La sicurezza delle comunicazioni tra un server web e un client server è gestito dal protocollo SSL o Secure Sockets Layer.

Se ti è sfuggito il suo significato nel nostro precedente articolo http://webenjoy.net/sviluppo-siti-web/cose-certificato-ssl-cosa-serve/), te lo riepiloghiamo rapidamente…

ssl gratis con cloudflare

Il certificato SSL protegge il flusso di informazioni tra un client server e un sito web tramite una chiave di decodifica in grado di decriptare le informazioni, il cui possesso è riservato ai soggetti coinvolti.

La dicitura “HTTPS” e l’immagine di un lucchetto sono i segni inequivocabili della presenza di un certificato SSL. I protocolli di sicurezza proteggono le informazioni e i dati sensibili degli utenti, accrescendo la sicurezza e l’affidabilità del sito web e in particolar modo di siti-ecommerce e siti che contengono informazioni come i blog.

HTTPS viene considerato positivamente anche da Google, che in ottica di migliorare la User Experience sul web, spinge i titolari di siti web all’installazione del certificato.

Leggi in merito anche
https://seo-padova.com/educazione/certificati-ssl-e-seo-la-sicurezza-del-tuo-sito-diventa-un-fattore-seo/

In precedenza, il passaggio a una connessione sicura era costoso, in quanto gestito da Autorità di certificazione e rivenditori riconosciuti. Fortunatamente Cloudflare ha rilasciato una versione gratuita, sicura e facile per siti realizzati con WordPress, permettendone un’abilitazione gratuita che opera su dominio radice (es. dominio.com) e sottodomini di primo livello (es. blog.dominio.com).

 

Ma cos’è esattamente Cloudflare?

Sostanzialmente Cloudflare è un reverse proxy cioè un server che si pone tra il server web e il visitatore, diventando l’intermediario che ridistribuisce i contenuti e permette quindi anche di accelerare e ottimizzare i siti attraverso un meccanismo di caching.

Cloudflare presenta diverse opzioni che consentono di abilitare un protocollo SSL gratis sul sito web creato con WordPress:

  • Flexible SSL –  L’abilitazione di questo protocollo crea una connessione sicura tra l’utente e Cloudflare, ma non una connessione sicura tra Cloudflare e il sito web. L’HTTPS che il visitatore vede sul sito web non coincide necessariamente con la presenza di un certificato SSL sul server.
  • Full SSL – Questa opzione crea una connessione sicura tra tutti i soggetti in gioco: visitatori, Cloudflare e server web, ma impone la presenza di un certificato SSL, anche solo self-signed.
  • Full SSL (Strict) – Questa volta la connessione tra visitatori, Cloudflare e il server web è garantita dalla presenza verificata di un certificato SSL. Il protocollo di sicurezza del server deve essere valido, firmato da un’autorità certificatrice, deve avere una data di scadenza e deve riportare il nome dominio.

Cloudflare permette un’installazione intuitiva e attraverso il plugin Flexibile SSL su WordPress ti sarà possibile sfruttarne tutte le sue potenzialità. Vediamo insieme attraverso questo tutorial in italiano:

1) Registrati e crea un account utente su Cloudflare;

2) Dopo la registrazione, inserisci il nome del dominio del sito (esempio.com)

aggiungere un sito su cloudflare

3) Premi il bottone “Begin Scan” e attendi la scansione di Cloudflare;

4) Premi il bottone “Continue Setup” ti apparirà una schermata come quella sotto;

configurazione cloudflare

Ti sarà mostrata la lista di tutti i record DNS, inclusi eventuali sottodomini. E’ il momento di scegliere quali sottodomini vuoi abilitare in Cloudflare (   ) oppure bypassare. (  ).

Tipicamente è sufficiente il Record A associato al dominio e il Record Cname associato al WWW

 

5) Seleziona il piano che desideri

seleziona un piano cloudflare

6) A questo punto devi far puntare i DNS associati al tuo dominio verso quelli forniti da cloudflare. Se trovi complessa questa operazione rivolgiti al Registrar che ha in mantenimento i tuoi domini aprendo un ticket.

nameserver cloudflare

7) Completato il punto 6, e dopo aver atteso la propagazione dei DNS (spesso solo alcune ore), accedendo nuovamente a cloudflare troverai una schermata che ti indica che cloudflare è attivo.

cloudflare attivo

Per limiti temporali, il dominio mostrato in figura non è rappresentativo del dominio di esempio del tutorial

Adesso puoi finalmente applicare il tuo servizio di criptazione

 

8) Avrai a disposizione nella parte superiore una fila di icone. Dovrai cliccare su “Crypto” e settare la voce SSL su “Flexibile”.

