO.
HTTPS as a ranking signal
Quello sopra è il titolo del post ufficiale, e quella qui sotto la mia traduzione integrale.
La sicurezza è una priorità assoluta per Google. Investiamo un sacco per fare in modo che i nostri servizi abbiano un livello di sicurezza ai massimi nel settore, come una forte crittografia HTTPS di default. Ciò significa che chi utilizza la ricerca, Gmail e Google Drive, per esempio, ha automaticamente una connessione sicura verso Google.
Oltre ai nostri prodotti, stiamo lavorando per rendere Internet più sicuro in senso più ampio. Una gran parte di questo lavoro è assicurarsi che i siti web ai quali accedono le persone attraverso Google, siano sicuri. Ad esempio, abbiamo creato delle risorse per aiutare i webmaster a prevenire e correggere violazioni riguardanti la sicurezza dei loro siti.
Ma ora vogliamo andare oltre. Al Google I/O di qualche mese fa, abbiamo parlato infatti di “HTTPS everywhere“ sul web.
Abbiamo anche notato che sempre più webmaster adottano HTTPS sui loro siti, e ciò è incoraggiante.
Per questi motivi, negli ultimi mesi abbiamo effettuato alcuni test tenendo conto se i siti utilizzavano connessioni sicure e crittate come un fattore di posizionamento per gli algoritmi di ricerca. Abbiamo visto dei risultati positivi, e quindi stiamo iniziando a utilizzare HTTPS come un segnale di ranking. Per ora è un segnale molto leggero – interessa meno dell’1% delle ricerche globali, e pertanto pesa meno rispetto ad altri segnali, come i contenuti di alta qualità – e daremo tempo ai webmaster per passare a HTTPS. Ma col tempo, potremmo decidere di rafforzare questo segnale, perché vorremmo incoraggiare tutti i proprietari di siti web a passare da HTTP a HTTPS, per fare in modo che tutti sul web siano sicuri.
Nelle prossime settimane, pubblicheremo dettagli pratici per rendere più semplice l’adozione di HTTPS, e per evitare gli errori più comuni. Questi i primi suggerimenti per iniziare:
- scegli il tipo di certificato di cui hai bisogno: singolo, multi-dominio, o wildcard
- usa certificati con chiave a 2048 bit
- usa URL relativi per le risorse che risiedono all’interno dello stesso dominio protetto
- usa protocol-relative URL per tutti gli altri domini
- consulta l’apposita guida di Google su come modificare l’indirizzo del tuo sito web
- non bloccare con il robots.txt la scansione del tuo sito HTTPS
- consenti l’indicizzazione delle tue pagine da parte dei motori, ove possibile. Evita il meta tag noindex
Se il tuo sito è già su HTTPS, puoi verificarne il livello di sicurezza e la configurazione con lo strumento di Qualys Lab. Se hai dubbi circa le prestazioni del tuo sito HTTPS, prova a dare un’occhiata a Is TLS fast yet?.
Un curioso precedente
Come ho detto all’inizio, l’unico parallelismo che mi viene in mente è quello di un post del 9 Aprile 2010, quando Amit Singhal e Matt Cutts dichiararono che da quel giorno la velocità di un sito faceva parte dei segnali dell’algoritmo di ranking.
Curiosamente, anche in quel caso i portavoce di Google erano 2, anche in quel caso diffusero il verbo tramite il Google Webmaster Central Blog, e anche in quel caso dissero che meno dell’1% delle ricerche era condizionata dal nuovo segnale.
Ci vollero comunque altri 3 anni per chiarire un po’ meglio la cosa, con una dichiarazione di Matt Cutts via video che arrivò nell’Agosto del 2013.
In quell’occasione Cutts disse che “a parità di fattori, se il tuo sito è molto, molto lento, Google può considerare la velocità di caricamento della pagina ai fini del ranking. Se tutte le altre cose sono uguali, il sito può posizionarsi peggio.”
Metterei i 2 segnali, velocità e sicurezza, sullo stesso piano: sono entrambi fattori “tecnici”, sulla carta sono molto importanti per Google, ma hanno ancora una modesta influenza ai fini del posizionamento sul motore. Almeno fino ad oggi…
Perché proprio la sicurezza?
Google ha a cuore la sicurezza dei siti web, semplicemente perché non può permettersi di “consigliare” ai suoi utenti un sito compromesso da spam o peggio da malware: ne va della sua fama, del suo brand, del suo futuro.
