Sei in spiaggia e hai freddo, la salivazione si ferma e l’acqua non aiuta, le nuvole prendono la forma dei visi dei tuoi clienti ai quali dovrai spiegare che bisognerà spendere altri soldi. Tiro ad indovinare: sei un SEO e hai letto di come Google abbia dichiarato ufficialmente che il protocollo HTTPS è un segnale di ranking. E’ successo davvero.
Forse come me, quando hai sentito questa notizia, ti sei fatto parecchie domande. “HTTPS segnale di ranking? E la cremeria?” . Vediamo ( a parte riguardo a questa atavica domanda senza risposta ) di fare, se così si può dire, chiarezza.
Il post ufficiale di Google
Innanzitutto, vorrei analizzare le parti per me più importanti delle dichiarazioni di Google, tratte direttamente dal post incriminato (che bell’anchor eh? In your face, GUGOL! ). Inizierei da questa frase:
(..) A parte i nostri prodotti, stiamo lavorando per rendere Internet più sicuro su vasta scala. In questa ottica, vogliamo essere sicuri che chiunque acceda a siti internet attraverso Google sia al sicuro.
Vorrei farvi la mia personale parafrasi: “visto e considerato che essenzialmente possiamo dettar legge su come un sito internet debba essere strutturato e realizzato per poter funzionare sul nostro motore di ricerca, faremo in modo che siate tutti d’accordo penalizzando chi non passerà a https“.
Più avanti nell’articolo si legge:
Per queste ragioni negli ultimi mesi abbiamo fatto dei test giudicando il fatto che un sito utilizzi o meno una connessione sicura e criptata come segnale di ranking. Abbiamo visto risultati positivi: abbiamo quindi deciso che HTTPS è un segnale di ranking. Per ora è un segnale d’importanza relativa e influenza solo l’1% delle query globali, sicuramente in modo meno decisivo che altri segnali come la qualità dei contenuti: vogliamo dare tempo ai webmaster di passare ad HTTPS.
Nel tempo potremmo decidere di renderlo più forte, perchè vorremmo incorraggiare tutti i proprietari di siti web di passare da HTTP a HTTPS per tenere tutti al sicuro sul web.
Arricchendo un poco quanto ho scritto a caldo questa mattina nell’interessante gruppo Facebook “Fatti di SEO” , penso che la frase “ vogliamo dare tempo ai webmaster di passare ad HTTPS“ racchiude tutta la pericolosa arroganza arroganza di Google, che ormai da anni decide cosa fare e non fare sul web ( e non solo: leggete come candidamente ha ammesso di utilizzare i dati non solo a scopi pubblicitari ). Forte della sua posizione di leader su Internet e grazie allo spropositato volume di traffico che è in grado di muovere a proprio piacimento, Google semplicemente decide.
In questo caso non tutti gli animi si scalderanno a dovere, stiamo parlando di un ambito controverso: come prevedibile sui social ( sopratutto americani, forse più abituati a questi colpi di classe dalle istituzioni, perchè ormai di questo si parla rispetto a Google) fioccano i commenti “sicurezza in più? perchè no! , le giustificazioni e i “cosa c’è di male?”, quando il punto sul quale mi concentrerei è su come Google abbia preso una decisione arbitraria su qualcosa di discutibile ( una domanda su tutte: davvero al classico sito vetrina serve un certificato TLS ? ) e con un impatto significativo sull’economia web e non solo:
- Rendere de facto obbligatoria l’adozione di una tecnologia, certamente in alcuni casi utile ma non strettamente necessaria per tutti i siti internet;
- Di fatto forzare una enorme ristrutturazione che muoverà ingenti quantità di denaro. Perché si sa, nella SEO si gratta il grattabile;
- Aggiungere “un costo in più da spiegare al cliente” come faceva notare Michela Durazzi;
- Il quale è magari titolare del sito di “una vetrina di derattizzazioni a Verbania” per la quale “un sito con protocollo protetto per una vetrina di derattizzazioni a Verbania mi pare quanto meno pretenzioso e fuori luogo” come giustamente faceva notare Fabio Granata;
Beh, mi pare una scelta dal sapore autoritario e poco in linea con i cari e vecchi principi della Google buona di qualche anno fa. Un specie di tassa https per ora giustificata in modi più o meno plausibili. Lo ripeto: secondo me si fa leva solo e solamente sulla posizione dominante di Google, un po’ com’è accaduto per l‘invasione delle SERP da parte di elementi che poco hanno a che fare con la ricerca organica e la user experience. O alla strana mossa sulla real name policy.
Pensaci: quando vorranno farci mandare giù una palettata di merda senza batter ciglio con decisioni ancora più platealmente non a favore degli utenti, cosa faremo noi poveri SEO e Webmaster? Un po’ come quando alzano le tasse nel nostro belpaese: ci adegueremo. Chi si ferma è perduto.
