• User Attivo

    @Emanuele Vaccari said:

    Salvatore, ti sei espresso talmente bene che ho sentito la necessità di citarti nel mio post a riguardo della vicenda 😉

    Grazie, non ho visto il tuo post pero'.... link? 🙂

    La pagina di CloudFlare è demenziale, vai a spiegarlo adesso... 😄


  • Community Manager

    Ciao Ettore,

    a questa visione aggiungo quella di Stefano Quintarelli:

    ho solo io la percezione che Google stia progressivamente assomigliando sempre piu' ad una sovra-autorità, privata, sovranazionale ?non so quanto queste mosse siano sagge.
    finchè si trattava di mettersi contro ai paesi per aspetti fiscali, la reazione era tutto sommato contenuta (facciamo un international ruling e dacci i soldi).

    Non la ha solo lui quella visione, ovviamente dipende dai vari settori del web.

    Tra noi SEO e Marketer è un pò di tempo che diciamo di stare attenti perché per certi versi Google ha superato le nazioni e nessuno se ne è reso conto 🙂

    Secondo me ci sono una serie di problematiche:

    • quella comunicativa, c'è bisogno che Google crei un posto ufficiale dove comunicare tutto
    • quella educativa, io sostengo che bisogna assolutamente puntare a un web più educativo se vogliamo migliorare le cose. Quando Google attiva le cose di default, crea ignoranza. Da questo punto di vista, "obbligare" le persone a passare all'HTTPS perché è un fattore di ranking, crea ignoranza. Più o meno così la pensa Altavilla che ho citato nel primo post
    • esiste il W3C. Ok, qui stiamo parlando di un fattore di ranking di motore di ricerca di proprietà, quindi fa come gli pare giusto? Si può essere, può essere un caso border-line, ma Google di fatto si comporta come quello che detta le regole del Web. Io vorrei che fosse diversamente, che magari questo movimento sia fatto in modo più o meno coordinato con altre realtà del web, sulla traccia di Schema.org, Sitemap, Robots.txt ma tutti allo stesso tavolo con il W3C e altri.

    Almeno queste per me sono le cose più problematiche!

    Giorgio

    p.s. Ettore scusa se sono intervenuto nella tua firma rimuovendo l'immagine, può essere solo di 120x20 per il tuo profilo 🙂


  • User Attivo

    @ettore said:

    Il fatto che Google inviti==>spinga==>obblighi (storicamente sempre in quest'ordine) i webmaster ad adottare soluzioni di un qualsiasi tipo per ottenere migliori risultati non è tanto un complotto semisegreto, ne un comportamento in qualche modo contestabile. E' una strategia evidente e sotto certi aspetti necessaria per una struttura come Google

    Chiaro, del resto non vedo nulla di male nel content marketing in generale: produci articoli, comunicati, guide e simili sul "cosa serve" una tecnologia e poi inviti le persone ad acquistarla, nulla di evil per me: pero' qui, permettimi, parliamo di un qualcosa di diverso. Dire che tutti i siti hanno bisogno di HTTPS è sbagliato, punto, non c'è criterio logico che possa sostenere una cosa del genere se non, come dicevo, il fatto che stiano per lanciare un "GoogleSSL".

    Non stiamo dicendo che Google abbia sostenuto "usate tutti PHP che ASP è brutto", "usate server dedicati che vi posizionate prima", che sono affermazioni faziose quanto facilmente smentibili dalla pratica: qui stiamo dicendo che Google ha emanato un comunicato profondamente sbagliato dal punto di vista tecnologico, che finirà per creare problemi alle sue stesse attività di indicizzazione, peraltro (esempio: i duplicati http/httpS come li trattiamo?)

    È in questo modo di esprimersi che risiede il problema: del resto, se avessero detto qualsiasi altra cosa tra gli esempi ipotetici che ho citato, avremmo fatto ironia sulla cosa, magari, ma si sarebbe chiusa lì: adesso, invece, l'effetto sarà molto più grave, per non dire devastante.

