Come migrare un sito da HTTP a HTTPS

Spostare un sito da HTTP a HTTPS è uno dei passaggi più importanti per la sicurezza del tuo sito e la fiducia dei visitatori. Google contrassegna i siti HTTP come "Non sicuro" in Chrome, e questo allontana i visitatori. Inoltre, HTTPS è un fattore di ranking su Google. Consulta la nostra guida SEO dettagliata per maggiori informazioni - dal 2014. In questa guida ti accompagniamo passo passo lungo tutto il processo di migrazione.

Perché HTTPS è importante

HTTPS (Hypertext Transfer Protocol Secure) cifra la comunicazione tra il browser del visitatore e il tuo server. Senza HTTPS, tutte le informazioni - comprese password, dati delle carte di credito e dati personali - vengono inviate in chiaro e chiunque sulla rete può leggerle. Questo è particolarmente pericoloso sulle reti WiFi pubbliche, dove un malintenzionato può intercettare facilmente il traffico non cifrato.

Oltre alla sicurezza, HTTPS incide sulla fiducia degli utenti. Chrome mostra l'icona di un lucchetto accanto all'URL per i siti HTTPS e un avviso "Non sicuro" per i siti HTTP. Secondo alcune ricerche, l'85% degli acquirenti online non compra da un sito privo di HTTPS. Anche per i siti che non trattano dati sensibili, HTTPS è ormai lo standard che gli utenti si aspettano.

Google utilizza HTTPS come segnale di ranking dall'agosto 2014. I siti con HTTPS godono di un vantaggio piccolo ma misurabile nei risultati di ricerca rispetto ai siti HTTP. Inoltre, molte tecnologie web moderne (HTTP/2, HTTP/3, Service Worker, Geolocation API) richiedono HTTPS per funzionare.

Passaggio 1: ottenere un certificato SSL

Un certificato digitale per la protezione della comunicazione web è il certificato che abilita una connessione HTTPS. Esistono diversi tipi di certificati SSL. Il certificato DV (Domain Validation) è il più semplice e rapido da ottenere - conferma solo la proprietà del dominio e di norma viene emesso in pochi minuti. Per la maggior parte dei siti è una scelta più che sufficiente.

Il certificato OV (Organization Validation) conferma inoltre l'identità dell'organizzazione e richiede la verifica dei dati aziendali. Il certificato EV (Extended Validation) offre il livello di validazione più elevato e mostra il nome dell'organizzazione nella barra degli indirizzi del browser. I certificati OV ed EV sono consigliati per i siti e-commerce e per gli istituti finanziari.

Let's Encrypt offre certificati SSL DV gratuiti che si rinnovano automaticamente. BeoHosting include certificati SSL Let's Encrypt gratuiti su tutti i piani di hosting, con installazione e rinnovo automatici - non devi fare nulla, l'SSL è attivo non appena il dominio si propaga sul nostro server. Per le aziende che necessitano di certificati OV o EV, offriamo anche certificati SSL commerciali.

Passaggio 2: installare il certificato SSL

Se usi BeoHosting, l'SSL è già installato e attivo sul tuo dominio. Per altri host, il processo dipende dal pannello di controllo. In cPanel, vai su SSL/TLS Manager, poi su "Install and Manage SSL for your site". Seleziona il dominio, inserisci il certificato, la chiave privata e il CA bundle, quindi clicca su Install.

Per Let's Encrypt in cPanel, vai su "Let's Encrypt SSL" o "SSL/TLS Status" e clicca su "Issue" per il tuo dominio. Il processo è automatico e il certificato sarà attivo nel giro di pochi secondi. Assicurati di emettere il certificato sia per la versione www sia per quella senza www del tuo dominio, così da coprire entrambe.

Dopo l'installazione, verifica che l'SSL funzioni correttamente aprendo il tuo sito con il prefisso https://. Dovresti vedere l'icona del lucchetto nella barra degli indirizzi, senza alcun avviso. Se compare un avviso di connessione non sicura, il certificato potrebbe non essere installato correttamente oppure potrebbe esserci un problema con la catena del certificato.

Passaggio 3: configurare i reindirizzamenti

Dopo l'installazione dell'SSL, devi reindirizzare tutto il traffico HTTP verso HTTPS. Senza reindirizzamenti, il tuo sito sarà raggiungibile sia su http:// sia su https://, e questo crea problemi di contenuti duplicati per la SEO. Inoltre, gli utenti che digitano il tuo dominio senza il prefisso https:// vedranno comunque la versione non sicura.

Il modo più comune per reindirizzare è tramite il file .htaccess sui server Apache. Aggiungi il seguente codice all'inizio del file .htaccess: RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]. In questo modo tutte le richieste HTTP vengono reindirizzate in modo permanente (301) alla versione HTTPS, preservando il percorso e i parametri originali.