Dovrai attendere circa 15 minuti per l’attivazione. Potrai capire che la Flexible SSL è attiva solo quando comparirà sotto alla tendina di scelta un box verde di conferma (ACTIVE CERTIFICATE).

L’applicazione di questa impostazione implica la protezione del tuo sito web WordPress da attacchi DDoS, hacker, spammer e bot, il miglioramento di caricamento delle pagine e riduzione dei costi di banda.

 

Dopo questo semplice procedimento sarà necessario configurare anche WordPress con pochi passaggi:

  1. Lascia i campi indirizzo WordPress (URL) e indirizzo sito (URL) in modalità http per evitare che il sito cada in un redirect una volta che la piattaforma verrà caricata sotto il plugin Flexible SSL di Cloudflare.
  2. Scarica il plugin Cloudflare nel tuo pannello di amministrazione di WordPress (Flexibile SSL);
  3. Installa il plugin e attivalo tramite il pannello di plugin per WordPress, facendo attenzione a salvare le modifiche;
  4. Ora è il turno della configurazione di Cloudflare per i contenuti in HTTPS:
    • Torna sul pannello di Cloudflare e seleziona il tuo dominio;
    • Trova nel menu in alto l’icona “Page Rules”, selezionala e poi clicca sul bottone “Create Page Rule”;
    • Inserisci il dominio nella forma: http://*www.esempio.com/*;
    • Imposta la regola su “always use HTTPs” e salva tutto.
  5. È il momento di tornare al back end di WordPress per modificare l’indirizzo sito (URL) da “http://” a https://”, lasciando l’Indirizzo WordPress (URL) in http:// per evitare problemi.
  6. Finalmente è ora di verificare la riuscita dell’operazione. Dovrai constatare che il browser segnali l’URL come sicuro attraverso l’uso del lucchetto e della dicitura HTTPS.

Se ciò non avvenisse apri il sorgente della pagina (tasto destro del mouse “Visualizza Sorgente Pagina”) e controlla che non ci siano risorse all’interno che usino HTTP. Questo può accadere alle immagini oppure ad altre risorse richiamate da plugin.

Ricorda inoltre che è possibile che tu possa avere dei problemi di incompatibilità se utilizzi i CDN.

Si tratta in ogni caso di problematiche che incontreresti anche con l’istallazione di un certificato ssl a pagamento.

Insomma pochi e semplici passaggi per accaparrarsi la versione SSL gratuita di Cloudflare per siti WordPress: il tuo web WordPress sarà protetto da attacchi DDoS, hacker, spammer e bot, e migliorerà in termini di velocità.

Forse ne avrai visto già qualcuno senza sapere cos’è e a cosa serve.

SSL o Secure Sockets Layer è un protocollo utilizzato per assicurare le comunicazione tra un server web e un client server.

Sostanzialmente il certificato protegge i dati riservati e sensibili (numeri di carta di credito, codice fiscale, numero di telefono e altro), evita che vengano intercettati da terzi e garantisce su l’affidabilità e l’esistenza di un soggetto.

Quando si verifica la prima comunicazione tra client server e server web, quest’ultimo invia il proprio certificato digitale al browser di riferimento che ne verifica validità e sicurezza della connessione.

Il certificato SSL certifica che le informazioni passate siano state criptate e rese decifrabili solo al momento della connessione dei soggetti coinvolti in possesso della chiave di decodifica, l’unico strumento in grado di decriptare le informazioni.

 

Capire se un sito web è in possesso di un certificato SSL è semplice. Se sulla barra di navigazione compare la dicitura “HTTPS” invece di “HTTP” prima dell’indirizzo e spunta l’immagine di un lucchetto, allora tutte le comunicazioni con quel sito saranno protette e riservate.

 

Un esempio perfetto è la casella di posta elettronica Gmail. Forse non l’hai notato prima d’ora ma il lucchetto e la dicitura https:// che vedi garantiscono che l’organizzazione con cui stai comunicando attraverso il browser è seria e affidabile.

