SEO ridicat prin folosirea HTTPS, la recomandarea Google

Google a lansat la inceputul lunii August 2014 un anunt pe pagina dedicata Webmaster-ilor ( http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-signal.html ), prin care anunta un ranking mai bun pentru site-urile care folosesc HTTPS in ideea sustinerii "Un internet mai sigur", concept numit de catre ei "HTTPS everywhere". Conceptul, ca si denumire, este oarecum "imprumutat" de la Electronic Frontier Foundation, dar in schimb ofera o crestere de rank Google si un SEO crescut.

Google s-a hotarat deci sa foloseasca conceptul "HTTPS everywhere" ca si o initiativa-incurajare adresata detinatorilor de site-uri de a-si securiza site-urile (informatiile transmise prin intermediul acestora, mai exact) folosind protocolul de cryptare SSL peste HTTP, protocol denumit HTTPS. Google, pe langa sfaturi, mai promite (desi nu foarte documentat), ca site-urile protejate cu HTTPS vor avea o crestere de rank in cautarile Google. Procentul total alocat site-urilor cu HTTPS (din totalitatea optimizarilor ce pot urca un site in cautarile Google) este totusi unul destul de mic, 1% mai exact, dar cu promisiuni de crestere. Adica, pe scurt, vreti SEO? Cumparati un certificat HTTPS si serviti site-ul dumneavoastra prin HTTPS, chiar daca este doar un site de prezentare.

De ce criptarea conexiunii folosind HTTPS ?

Nu am sa intru in amanunte dar ideea este destul de simpla: De fiecare data cand un vizitator al unui site transmite prin intermediul site-ului informatii (ex: autentificare, emailing, cumparaturi online, formulare de contact, etc), informatia se transmite de la calculatorul utilizatorului catre serverul pe care este gazduit site-ul, peste internet.

In cazul in care site-ul NU foloseste un protocol de cryptare informatii (HTTPS), informatia transmisa poate fi interceptata foarte usor de un atacator. Si daca informatiile interceptate de genul lista cu cumparaturi online, nu pot avea o importanta atat de mare pentru clientii site-ului, cu siguranta interceptarea datelor cu caracter personal au un alt statut.

In cazul in care site-ul este protejat cu HTTPS, informatia transmisa peste internet este criptata si teoretic imposibil de "tradus" in cazul unei interceptii.

De ce teoretic? Fiindca exista exemple de vulnerabilitati grave anul acesta, precum Heartbleed si POODLE care afecteaza tocmai aceasta parte de criptare. Mai mult, desi un certificat HTTPS este relativ usor de cumparat si de instalat, configurarea serverului pentru a indeplini cerintele de securitate curente este putin mai dificila, fapt ce face sa existe foarte multe implementari gresite si o falsa senzatie de securitate indusa de cumpararea unui certificat HTTPS. Spre exemplu, analizand raportul curent al celor de la Trustworthy Internet Movement ( https://www.trustworthyinternet.org/ssl-pulse/ ) putem constata cu surpriza ca doar 30% dintre site-uri obtin calificare A la o analiza a implementarii HTTPS, restul fiind B, C si chiar F (din nou 30%).

Cu o configurare corecta, site-ul nostru obtine A+ vezi aici: https://www.ssllabs.com/ssltest/analyze.html?d=www.camscape.ro . De curiozitate testati alte site-uri, va recomand sa incepeti cu cele pe care va faceti platile online. Nu o sa va placa ce o sa vedeti.

Ca si o concluzie, sfat personal, implementarea HTTPS aduce in primul rand cresterea increderii utilizatorilor in site-ul respectiv, impreuna bineinteles cu stabilitatea propriu-zisa a site-ului impotriva dezvaluirii informatiilor (de ex: daca un singur cont este interceptat in cazul unei conexiuni necriptate, informatia interceptata poate fi utilizata pentru a fura datele tuturor conturilor prezente pe site-ul respectiv sau chiar compromite intreg site-ul). Din punct de vedere securitate website-uri, HTTPS-ul este un pas important ce ar trebui implementat pe orice website care se respecta.

OK, daca HTTPS-ul este atat de recomandat, de ce nu il foloseste toata lumea ?

Fiindca, in primul rand, nu tuturor detinatorilor de site-uri le pasa de integritatea datelor utlizatorilor sau au site-uri ce nu necesita interactiunea cu datele utilizatorilor (nu au nici macar un formular de contact online).

In al doilea rand, HTTPS-ul costa, ca sa implementezi SSL este nevoie de achizitie certificate digitale de criptare cu preturi anuale, preturi (practicate de compania noastra) cuprinse intre 40 EUR pe an pentru un certificat ce cripteaza doar www-ul site-ului (ex: www.example.com) si 120 eur pe an pentru certificate wildcard (criptare subdomenii, ex: webmail.example.com, shop.example.com - tot ce se termina in .example.com mai exact). Certificatele descrise aici sunt COMODO PositiveSSL (identic cu cel care securizeaza in acest moment site-ul nostru).

In al treilea rand, implementarea acestui certificat necesita anumite pregatiri si cerinte din partea serverului de gazduire. De exemplu, o configurare ideala SSL necesita un site pe un IP, configurare ce necesita sa tii un singur site pe un singur server sau administratorul serverului respectiv sa poata aloca si mapa respectiva combinatie (si inca un cost, ~1 eur pe luna pentru alocarea unui IP dedicat) sau intr-un caz nu foarte ideal sa foloseasca protocolul SNI (maparea mai multor site-uri HTTPS pe un singur IP), protocol ce nu este suportat insa de browserele Internet Explorer ale utilizatorilor cu Windows XP.

In al patrulea rand, utilizarea protocolului HTTPS din punct de vedere server de hosting necesita alocarea de resurse hardware suplimentare (in cazul unei optimizari ineficiente), resurse pe care nu toti furnizorii de hosting sunt dispusi sa le aloce pentru clienti.
 

Sunt intradevar destule motive pentru care inca nu se foloseste HTTPS-ul la nivel global, dar totusi, evolutia internetului si a datelor transmise peste internet are un ritm atat de alert incat, mult mai mult decat partea de marketing online, securitatea informatiei transmise si stocate peste internet a devenit o grija global primordiala.
 

Cel mai ingrijorator este faptul ca inca se pune mai presus marketingul decat securitatea, evolutia si profesionalismul in IT, uitand de fapt ca datorita unui simplu bug de securitate, o intreaga strategie de marketing poate fi pusa la pamant prin pierderea informatiilor, informatiilor clientilor, increderea clientilor, compromiterea imaginii de business sau chiar a solutiilor de management folosite foarte des in businessul contemporan.