    E questo perchè** è errato** dire che HTTPS serve a tutti i siti per renderli più sicuri, quando sappiamo bene che le misure di sicurezza dei siti passano da SSL solo in casi specifici ed a certe condizioni, esempio: transazioni monetarie, passaggio di dati sensibili, certificati autentici.

    Questa semplificazione markettara che ne sta uscendo fuori mette i brividi...


  • User

    Ciò che sostiene il Quinta è pura realtà dei fatti. Ma noi, italiani.., abbiamo la capacità di fare qualcosa? Quando anche Moz dal suo conto si è visto segnalare come un sito spam?

    La questione purtroppo è politica e non è risolvibile in termini di capacità o ideali.

    Uno dei pochi modi per risolverla sarebbe coinvolgere un parlamentare con un minimo di palle, andrebbe benissimo anche il Quinta sia chiaro, che sia portavoce delle nostre paure e smuova qualcosa a livello Europeo.

    Purtroppo chi finoggi si è occupato di arginare l'espansione di Google è qualcuno che non conosce le nostre retrospettive e la percezione che si può avere aldilà del puro interesse personale. Il tutto perchè mi sembra che se si vuole allargare il discorso, non ci si può più basare solo su Google o Facebook e sui nostri profili personali, ma bisogna anche pensare a cosa potrebbe accadere per i nostri figli o noi stessi fra qualche anno.

    Io come sempre ci starei a fare qualunque cosa. Penso anche che il topic potrebbe cambiare troppo connotati se mi inoltro in questa cosa per cui meglio non eccedere 🙂


  • Moderatore

    Ciao a tutti, stimolato da questa interessantissima discussione ho provato a portare un mio sito su https, cosa che mi ha sollevato alcuni dubbi che spero non vadano (troppo) off topic. E' la prima volta che affronto il tema, perciò potrei anche dire qualche inesattezza o peggio, sperando nelle vostre cortesi precisazioni.

    L'operazione tecnica di installazione di SSL e attivazione del servizio sulla porta 443 mi ha richiesto circa mezz'ora di tempo (su Centos, compreso il tempo di cercare la documentazione e capire come si fa) e ora il sito di prova è visibile su https.

    Quindi direi che il problema non dovrebbe essere tanto il passaggio a https in se stesso, in realtà semplicissimo e perfettamente gratuito se si usa un certificato autogenerato, quanto il fatto che poi il browser segnala che "Il certificato di sicurezza presentato dal sito Web non è stato emesso da un'Autorità di certificazione disponibile nell'elenco locale.", appunto perchè ho generato autonomamente il certificato in fase di installazione.

    Ovviamente nessuno vuole che i suoi utenti siano bloccati da un tale messaggio, per cui il problema indubbiamente c'è ma secondo me non riguarda https in se stesso quanto piuttosto l'autorevolezza del certificato. E' vero che una cosa implica l'altra ma forse conviene distinguerle, perchè per esempio la protezione crittografica non è data dal certificato più o meno autorevole ma dal protocollo TLS, che in sè sarebbe appunto gratuito.

    Il fatto è che se vogliamo usare https, i browser ci obbligano a usare certificati emessi da autorità di certificazione, e quando google ci consiglia-impone https ci vediamo costretti a comprare almeno i certificati che non ci fanno fare brutta figura sui browser.

    Non lo so, forse è la stessa cosa ma io non vedo tanto un futuro in cui dovremo avere tutti https quanto un futuro in cui dovremo essere tutti certificati, cosa che presenta anche altre implicazioni, dato che da un breve giro sui venditori di certificati mi pare di capire che ce ne sono di vari livelli, con barretta verde o senza barretta verde, e a prezzi decisamente diversi.