La notizia è molto fresca, ma ci sono già stati molti approfondimenti , primi fra tutti quelli scaturiti da una serie di domande poste direttamente al buon Matt Cutts 2.0 John Mueller direttamente sul suo profilo Google Plus.
Ma HTTPS è un fattore ranking…ranking?
Il buon Enrico Altavilla ha falciato le gambe ai SEO più fantasiosi e paranoici ponendo una chiara domanda e ricevendo inaspettatamente (almeno per quel che mi riguarda) ben due chiare risposte da fonti interne a Google. Ve la traduco:
Enrico Altavilla: Ciao John, vorrei chiederti un chiarimento. La frase “considerare connessioni sicure e criptate come segnale per i nostri algoritmi di posizionamento” significa che risorse che utilizzano HTTPS si posizioneranno in modo migliore rispetto a risorse che non utilizzano HTTPS? Sai “considerare” è un’espressione generica che non spiega esattamente quali risorse beneficeranno dei cambiamenti nei posizionamenti
Pierre Far: Si è un piccolo vantaggio ora come ora, che potrebbe tradursi in un posizionamento più alto.
John Mueller: Anche il titolo del post è molto chiaro 🙂 – lo stiamo usando come segnale di posizionamento.
I siti che servono sia HTTP che HTTPS quale canonical devono usare?
Un utente ha fatto questa interessante domanda, con un’altrettanto interessante risposta:
Pascal Landau: Se un sito serve già sia la versione HTTP che quella HTTPS ma utilizza quella HTTP come url canonica deve fare cambio? Questo conta solo per la web search o anche per le ricerche verticali ( immagini, video etc.)?
John Mueller: utilizziamo (nelle SERP) gli URL canonici per l’indicizzazione: se utilizzi entrambe le versioni e scegli HTTP come canonica, non possiamo considerare la versione HTTPS come indicizzata. Questo comprende tutte le web search globali.
Quindi:
- Per usufruire del boost nei ranking, per piccolo che sia, l’url canonico deve essere quello HTTPS in quanto è quello che viene indicizzato( qualcuno utilizzerà ancora HTTP tra qualche anno se il certificato diventerà un fattore di ranking “pesante?);
- Tutte le risorse devono essere protette da certificato: pagine, immagini, video etc. etc;
Ma il sito vetrina della casalinga di Voghera, cara Gugol, ha veramente bisogno del certificato?
Scommetto che il buon John ha passato notti insonni pensando alla valanga di persone che avrebbero posto questo stesso dubbio ancora ed ancora. Aveva un bigliettino con la risposta apparentemente:
John Mueller: Alcuni webmaster dicono di avere solamente un “sito vetrina”, come un blog, che non ha bisogni di essere messo in sicurezza. Questo ragionamento non tiene conto dei due immediati benefici ottenuti come proprietario del sito:
- Integrità dei dati: solo servendo il sito in sicurezza puoi garantire che nessuno stia alterando il modo in cui i tuoi contenuti vengono ricevuti dai tuoi utenti. Quante volte hai acceduto ad un sito tramite una rete aperta in un hotel e hai ricevuto pubblicità che non ti aspettavi di trovare? Questa è una manifestazione visibile del problema, ma può presentarsi in modi molto più subdoli.
- Autenticazione: come possono gli utenti essere certi che il sito è veramente il sito che dice di essere. Immagina tua sia un sito vetrina che da consigli finanziari o medici. Se operassi in un sito del genere, vorrei assicurare ai miei lettori che i consigli che stanno leggendo sono genuinamente miei e non di qualcun’altro che pretende di essere me.
Oltre a questo, i tuoi utenti avranno benefici ovvi ( e altri meno ovvi).
Immagino siate tutti ESTREMAMENTE CONVINTI, vero… vero? Come abbiamo fatto a vivere senza certificazione sui nostri blog… mah! L’utente medio ha davvero queste preoccupazioni? Io dico di no. E anche altri colleghi. Ad esempio il signor Julius Muller:
Sono tutte stronzate. Se il tuo sito non registra dati dai tuoi utenti non ha bisogno dell’SSL. Qualcuno dentro Google ha comprato montagne di azioni nella CA e gli è venuto in mente di fare questo giochetto? E’ come essere forzati a comprare un’assicurazione per automobili senza possederne una.
L’integrità dei dati e l’autenticità sono cazzate. Specialmente per il fatto che la maggior parte dei siti non da ne consigli finanziari ne medici. Imporre il fardello di un sistema di sicurezza come fossero siti YMYL (Your money your life, siti commerciali che influenzano direttamente la tua vita e il tuo denaro) non fa nulla per assicurare la grande maggioranza dei siti e la loro grande maggioranza di utenti. In più. un sito che non usa un database ha una possibilità ridicola di divenire oggetto di un attacco hacker. Quindi, sono tutte cazzate, e vorrei sentire la vera ragione di questo cambiamento.