 

I protocolli SSL diventano garanzia di autenticazione del dominio del sito, reale identità della realtà aziendale collegata e protezione da frodi e furti, requisiti fondamentali in particolare per i siti e-commerce che consentono di acquistare mediante pagamenti online e i siti che erogano servizi online che ‘vivono’ dello scambio di informazioni private. L’obiettivo resta quello di accrescere la sicurezza e l’affidabilità del sito web.

 

Installare un certificato SSL significa escludere l’interposizione fraudolenta nelle comunicazioni tra il server web e il client server: il soggetto che tenta di porsi nel mezzo dello scambio non possiede il corrispondente certificato per accedere alle informazioni.

 

I certificati SSL vengono rilasciati da un’Autorità di Certificazione (CA o Certification Authority) o da rivenditori riconosciuti (Aruba e Trust Italia per esempio): acquisiscono tutti i dati necessari per verificare la reale esistenza del soggetto che richiede ed emettono un certificato SSL firmato con un sistema di crittografia a chiave asimmetrica pubblica e privata.

 

Le attività svolte dagli enti certificatori implicano dei costi logistici che finiscono per riversarsi anche su chi acquista un certificato. Purtroppo i certificati SSL auto-firmati o self-signed gratis non rappresentano una valida garanzia di sicurezza. Questi certificati gratuiti  servono per lo più per testare il sistema, in quanto pur essendo capaci di crittografare il traffico HTTP, obbligano i browser a mostrare un avviso di “sito non attendibile”.

Se per richiedere un certificato SSL servono solo pochi minuti proprio come qualsiasi altro prodotto, non si può dire altrettanto della fase di valutazione e scelta.

 

La varietà di certificati è davvero vasta e ogni tipo riserva un’offerta diversa legata a prezzi differenti:

  • Certificato SSL DV (Domain Validation) – Il protocollo con la sola validazione del dominio non prevede l’invio di una documentazione sull’azienda e quindi viene emesso in tempi molto rapidi.

 

  • Certificati SSL OV (Organization Validation) – Il protocollo rivela un’autenticazione a livello superiore. La validazione riguarda tanto il dominio quanto l’azienda e il brand, aumentando così la sicurezza della connessione tra browser e server. Questo tipo di certificato è perfetto per proteggere gli utenti da attacchi di tipo phishing e furti d’identità.

 

  • Certificato SSL EV (Extended Validated) – Si tratta di un certificato che richiede un processo di validazione più articolato e avanzato. La procedura di rilascio prevede la verifica dell’intera organizzazione, dall’esistenza fisica, legale e operativa all’identità ai diritti dell’impresa richiedente. Molti certificati EV permettono di incorporare il nome dell’azienda nella barra degli indirizzi del sito, colorare la barra degli indirizzi del browser di verde e ricreare un alto livello di affidabilità e sicurezza del sito.

 

  • Certificato SSL SD (Single Domain) – Il protocollo vale solo per il dominio principale del sito indicato in fase di attivazione. I tempi ridotti di rilascio e il limite di validità riduce i relativi costi, almeno rispetto agli altri tipi di certificati SSL.

 

  • Certificato SSL DVW (Domain Validated Wildcard) – Questo tipo di protocollo è ideale per proteggere un numero illimitato di sottodomini di terzo livello del sito principale (es. siti web in cui i clienti effettuano transazioni e programmi di posta elettronica che comunicano regolarmente con un altro computer o programma). In questo caso le aziende certificatrici procedono con una verifica breve dell’identità del richiedente (nome a dominio, dati del proprietario, email di verifica inviata al contatto amministrativo e altro) e con il rilascio del certificato.

 

  • Certificato SSL UC (Unified CommunicationsCertificate) – Questo certificato, conosciuto anche come SAN (Subject Alternative Names), viene utilizzato per le comunicazione unificate ovvero protegge domini anche completamente diversi sotto un solo certificato (es. server di posta che si servono di diversi domini o applicazione virtual hosting). La compatibilità dei certificati SSL SAN con i browser su dispositivi mobili (smartphone, PDA e Blackberry) scongiura l’avviso di “connessione non sicura” su tutte le piattaforme di navigazione.

 

Concludendo

Spero che questo articolo ti abbia dato maggiori informazioni su come scegliere il certificato ssl che fa al caso tuo. Se stai valutando di acquistare un certificato SSL per ragioni legate al posizionamento seo del tuo sito, vorrei rassicurarti sul fatto che potrebbe non essere necessario. Ti consiglio la lettura di questo articolo

Certificati SSL e SEO: la sicurezza del tuo sito diventa un fattore seo” che ti aiuterà a valutare e a prendere la decisione giusta.