    Detto questo, il mio parere è che https dovrebbe avere senso dovunque ci siano dati realmente sensibili e utenti che inseriscono password (compresi i siti in wordpress o altro cms), in quanto provvede alla crittazione dei dati in transito sulla rete , mentre mi riesce difficile capirne l'utilità per i siti che si limitano a fornire contenuti. Il rischio per questi ultimi di subire attacchi man-in-the-middle mi sembra una forzatura, per usare un termine gentile.


  • User Newbie

    Che Google sia una potenza che supera di gran lunga la sovranità delle singole nazioni (a braccetto con l'economia, e in questo periodo direi che abbiamo ottimi esempi a riguardo) e che sia pericolosamente fuori controllo è purtroppo sempre più lampante. E qua parliamo di un'iniziativa tutto sommato innocua rispetto a quello che potrebbe potenzialmente scatenare. Un azienda privata è in grado di influenzare come vengono fruite le informazioni di tutto il mondo, indirizzare l'attenzione delle persone partendo dai loro bisogni. Purtroppo con un potere del genere, la storia ci insegna, non può che finire male. Sono troppo melodrammatico?

    @Salvatore: il post lo trovi linkato al post #3 di questo thread (non voglio spammare il link 🙂 )!


  • Moderatore

    Devo rettificare il mio post precedente, quando l'ho scritto pensavo che per usare https fosse necessario comprare un certificato da una Autorità Certificativa, mentre poi ho appreso che è possibile averlo gratuitamente facendone richiesta. Ne ho provato uno gratis e a quanto pare funziona: il browser non dà messaggi e qualifica il mio sito come sicuro.

    Questo mi rassicura sotto due profili: prima di tutto perchè il passaggio da http a https sembrerebbe un'operazione semplice e praticamente a costo zero (dico sembrerebbe perchè non l'ho mai fatto su un sito operativo e qualche complicazione può sempre sorgere), e poi perchè fa pensare che non sia il business dei certificati a spingere Google in questa direzione.

    Infatti può essere facile, puntando sul ranking, convincere i webmaster a mettere https anche sui siti che non ne hanno nessun bisogno, ma sarà difficile se non impossibile convincerli a pagare per comprare un certificato quando possono avere lo stesso risultato scaricandone uno gratis.
    Se il fattore di ranking rimane di tipo on-off, essendoci la scelta tra pagare il certificato o non pagarlo, è logico pensare che chi non avrà necessità specifiche se lo scaricherà gratis.

    Escluso il business non saprei dire cosa spinge Google a premere in questa direzione, personalmente mi dà molto fastidio l'atteggiamento pedagogico di chi ti dice cosa devi fare per il tuo bene, e su questo devo dissentire con chi riteneva accettabile l'obbligo del cappotto nell'era glaciale. Va detto anche che sul tema della sicurezza questo atteggiamento sembra diventato quasi la regola non solo da parte di Google, una specie di pedaggio che tocca pagare, come quelli che ti chiedono una password con lettere maiuscole minuscole e caratteri speciali e poi ti obbligano pure a cambiarla ogni sei mesi, magari su un sito dove non transita neppure un centesimo.


  • Super User

    Bene, a questo punto mi aspetto qualche tutorial. 😉


  • User Attivo

    @gianrudi said:

    [...] pensavo che per usare https fosse necessario comprare un certificato da una Autorità Certificativa, mentre poi ho appreso che è possibile averlo gratuitamente facendone richiesta. Ne ho provato uno gratis e a quanto pare funziona: il browser non dà messaggi e qualifica il mio sito come sicuro. [...]

    In realtà, che io sappia, se usi un certificato gratuito per garantire al client che il sito sia davvero chi dice di essere (misura anti-phishing, per capirci) la sua "garanzia" diventa molto relativa: in effetti la potenza dei certificati risiede nell'alta affidabilità di un terzo "super partes", che è quasi sempre a pagamento. I certificati gratis, per quanto utilizzabili, sono da sempre visti con sospetto anche dai browser più scassati: ed è difficile che chi metta a disposizione un servizio del genere non si faccia prendere dalla tentazione di farlo pagare, se mi permetti 😉

    Non sono molto d'accordo, inoltre, che il passaggio da http a https sia indolore, inoltre, perchè mi è capitato di **essere indicizzato erroneamente su Google per URL https **anzichè http, e vi garantisco che recuperare la situazione non è affatto agevole. Va bene essere costretti a seguire politiche di link / di contenuto perchè sennò Google dice che spammiamo o facciamo i furbi, ma essere costretti - di fatto - ad adottare una tecnologia solo perchè "così è più sicuro" è molto semplicistico, farebbe prendere un colpo a qualsiasi sistemista e ricorda situazioni da monopolio Microsoft anni 90.

