I 3 passaggi più importanti nella migrazione HTTPS di un sito web

Se hai lavorato su un sito web negli ultimi 5 anni, è quasi certo che tu abbia sentito parlare di HTTPS. HTTPS è il nuovo protocollo Internet promettente, che rende il Web più sicuro per tutti gli utenti. È anche una delle tendenze di Internet in più rapida crescita, poiché il numero di siti HTTPS è raddoppiato nel 2016.

Abbiamo lavorato con diversi clienti per implementare HTTPS sui loro siti e, nel processo, abbiamo imparato a risolvere molti dei problemi che una migrazione HTTPS può creare. La nostra guida per una migrazione HTTPS senza interruzioni è di seguito, ma prima, una panoramica:

Che cos'è HTTPS?

Per chiunque non abbia familiarità con HTTPS, ecco una panoramica di base del processo: durante la navigazione sul Web, il contenuto viene comunicato tramite un "Hypertext Transfer Protocol". Questo è il prefisso "HTTP" che vedi all'inizio di un URL ( http://www.example.com ) ed è ciò che consente a server e client di comunicare e visualizzare contenuti Internet.

HTTPS è una versione più sicura del protocollo HTTP. Aggiunge un certificato di sicurezza SSL alla comunicazione server/client, che assicura che le informazioni sensibili come password e informazioni sulla carta di credito non possano essere rubate da malintenzionati mentre viaggiano tra il server e il computer di un utente. Ancora più importante, aggiunge un chiaro indicatore per gli utenti che il tuo sito è sicuro e protetto:

In linea di principio, la migrazione a HTTPS è semplice come aggiungere un certificato SSL al tuo sito web. In pratica, questo può essere un processo noioso ed estenuante. Il Washington Post ha descritto la loro migrazione di 10 mesi nel 2015, spiegando ciascuno dei vari problemi e ostacoli che hanno incontrato.

Per aggiungere un certificato SSL a un sito, devi prima ottenere un certificato, quindi applicarlo all'intero sito e quindi mantenerlo per assicurarti che non scada o non scada in futuro. Per i siti più grandi, in particolare quelli con una piattaforma di e-commerce o un portale di accesso, questo può essere un processo molto estenuante. Inoltre, corri il rischio di un calo del traffico e del ranking delle parole chiave da temporaneo a permanente, come il calo organico dell'11% di Moz in oltre 3 mesi.

Perché mi interessa HTTPS?

Google è stato uno dei più strenui sostenitori dell'adozione di HTTPS da parte dei siti Web già nel 2014 e per una buona ragione. Avere un Web più sicuro rende la vita di tutti i giorni infinitamente più facile per la stragrande maggioranza degli utenti di Internet. Quanti di voi esiterebbero a fare acquisti su Amazon se sapessero che qualcuno potrebbe rubare i dati della tua carta di credito? Quanti di voi userebbero la posta elettronica se sapessero che qualcuno potrebbe curiosare su ciò che state inviando? La sicurezza del Web è fondamentale al giorno d'oggi, ma non trarre in inganno pensando che sia facile da implementare.

Fortunatamente per gli utenti di Internet (anche se forse sfortunatamente per i webmaster e i SEO), HTTPS è qui per restare. John Mueller, di Google, insiste sul fatto che questa è una mossa che i webmaster devono fare:

Più di recente, Gary Ilyes, Webmaster Trends Analyst di Google, ha annunciato un importante cambiamento nel modo in cui Google misura il PageRank per i reindirizzamenti 301 per facilitare questa transizione:

I reindirizzamenti 30x non perdono più PageRank.

— Gary Illyes ᕕ( ᐛ )ᕗ (@methode) 26 luglio 2016

Consentendo ai reindirizzamenti di superare il 100% del PageRank, anziché l'80-90% come prima, Google spera di incentivare sempre più siti ad adottare HTTPS senza doversi preoccupare della perdita organica che potrebbe derivarne.
Infine, Google ha annunciato che a partire da gennaio 2017, tutti i siti che raccolgono informazioni su carte di credito o password che NON utilizzano HTTPS saranno contrassegnati come "Non sicuro" su Google Chrome:

Dopo aver lavorato con diversi client per implementare HTTPS, abbiamo compilato un elenco di ciò che è coinvolto nei 3 passaggi principali di una migrazione HTTPS:

1. Pre-migrazione
2. Migrazione
3. Post-migrazione

Pre-migrazione

Backup, backup, backup. Non posso ripeterlo abbastanza. Esegui il backup del tuo sito prima di avviare la migrazione HTTPS.