Per i server Nginx, aggiungi un blocco server in ascolto sulla porta 80 che restituisca un reindirizzamento 301 alla versione https://. Per i server LiteSpeed (che BeoHosting utilizza), le regole .htaccess funzionano allo stesso modo di Apache. Assicurati di usare un reindirizzamento 301 (permanente) e non un 302 (temporaneo), così Google trasferisce correttamente il valore SEO alla versione HTTPS.

Per i siti WordPress, modifica anche WordPress Address e Site Address in Impostazioni > Generali, da http:// a https://. In questo modo WordPress genera tutti i link interni con il prefisso HTTPS.

Passaggio 4: correggere i contenuti misti

I contenuti misti sono il problema più comune dopo la migrazione a HTTPS. Si verificano quando una pagina HTTPS carica risorse (immagini, script, fogli di stile) tramite HTTP. Il browser blocca o segnala questi contenuti misti, perché le risorse non cifrate su una pagina cifrata minano la sicurezza di HTTPS.

Per individuare i contenuti misti, apri il tuo sito in Chrome, premi F12 per aprire gli Strumenti per sviluppatori e controlla la scheda Console. Ogni problema di contenuto misto viene mostrato come avviso o errore, con l'URL esatto della risorsa problematica. Inoltre, uno strumento come Why No Padlock (whynopadlock.com) può analizzare il tuo sito alla ricerca di problemi di contenuti misti.

Per i siti WordPress, il plugin Really Simple SSL corregge automaticamente la maggior parte dei problemi di contenuti misti, trasformando i link HTTP in HTTPS. Per la correzione manuale, modifica tutti i link interni da http:// a https:// nei contenuti del sito. Usa lo strumento Search Replace DB o il plugin WordPress Better Search Replace per la sostituzione massiva di http://tuodominio.com con https://tuodominio.com nel database.

Per le risorse esterne (immagini da altri siti, script di terze parti), verifica se sono disponibili tramite HTTPS. La maggior parte dei servizi moderni supporta HTTPS. Se qualche risorsa esterna non è disponibile in HTTPS, valuta la possibilità di ospitarla sul tuo server o di trovare un'alternativa che supporti HTTPS.

Passaggio 5: aggiornare Google Search Console

Google Search Console tratta le versioni HTTP e HTTPS del tuo sito come proprietà diverse. Dopo la migrazione a HTTPS, devi aggiungere una nuova proprietà per https://tuodominio.com in Search Console. Non eliminare la vecchia proprietà HTTP - conservala per monitorare come Google effettua la transizione alla versione HTTPS.

Nella nuova proprietà HTTPS, invia una sitemap.xml aggiornata che contenga gli URL HTTPS. Verifica che il file robots.txt sia disponibile sulla versione HTTPS e non blocchi l'accesso a pagine importanti. Nelle settimane successive, monitora il report Copertura per vedere se Google indicizza correttamente le versioni HTTPS delle tue pagine.

Aggiorna inoltre il tuo sito in Google Analytics (cambia l'URL predefinito in https://), Google Business Profile e tutti gli altri servizi su cui il tuo sito è registrato. Aggiorna i link sui social network e nelle firme delle email affinché usino la versione HTTPS.

Passaggio 6: verifica e test

Dopo aver completato tutti i passaggi, testa il sito a fondo. Verifica che tutte le pagine carichino la versione HTTPS. Prova i reindirizzamenti - digita http://tuodominio.com, http://www.tuodominio.com, https://www.tuodominio.com e tutti dovrebbero portarti a https://tuodominio.com (o alla versione www, a seconda della tua preferenza).

Usa il test SSL Labs (ssllabs.com/ssltest) per verificare la configurazione del certificato SSL. L'obiettivo è ottenere un voto A o A+. Questo test controlla la versione del protocollo SSL/TLS, la robustezza della cifratura, la catena del certificato e le potenziali vulnerabilità. Se ottieni un voto inferiore ad A, segui le raccomandazioni per migliorare.

Verifica che tutti i moduli, l'accesso degli utenti, le funzionalità e-commerce e gli elementi interattivi funzionino correttamente in HTTPS. Effettua i test su browser e dispositivi diversi. Nelle settimane successive, monitora Google Search Console per individuare eventuali errori nell'indicizzazione della versione HTTPS.

Conclusione

La migrazione da HTTP a HTTPS è un passaggio essenziale per la sicurezza e la SEO del tuo sito. Il processo richiede attenzione ai dettagli, ma con l'approccio giusto può essere completato in poche ore. I passaggi chiave sono l'installazione del certificato SSL, la configurazione dei reindirizzamenti 301, la correzione dei contenuti misti e l'aggiornamento di Search Console. Con BeoHosting il certificato SSL è gratuito e installato automaticamente, eliminando il passaggio più complesso del processo. Se hai bisogno di aiuto per la migrazione a HTTPS, il nostro team di supporto è a tua disposizione.