Se hai bisogno di aiuto per l’installazione del certificato ssl rivolgiti a noi con fiducia.

 

[1] Redazione, www.register.it/ssl-certificates/

[2] Valentino Gagliardi, www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/

[3] Giovanni Barbieti www.blog.artera.it/hosting-domini/certificato-ssl-tipologie

[5] Redazione, www.mvmnet.com/it/ssl/help/tipologie_di_validazione.php

[6] Redazione, www.hostingtalk.it/certificato-ssl-ev-quando-acquistarlo/

[8] The web security consultants, www.ssl247.it/certificati-ssl/categoria

Https come fattore di posizionamento

certificati ssl seo

Ancora una volta Google detta le regole a cui conformarsi per non vedere il proprio sito “penalizzato” rispetto agli altri. Non stiamo parlando delle classiche penalizzazioni già spiegate in questa sezione.. ma possiamo parlare di “fattore di posizionamento” come si evince da una delle prime dichiarazioni fornite da Google nel lontano 2014: “Https come fattore di posizionamento”.

A partire da Gennaio 2017, per aiutare gli utenti a navigare in sicurezza il web, Google Chrome, indicherà come “NON SICURE” tutte quelle pagine che raccolgono password o carte di credito.

google chrome certificati ssl

Diversamente dagli altri fattori di posizionamento, l’implementazione di un certificato SSL comporta difficoltà, rischi e costi.

 

Eh già.. costi perché in questa grande confusione in cui navigano adesso gli utenti, è necessario farsi strada e capire quale certificato ssl scegliere.

Quale certificato SSL scegliere?

In breve posso dirti che i certificati ssl sono emessi da aziende certificatrici e hanno caratteristiche differenti a seconda dalla funzione di cui necessiti.

Saltando i certificati SSL gratuiti che garantiscono la crittografia dei dati ma non essendo riconosciuti non ti permetterebbero di indicare come SICURO il tuo sito web su Google Chrome, rimangono fuori certificati il cui prezzo varia dai 15 agli oltre 1000 euro.

Ma le brutte notizie non sono terminate devi rinnovare il certificato ogni anno.

 

Quindi cosa fare? Quando è il caso di comprare un certificato SSL?

La risposta non è così semplice. Nel prendere questa decisione non dobbiamo pensare solo alle problematiche legate alla seo, al posizionamento delle pagine rispetto a determinate chiavi ma anche all’utilizzo del nostro sito e al numero di siti che possediamo e alla loro tipologia.

 

I siti e-commerce espongono i tuoi utenti a a più rischi e pertanto sarebbe opportuno acquisire un certificato EV (Extended Validated).

Mentre nel caso del piccolo blog utilizzato per educare i clienti e farti pubblicità può bastare un certificato DV (Domain Validated).

 

Il problema nasce per tutte quelle aziende o quei soggetti che possiedono numerosi siti web realizzati a scopi di marketing. Conformarsi alle richieste di Google potrebbe essere dispendioso..

 

Fonti

[1] https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

[2] https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

[3] https://moz.com/blog/seo-tips-https-ssl

[4] https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn

 

Che cos’è la link juice

La link juice è uno dei fattori seo determinanti per l’importanza di un sito internet e il suo posizionamento organico sui motori di ricerca.

Sostanzialmente la link juice indica la quantità di link o meglio il potere di ranking che viene passata da un sito a un altro, grazie per l’appunto ai link. I collegamenti ipertestuali di fatto permettono di stimare la rilevanza e la ‘forza’ del sito stesso in relazione ai siti linkati.

link juice

Consideriamo un sito A e un sito B che trattano lo stesso argomento e vogliono posizionarsi per le stesse keyword. Google e gli altri motori di ricerca, dopo aver fatto una prima analisi sul contenuto del sito, esamineranno i backlinks per determinare quale sito merita un miglior posizionamento nei risultati della SERP. Il sito più ‘appetibile’ agli occhi dei search engine sarà quello più linkato dalla maggiorparte dei siti.