Google deve fare in modo di indirizzare gli utenti verso pagine di qualità e prive di ogni genere di “pericolo”. E questa cosa costa un sacco, sia come soldi che come risorse umane.
Spostando parte del “problema” sui webmaster, dando loro un piccolo contentino (=lieve miglioramento del ranking), e facendo intendere che la cosa avrà maggior peso in futuro (=“col tempo, potremmo decidere di rafforzare questo segnale”), Google si alleggerisce di una parte del carico, e in prospettiva anche di una parte dei costi.
Le implicazioni
L’HTTPS è un fattore di posizionamento.
Probabilmente gli hoster saranno i più contenti se la cosa prenderà piede: solitamente, infatti, chi fa hosting vende anche certificati SSL, per poche decine di euro l’anno (che comunque sono spesso più del costo di certi piani hosting economici).
Col certificato, dovrai magari acquistare anche un IP statico, visto che mi risulta che ad ogni certificato può corrispondere un solo indirizzo IP (a meno di non avere un hoster che supporta SNI, estensione del protocollo TLS che però non lavora con browser molto vecchi).
E c’è già qualcuno che ipotizza che tramite Google Domains si potranno acquistare a breve anche certificati SSL…
Infine, l’installazione e la configurazione del tutto non è proprio “a prova di imbecille”, anche se Google ha promesso la pubblicazione di una guida dettagliata fra qualche settimana: non mi meraviglierei se nei prossimi giorni spuntassero un po’ ovunque offerte e pacchetti chiavi in mano del tipo “HTTPS/SSL per migliorare il tuo posizionamento sui motori”.
Cosa farò?
Personalmente ho deciso di stare a guardare l’evoluzione delle cose.
Non penso ci sia tutta questa necessità per un blog di avere un certificato SSL: non vendo nulla (direttamente), non sono un ecommerce, non sono una banca, non ho un’area riservata sul sito, sono solo uno che da anni pubblica contenuti di qualità (si spera!) e li rende fruibili gratuitamente, che pulisce giornalmente i commenti spammosi e che tiene sempre aggiornato il suo WordPress all’ultima versione.
Non credo che Google abbia bisogno che certi editori abbiano un sito sotto HTTPS per dargli una spintarella nelle SERP: ma se tutti salteranno sul carro, e quindi trarranno vantaggio dalla cosa, sarà necessario adeguarsi, volenti o nolenti.
UPDATE: in base ad uno studio pubblicato da Searchmetrics il 29 Agosto 2014, non sembra ci siano miglioramenti nel ranking su Google passando da HTTP a HTTPS:
UPDATE n.2: durante un hangout del 26 Settembre 2014, John Mueller ha dichiarato:
“Non mi aspetterei di vedere alcun cambiamento passando da HTTP a HTTPS, solo grazie a quella modifica, e solo in ottica SEO. Questo tipo di effetto sul posizionamento è molto piccolo e molto sottile. Non è un qualcosa dove puoi vedere un miglioramento del ranking solo passando a HTTPS.
Credo che a lungo andare è sicuramente una buona idea, e ad un certo punto potrebbe diventare un fattore più forte – forse in futuro, fra qualche anno – ma al momento non vedrai nessun “vantaggio magico” dal punto di vista SEO nel farlo.
Detto questo, ogni volta che fai modifiche significative al tuo sito, che modifichi gli URL, avrai sicuramente delle fluttuazioni nel breve termine. Quindi è probabile che noterai qualche perdita di posizioni o altre cose mentre Google scansiona e indicizza nuovamente il tutto. Nel lungo periodo tornerà tutto come prima, non in una posizione più alta o qualcosa di simile.”
UPDATE n.3: Sembra proprio che Google voglia spingere quanti più webmaster possibili ad adottare HTTPS in tempi brevi. Da qualche giorno sta infatti girando questo avviso:
A partire da gennaio 2017, Chrome (versione 56 e versioni successive) contrassegnerà come “Non sicure” le pagine che raccolgono password o dati di carte di credito, a meno che le pagine vengano pubblicate tramite HTTPS.
Gli URL che seguono includono campi per l’inserimento di password e dati di carte di credito che attiveranno il nuovo avviso di Chrome. Esamina questi esempi per sapere dove verranno visualizzati questi avvisi e poter così adottare misure per proteggere i dati degli utenti.