Ci sono migliaia di cose che possono andare storte durante una migrazione HTTPS, incluse cose che non pensavi nemmeno potessero andare storte. Scarica un backup della tua libreria multimediale. Salva i backup dei tuoi file CSS e JS. Se esegui il backup dell'intera configurazione del sito, puoi facilmente disabilitare il tuo certificato SSL se vedi che le cose vanno male dopo aver abilitato SSL.

Ancora una volta, non posso ribadire quante cose possono andare storte che non ti aspetti in un milione di anni. Esegui il backup del tuo sito.

Migrazione

Il Santo Graal, la migrazione vera e propria. È qui che tutto il dolore e la preparazione alla sofferenza ripagano.

Fortunatamente per i webmaster, ci sono molti modi più semplici per migrare a HTTPS rispetto a un'implementazione SSL convenzionale. ClouldFlare e Let's Encrypt sono due servizi che abbiamo utilizzato con siti più piccoli che consiglio vivamente per una migrazione HTTPS.
**NOTA: Cloudflare ha recentemente esposto un'importante vulnerabilità di sicurezza , quindi sii cauto nell'adottare subito Cloudflare SSL. Una volta che il problema è stato completamente risolto, tuttavia, questo dovrebbe essere di nuovo un servizio praticabile.

Ognuno di questi sono servizi completamente gratuiti. Forniscono lo stesso livello di crittografia e sicurezza SSL senza molti problemi legati a un'implementazione SSL completa. Puoi leggere di più su ciascun servizio sui link sopra, ma il principio di base di Cloudflare è che forniranno un certificato SSL gratuitamente, quindi serviranno una versione cache del tuo sito ai ricercatori che è completamente sicura. La comunicazione tra il tuo server e il client non sarà sicura, ma i visitatori del sito arriveranno comunque a un sito sicuro.

Let's Encrypt, invece, offre un certificato SSL gratuito che può essere configurato automaticamente tramite un server web come WPEngine. Una volta che l'autorità di certificazione convalida il dominio, Let's Encrypt fornisce il certificato SSL all'intero sito.

Se scegli di non utilizzare questa opzione, la migliore raccomandazione è di testare tutto prima di pubblicarlo sul tuo sito. Se hai un sito di staging, prova l'implementazione SSL su ogni pagina prima di migrare il tuo sito live. Esamina tutto, inclusi i collegamenti nelle mappe del sito e nei file robots.txt, i collegamenti nel tuo sito, le immagini, i moduli di invio, tutto.

Infine, assicurati di disporre di un reindirizzamento globale in atto per acquisire eventuali collegamenti che puntano alla versione HTTP del tuo sito. CloudFlare e Let's Encrypt (e la maggior parte degli altri ambienti) imposteranno automaticamente questo reindirizzamento, ma assicurati che sia incluso nella transizione. L'ultima cosa che vuoi è perdere l'equità dai tuoi backlink.

Allo stesso tempo, rivedi la struttura dell'URL che utilizzi per i collegamenti sul sito. Se i tuoi link utilizzano un percorso URL completo ( http://www.example.com/stuff/ ) anziché percorsi URL relativi (/stuff/), tali link potrebbero non essere aggiornati dopo la migrazione. Non dare a Google più scuse di quelle necessarie per deprecare il tuo profilo di collegamento: ricontrolla entrambe queste funzionalità.

Post migrazione

Solo perché la tua migrazione è completa non significa che il tuo lavoro sia ancora finito. A volte, le conseguenze possono essere difficili quanto la migrazione stessa.

La prima cosa che vorrai fare è rivedere gli script di terze parti sul tuo sito. Abbiamo avuto un cliente che ha completato una migrazione HTTPS solo per scoprire che il suo intero carattere tipografico nel sito è scomparso. I loro caratteri personalizzati sono stati sostituiti dalle lettere maiuscole predefinite in WordPress, rendendo il sito goffo e ingombrante. Il problema, abbiamo scoperto, era che il loro carattere tipografico era stato importato da un servizio di terze parti che non forniva la libreria di caratteri come file HTTPS. Una volta che siamo stati in grado di aggiornare il file a un protocollo HTTPS, i caratteri sono tornati alla normalità.