    Del tipo: sì, "ha detto Papà Google" che con HTTPS sto al sicuro... pero' pensavo, secondo te devo cambiare la mia password attuale da "password" a "12345"? (cit. Balle Spaziali 😄 )

    @gianrudi said:

    Escluso il business non saprei dire cosa spinge Google a premere in questa direzione, personalmente mi dà molto fastidio l'atteggiamento pedagogico di chi ti dice cosa devi fare per il tuo bene

    Riassunto della discussione in poche parole 🙂


  • Moderatore

    @bmastro said:

    Bene, a questo punto mi aspetto qualche tutorial.
    Per ottenere il certificato gratuito ho cercato 'free ssl digital certification' su google e ho seguito le istruzioni per il certificato free di class 1 sul primo sito dei risultati organici (con l'immagine di un coltellino svizzero in home).
    Non so se ci siano anche altre CA che offrono certificati gratuiti, questo comunque l'ho provato e sembra funzionare.
    Sullo stesso sito si trovano anche le istruzioni per l'installazione sui vari sistemi (alla voce 'How to install' nel menu di sinistra).

    @salvatore79 said:

    In realtà, che io sappia, se usi un certificato gratuito per garantire al client che il sito sia davvero chi dice di essere (misura anti-phishing, per capirci) la sua "garanzia" diventa molto relativa
    Comunque permette di installare un protocollo https che provvede a crittografare i dati in transito e impedisce attacchi man-in-the-middle, che è la garanzia necessaria alla stragrande maggioranza dei siti, e per molti pure sovrabbondante.
    Poi se uno crede necessario offrire altre garanzie ai suoi utenti, può benissimo pagarsi un certificato più prestigioso, magari con la barretta verde, ma google non lo considera un fattore di ranking aggiuntivo, dato che è di tipo on-off. Per quanto riguarda il ranking, google considera il certificato gratuito esattamente come quello più prestigioso, almeno allo stato delle attuali conoscenze.

    @salvatore79 said:

    I certificati gratis, per quanto utilizzabili, sono da sempre visti con sospetto anche dai browser più scassati
    Il mio sito di prova mostra il lucchetto grigio e dice "La connessione con questo sito web è sicura" su tutti i browser. Non so cos'altro dovrebbe fare un browser nè cosa voglia dire che vede alcuni certificati con sospetto.

    @salvatore79 said:

    Non sono molto d'accordo, inoltre, che il passaggio da http a https sia indolore
    Sì, su questo ho parecchi dubbi anch'io, infatti mi riservo di studiare bene la cosa prima di fare qualsiasi mossa sui siti operativi. Invece per quelli nuovi credo che non dovrebbero esserci problemi a farli direttamente in https.
    A proposito, il pagerank non compare sui siti in https?

    @salvatore79 said:

    ed è difficile che chi metta a disposizione un servizio del genere non si faccia prendere dalla tentazione di farlo pagare, se mi permetti
    Verissimo, come si può vedere dalle varie offerte di https a pagamento, ma non è certo colpa delle Ca che offrono i certificati gratis, e neanche di Google.