I consigli di Google
Il buon John ha ben pensato di pubblicare mentre scrivevo un post riportante indicazioni riguardo a come “aiutare i motori di ricerca a percepire il vostro sito come sicuro“:
- Ridirezionare gli utenti e i motori di ricerca alle pagine e alle risorse HTTPS tramite server-side 301 redirects;
- Utilizzare url relativi per risorse che risiedono nel dominio sicuro per assicurarsi che utilizzino sempre HTTPS ;
- Linkare a risorse sicure verso gli altri domini ( e qua verrà giù il cielo);
- Usare un web server che supporti HTTP Strict Transport Security e assicurarsi che venga attivato per forzare le richieste ad HTTPS;
Insomma, ricontrollare gozziliardi di links per non disperdere tutta la link juice puntando protocolli diversi. Facile no? Sarà molto divertente. Grazie Google.
Dopo si che i miei utenti smetteranno di tartassarmi per la loro sicurezza. Loro che sono così attenti alla questione! Tu si che hai una visione chiara della realtà! Se non ci fossi tu…
Quindi? Chiediamo HTTPS a babbo natale nella letterina?
Sempre Fabio Granata, nell’ambito della discussione sul gruppo, ha saputo illuminare la mia giornata con un divertente e, a proposito, illuminante commento:
Ragazzi, ricordiamoci che l’utente medio è già tanto se sa scrivere correttamente il nome del dominio in cui vuole entrare, figuriamoci se si accorge della differenza http o https. A me sa tanto di solito, puntuale e costante terrorismo psicologico che lascia il tempo che trova. Io mi fido solo dei dati. Se qualcuno mi dimostra che avere il protocollo https fa fare un salto qualitativo non indifferente in termini di posizionamento, allora lo prenderò in considerazione, ma se devo farlo con le premesse per cui un utente non si sente sicuro se non vede quella S, stiamo parlando di fantascienza.
Penso proprio che Fabio abbia ragione. Prima di panicare, aspettiamo. Ma temo anche che si, se qualcuno di molto influente non punta i piedi ( e non saranno di certo Symantec e soci che si stanno fregando le mani), https sarà un fattore di ranking importante. E intanto, le azioni di Symantec e soci impennano ( qualcuno fa notare che lo stessero facendo da un po’ , volendo essere maliziosi…). Magari Google sotto l’albero ci farà trovare un’offerta speciale per una certificazione? O l’amica Amazon? Chi vivrà vedrà.
E voi cosa pensate che succederà? Come vi comporterete con il vostro cliente di Verbania?
UPDATE #1: riporto un intervento di Giorgio Taverniti sulla questione, leggetelo perché è molto, molto interessante. (EDIT 2017: il link è purtroppo rotto e l’ho rimosso)
UPDATE #2: innanzitutto voglio riportare un commento di Salvatore Capolupo che sul forumGT ha saputo sintetizzare perfettamente un pensiero che condivido totalmente:
Ad un certo punto Google può imporre regole assurde o poco condivisibili sulle politiche di link (se metti più di X nofollow ti banno dai miei risultati, non ripetere le keywords ecc), ma non può, davvero, stabilire quali debbano essere gli standard del WEB, il W3C studia queste cose da decenni e mi pare un po’ arrogante una presa di posizoone del tipo “invitiamo TUTTI ad attrezzarsi con HTTPS”. Tanto più, come secondo me presto avverrà, se ti vendono servizi di loro proprietà con la vaga promessa di averne dei vantaggi commerciali (una cosa talmente sfrontata che addirittura l’antitrust italiano avrebbe qualcosa da dire ).
Ho anche visto girare una simpatica immagine che vorrei riportare:
Peppino Anselmi says
Caro Emanuele,
grazie per l'interessante articolo.
E' praticamente lampante che questa messa in scena dell'HTTPS come fattore di
ranking sia una marchetta bella e buona. Con la potenza che ha, Google avrebbe potuto tranquillamente posizionare in cima ad OGNI singola pagina di risultati di ricerca un trafiletto che spiegasse cos'e' e a cosa serve HTTPS, lasciando poi all'utente finale la decisione se cliccare o meno sull'URL di un sito HTTP trovato dal motore.
Ha deciso altrimenti? Bene. Visto che qualcuno ha commentato "una cosa talmente sfrontata che addirittura l’antitrust italiano avrebbe qualcosa da dire", perche' non segnalarlo, all'antitrust italiano? Magari, nell'arco di qualche anno, succede addirittura qualcosa. D'altra parte e' proprio dall'Europa che e' partita la cosiddetta cookie-law, no?
Una saluto
Peppo
Emanuele Vaccari says
Ciao Peppino,
per quanto anche io non sia felice di come Google abbia gestito la questione "HTTPS" non penso che rivolgersi all'antitrust risolverebbe il problema, bisognerebbe più che altro fare informazione sul fatto che HTTPS non è la panacea di tutti i mali del web. Detto questo da quando hai lasciato questo commento un mese fa (ho risposto piuttosto in ritardo, perdonami) qualche grana riguardo l'antitrust Google l'ha avuta!