 

Un sito costruito secondo le regole SEO con contenuti originali e grafica accattivante infatti non è detto che avanzi nei risultati dei motori di ricerca. La ragione? Diciamo che probabilmente è stato trascurato l’elemento autorevolezza del dominio o Domain Authority, un fattore che i motori di ricerca utilizzano per ‘capire’ l’affidabilità e l’autorevolezza di un sito in base a:

  1. Età – il tempo in cui si è online diventa il mezzo per stimare il tipo di informazioni fornite agli utenti;
  2. Dimensione – la grandezza del sito diventa sinonimo della quantità di informazioni messe a disposizione;
  3. Popolarità – la quantità dei link di siti ‘giudicati’ autorevoli che puntano verso il sito in questione diventa determinante per la sua validità.

 

Per incrementare l’autorevolezza di un dominio è necessario guadagnare un page rank migliore, che a sua volta comporta  un aumento di traffico e una maggiore autorevolezza del sito.

Link Juice, Page Rank e Link Popularity

Veniamo al page rank. Possiamo definirlo come il metodo utilizzato dai motori di ricerca per assegnare un valore qualitativo alle pagine web, costruito su qualità dei backlinks e contenuto della pagina: più alto sarà il suo valore e più il sito riuscirà a guadagnare posizioni sui search engine.

 

Curiosamente, il page rank si basa a sua volta essenzialmente sul concetto di link popularity ovvero il numero di siti internet che si collegano a una pagina web. Bisogna pensare al link come a una specie di ‘voto’ di importanza e utilità per la pagina in questione.

Un sito web è autorevole quando viene riconosciuto spontaneamente come una authority da altri siti altrettanto autorevoli (es. directory internazionale o un sito ad altro ranking).  L’autorevolezza guadagnata si estende poi automaticamente anche a tutte le altre pagine web interne del sito.

 

Il link è quindi un collegamento ipertestuale che rimanda l’utente su un’altra risorsa informativa ritenuta autorevole in materia. Tutte le pagine web vengono costruite con un linguaggio di formattazione chiamato HTML che indica al browser (lo strumento che usi per navigare in internet come Internet explorer o google chrome) come visualizzare la pagina web.

 

Il codice HTML per definire un link è il seguente:

<a href="http://rai.it" title="Il sito della rai"> sito rai</a>

Analizziamo insieme questo codice:

  • “<a” è l’elemento che definisce il link;
  • “Href” è un attributo dell’elemento “A” e identifica la risorsa di destinazione;
  • il testo contenuto tra i segni > <  si chiama anchor text, ed è la parte cliccabile del collegamento ipertestuale che permette ai motori di ricerca di identificare il tema delle pagine di destinazione (una target keyword specifica è più utile di un generico ‘Clicca qui’ per salire nel ranking dei search engine);
  • </a> è il tag di chiusura.
anatomia di un link

anatomia di un link

Il link indica una certa ‘vicinanza’ alla pagina linkata. Per evitare di essere contestualizzati con  siti penalizzati, siti off-topic o siti ritenuti spam è necessario armarsi di un parametro ‘precauzionale’ come l’attributo rel=”nofollow” del tag <a>. Utilizzando nofollow si comunica a Google e gli altri motori di ricerca che si sta inserendo quel link perché si ‘crede’ rilevante per l’argomento trattato, ma che tale link non deve passare link juice e page rank alla pagina alla quale si sta linkando.

 

L’organizzazione e la posizione dei backlink determinano in modo inequivocabile il modo con cui i motori di ricerca guardano all’intero sito. Un ragionamento sensato che tiene conto di aree strategiche legate al contesto argomentativo e importanza delle pagine del sito è un’ottima strategia d’insieme.

I motori di ricerca, infatti, premiano i link che si trovano in una zona visibile della pagina o all’interno del contenuto principale dell’articolo (possibilmente all’inizio), proprio lì dove possono attirare l’attenzione dell’utente.

È inutile quindi posizionare i link nelle zone più scontate o meno a vista come:

  • footer o piè di pagina, perché contiene informazioni già inserite in altre sezioni, privacy policy, copyright e altro;
  • header o parte alta, perché contiene gli elementi distintivi del sito (nome e logo, elementi grafici, menù di navigazione, social correlati e banner di conversione o interazione);
  • sidebar o barra laterale, perché può aiutare l’utente nella navigazione, ospitare i contenuti più disparati o mostrare banner, annunci e pubblicità di ogni genere ;
  • widgets o interfaccia utente, perché aiutano a gestire diverse funzionalità all’interno del sito web.

 

Non resta che fare tesoro di queste preziose informazioni e soprattutto fare attenzione alla link juice che spostate!

Crediti immagine > https://webmarketsonline.com/Blog/ArticleID/20/The-Power-of-Link-Juice