  • Admin

    @bmastro said:

    Bene, a questo punto mi aspetto qualche tutorial. 😉

    Buon divertimento
    http://seoblog.giorgiotave.it/migrazione-http-https/4861

    😉


  • Community Manager

    @Juanin said:

    Buon divertimento
    http://seoblog.giorgiotave.it/migrazione-http-https/4861

    😉

    Non ti si può dire una cosa per scherzo che la fai eh 🙂

    Complimenti, la aggiungo in alto al primo post 😉


  • Super User

    @Juanin said:

    Buon divertimento
    http://seoblog.giorgiotave.it/migrazione-http-https/4861

    😉
    Accidenti, sei un fenomeno.
    Capisco essere veloci, ma tu esageri.


  • User

    Interessante. Gestisco un blog e qualche giorno fa avevo quasi deciso di buttarmi a pesce sulla notizia con un articolo abbastanza de fuego seppur ho lasciato stare vista la mia scarsa indole aggressiva e ancora più scarsa polemica.

    Leggendo però il blog di Google mi si sono rizzati i capelli in testa (e sono pelato stile palla da biliardo quindi pensate un pò) per le due semplicissime domande che mi sono subito spuntate:

    • Come sappiamo l'https è un protocollo lento, molto più del normale http, e già adesso che le query https interessano solo l'1% possono occorrere dai 2 ai 3 secondi in più per aprire una pagina https. Ipotizzando arrivino al 5% di query che interessano l'https (non ci credo neanche se lo vedo) quanto tempo occorrerà per aprire le pagine? Un paio di ore? Di più? Un WE intero? Non lo so ma non penso saremo molto lontani.
    • A ri come sappiamo la velocità del sito è un fattore, dicono ... se ci credono anche non lo so ..., determinante. Non pare anche a voi che con sta mossa Google voglia provare a chiudere un buco da una parte aprendone però uno bello grosso dall'altra?

    In conclusione che bisogno c'è di forzare tutti a creare delle connessioni sicure? E tutta quella miriade di siti che per loro stessa natura non hanno niente da proteggere? Il socket secure layer (ssl appunto) è un protocollo che serve a trasmettere dati criptati quindi con sta mossa costringono, almeno ci provano, tutti ma proprio tutti quanto meno a implementare un qualche sistema di login per avere qualcosa da trasmettere con quel protocollo o in Google, mi sembra un'ipotesi poi non così campata per aria visto la paranoia in merito ai contenuti che regna sovrana la dentro, pensano che l'ssl serva per impedire il copia/incolla di un testo?


  • Community Manager

    Salvatore Capolupo ha segnalato un problema relativo ai guadagni Adsense 😄


  • User

    Intanto, su un sito, a seguito dei grossi scossoni all’algoritmo dei giorni scorsi, mi sto ritrovando in SERP dei risultati con “https“.
    È inutile dire che cliccando si va su una pagina di errore dello stesso google che indica qualcosa che non va sulla connessione.
    Aspettiamo e vediamo cosa succede....


  • Admin

    Il problema dei guadagni AdSense in teoria dovrebbe essere temporaneo e solo nella fase iniziale dove viene fatto il deep crawl del sito HTTPS.


  • User Attivo

    Scusatemi
    ma utilizzare un certificato HTTPS (su server Windows) non rallenta la navigazione dell'utente?
    Qualcuno sa qualcosa in merito ?

    A mio parere il certificato SSL sarebbe da attivare solo dove vengono trattati i dati dei visitatori quindi nelle pagine dei moduli di contatto, nelle pagine del carrello di un ecommerce, nella pagina di login.
    Ovviamente se la form del login si trova su tutte le pagine del sito, penso che sia necessario un certificato su tutto il sito.


  • User

    Riesumo la discussione perchè mi è capitato un fatto assai strano...
    Gestisco un e-commerce completamente in HTTPS e recentemente una ditta che si occupa di SEO e posizionamento mi ha consigliato di rimuovere il certificato. Perchè? "Perchè HTTPS rende difficoltosa la link building"
    Qualcuno ha avuto esperienze negative nel posizionare siti HTTPS? Oppure potete spiegarmi l'affermazione di cui sopra?


  • Admin

    Mi sembra una bella idiozia questa della link building.