Un altro cliente che lavorava su una migrazione aveva una serie di moduli di invio sul sito importati da Pardot.com. Nonostante il fatto che la maggior parte delle altre risorse sul sito sia stata migrata correttamente, questi moduli di invio non lo hanno fatto, lasciando una serie di caselle di input vuote dove in precedenza c'erano moduli di iscrizione completi. Come prima, si è scoperto che i moduli di iscrizione non sono stati migrati a HTTPS per impostazione predefinita. Una volta aggiornati i collegamenti, i moduli erano a posto.

I problemi più comuni che abbiamo riscontrato sono le immagini non sicure. Uno dei primi avvisi che probabilmente noterai è un messaggio di errore come quello qui sotto:

Spesso durante la migrazione di un sito, le immagini incluse nel sito hanno indirizzi URL non sicuri. Anche dopo la migrazione del tuo sito, le immagini importate da siti esterni spesso hanno ancora un URL non sicuro, il che richiede a Google Chrome di avvisare gli utenti che il contenuto del sito potrebbe essere compromesso.

Alcuni di voi in questo momento stanno dicendo: "Ma come dovrei controllare ogni immagine sul mio sito per sapere quali sono sicure e quali no?" Fortunatamente per te, abbiamo una soluzione. All'interno di Screaming Frog, durante la scansione di un sito, puoi impostare un'estrazione personalizzata per cercare immagini con un indirizzo HTTP.

L'estrazione personalizzata deve essere impostata su un tipo XPath e impostata per estrarre un elemento HTML. Quindi, usa il seguente frammento come codice di estrazione:

 //img[contiene(@src,'http://')] 

Al termine della scansione, la scheda "Estrazione" conterrà un intero elenco di pagine con immagini non sicure e il codice sorgente per tali immagini. Da lì, puoi aggiornare gli URL agli indirizzi HTTPS.

La seconda cosa che vorrai fare è aggiungere la versione HTTPS del tuo sito a Google Search Console. Google impiegherà un po' di tempo per riconoscere che il tuo sito è ora sicuro e per cambiare i risultati del ranking che mostra agli utenti. Prima verificherai la versione HTTPS del tuo sito in Search Console, più velocemente Google potrà iniziare a indicizzare il sito protetto e a mostrarlo agli utenti nei risultati di ricerca.

Terzo, oltre a HTTPS, devi assicurarti che il tuo server utilizzi HTTP/2.0, l'ultima versione del protocollo Internet generale. Se utilizzi CloudFlare o Let's Encrypt dall'alto, il tuo server dovrebbe essere compatibile con HTTP/2.0 per impostazione predefinita. Per ogni evenienza, non fa mai male eseguire un rapido controllo su https://tools.keycdn.com/http2-test .

Il passaggio finale che vorrai compiere dopo la migrazione è monitorare costantemente il tuo traffico organico nelle settimane e nei mesi successivi. Come ha notato Rand Fishkin nel link sopra, Moz ha perso l'11% del traffico di ricerca nei 3 mesi successivi alla migrazione e molti altri siti hanno riportato perdite simili.

Sebbene tu possa avere poche opzioni per recuperare immediatamente quel traffico, ti consigliamo di prestare attenzione a quali query di ricerca hai perso il ranking o a quali pagine vedono un calo del traffico organico. Supponendo che queste pagine non si riprendano rapidamente, potrebbe essere un segno che hai un problema più profondo sul sito. Se si tratta di un problema più profondo, segui i passaggi per sapere cosa fare quando il tuo traffico organico diminuisce .

Ancora una volta, la migrazione a HTTPS è un passaggio che devi compiere. Google sta diventando sempre più insistente su questo ed è anche parte integrante della fornitura di un'esperienza utente positiva ai visitatori del tuo sito. Sfortunatamente, solo perché questo è importante non significa che sia facile o veloce. Segui la nostra guida sopra e puoi evitare le trappole e le insidie ​​​​più comuni di una migrazione HTTPS. I vantaggi ne valgono la pena.