Sono passati quasi dieci anni dal mio primo e ultimo – fino ad oggi – guest post sul blog di Davide, da allora ne è passata di acqua sotto i ponti e algoritmi di Google. Oggi se controllo il mio Google Analytics degli ultimi trenta giorni trovo quasi 250.000.000 di pagine viste – con MovingUp infatti aiutiamo editori a aumentare il traffico dei loro siti web per incrementare le performance da ADV che è il nostro Core Business. (Le cause/effetto della vita sono così strambe che mi piace sempre raccontare come uno dei lettori di quell’articolo di allora, Marco Valenti, mi contattò perché incuriosito della storia e oggi – dopo quasi dieci anni – è proprio il fonder di MovingUp Srl).
In questi anni ho scoperto una semplice regola: agli editori bisogna saper spiegare bene le cose per fargliele capire e aiutarli a comportarsi di conseguenza, ad ogni aggiornamento di Google siamo lì che proviamo a trovare le soluzioni migliori per assecondare i cambiamenti e qualche volta per correre ai ripari. Quello che sta accadendo con la scelta scellerata di Google/Chrome di segnalare i siti web senza HTTPS come non sicuri è una di quelle cose che bisogna spiegarle per bene e quando vengono capite, il commento è sempre lo stesso: “ma che cazzata è?” nelle diverse declinazioni linguistiche locali.
Ma andiamo per ordine. Qualche tempo fa Google ha segnalato che nell’ultima versione del suo browser Chrome, sarebbero stati mostrati degli alert ai visitatori in cui sarebbe stato detto in maniera allarmante, che se approdavano su un sito web senza HTTPS, avrebbe mostrato un messaggio funesto, del tipo: “Ehy, attenzione che questo sito non è sicuro!”. Gli utenti del web non sono meno sospettosi delle persone off line, anzi, essendo un fenomeno relativamente giovane in Italia (è vero, molte persone hanno scoperto le magnificenze del web grazie a Facebook) le remore e paure dell’ignoto hacker che vuole rubare i dati dei punti del Carrefour sono dietro l’angolo, ma anche i dati delle carte di credito, certo.
Cosa è l’HTTPS?
Ho preso il primo sito che mi è capitato di trovare su Google che vende certificati SSL e cito testualmente:
Quando un browser tenta di accedere a un sito web, normalmente la connessione tra i due funziona in chiaro: di conseguenza è tecnicamente possibile, per un utente terzo, effettuare una procedura di “sniffing” o spionaggio dei dati tramite un attacco man-in-the-middle.
Per arginare questi rischi, le transazioni online vengono solitamente protette con il protocollo SSL, che garantisce protezioni da eventuali letture esterne non autorizzate…
(tratto dalla pagina di vendita dei certificati SSL di Keliweb.it, potete leggere sul loro sito il resto della descrizione e le caratteristiche).
Tornando a noi, dopo la comunicazione di Google, una decina di giorni fa circa, arriva un messaggio da Google Search Console: “Hey, tu che non usi un protocollo HTTPS sui tuoi siti sai che faccio ora con Chrome? Dico a tutti che rubi, spacci e sei uno zozzone. Abbiamo addirittura trovato queste 4 pagine web del tuo sito in cui ti si vede con il passamontagna pronto a rubare i dati sensibilissimi degli utenti.”
Ovviamente il contenuto non era questo, ma il senso decisamente sì.
Controllando le URL riportate nel messaggi, non ho trovato nessun tipo di raccolta di dati sensibili. Era un articolo di un giornale online, testo, immagini, qualche adv e lo spazio per i commenti alla notizia.
Commenti alla notizia. State capendo cosa per Google è così rischioso da far transare senza HTTPS? Il nome utente e la mail per poter mettere un commento all’interno di una pagina.
Starà esagerando, ho pensato e così prima che mi segnalasse altri siti di editori che seguo, ho provato a sperimentare soluzioni alternative ai commenti, come ad esempio l’utilizzo dei commenti di Facebook.
Puntuale come uno spigolo di un letto sul mignolo di un piede, arriva dopo qualche giorno la segnalazione proprio per quel sito sui cui avevo cambiato gestione dei commenti. E anche li, stessa lamentela: “Hey, ancora a cercare di rubare dati sensibilissimi ai miei utenti?” Eppure su quelle pagine non c’è assolutamente nulla di sensibile.
Tecnicamente credo che stia successo questo, per Google ogni FORM è un possibile punto di accesso per uno scippatore in Vespa 50 truccata davanti ad un Ufficio Postale.
Appena un numero sensibile di utenti aggiornerà la propria versione di Chrome potremmo cominciare a tracciare un calo importante di visitatori, se non ci adeguiamo a quanto richiesto da Zio Sam Google.
HTTPS e Ranking cosa c’entrano?
Ricordo come fosse ieri il test effettuato da Cesarino Morellato (purtroppo scomparso poche settimane fa e a cui la comunità SEO italiana deve molto, Ciao DAO Daddy!) e Andrea Scarpetta in cui dimostrarono che il click-through rate in SERP influenzava il ranking di un sito. Perché cito questo esempio? Perché il comportamento degli utenti su un sito sta diventando sempre più fattore di ranking, non più solo contenuto, non più solo parte tecnica e codice, ma anche esperienza degli utenti.
Qual è la mia misera considerazione?
Che per una cazzata dal punto di vista logico (sacrosanta sicurezza degli utenti, ma non su un portale che non raccoglie dati sensibili ma solo un form dei commenti!) le conseguenze per chi non si adeguerà sarà inevitabilmente un calo sul ranking, non diretto come da sempre si prodigano quelli di Google a dire: “Nooo, tranquilli che HTTPS o HTTP per il ranking è uguale..” ma indiretto.
Un utente che non accede ad un sito perché ha una segnalazione da Google che non è sicuro, riduce inevitabilmente il traffico e l’esperienza su quel sito.
Implementare un certificato SSL non è certo una spesa esorbitante, con poche decine di euro o addirittura gratis è possibile ottenerlo, ma più che una questione di costi è la logica applicata da Google che fa acqua da tutte le parti.
Autore: Alessandro Giagnoli, per il TagliaBlog.
