Come promesso vediamo una piccola guida utile per i passaggi da farsi nel traumatico (più a dirsi che a farsi) passaggio di un sito dal protocollo HTTP al protocollo HTTPS.
Il succo del problema lo possiamo immaginare tutti, i link del vecchio sito sono diversi da quelli del nuovo sito e, di conseguenza, mantenere il posizionamento organico su Google acquisito negli anni è la priorità assoluta e i redirect 301 sono la nostra unica ancora di salvezza.
Vediamo di seguito le procedure da seguire, sia che il sito sia fatto a manina in HTML o PHP, sia che lo abbiate realizzato in WordPress (tema custom o premium cambia poco).
Sito WordPress
In entrambi i casi il primo passaggio è richiedere il certificato SSL che oramai viene rilasciato gratuitamente da qualsiasi azienda di hosting seria; nel caso di un sito WP la procedura si può effettuare molto velocemente grazie all’ausilio di un plug-in che, da solo, si occupa di tutto una volta attivato e settato
Il plug-in in questione si chiama Really Simple SSL
Ricordiamoci di modificare tutte le occorrenze HTTP statiche e verificare dalle impostazioni di lettura della bacheca di WP che i campi siano poi stati rinominati in HTTPS; naturalmente l’intera procedura può essere fatta anche a mano senza plug-in andando ad agire sul file .htaccess ma di questo magari parliamo in un prossimo articolo.
Se usate strumenti di caching come wp super cache o wp fastest cache potrebbe essere necessario svuotarli e rigenerarli; una volta terminata la procedura lasciate attivo il plug-in per ovvi motivi.
Sito Custom
Nel caso di un sito custom (no cms) la questione è dipesa dai link e dai collegamenti, se questi sono relativi vi basta attivare il certificato SSL e, se presente, il redirect automatico previsto dal provider. Nel caso invece abbiate un sito dinamico con dei rewrite url in un file .htaccess personalizzato dovete prestare più attenzione perché i link sono assoluti.
Se i link sono assoluti nel rewrite in .htaccess indicate il parametro rewriteBase con valore / (cosa che presumibilmente avete già fatto riversandolo in una costante per poter gestire i collegamenti a script, stili e img del sito) e aggiungete queste righe di codice tra RewriteEngine On e le vostre espressioni regolari:
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTP_HOST} ^www.
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]
Fatto questo passaggio dovreste avere già risolto tutti i vostri problemi a livello tecnico ricordando, ovviamente, che se avete delle stringhe statiche nei file con valore HTTP sarebbe bene correggerle anche se il 301 automatico del provider aggiusterebbe comunque la cosa.
Cose da farsi dopo per entrambe le casistiche
La prima cosa da fare a questo punto è verificare eventuali errori SSL, qualche link potrebbe esservi sfuggito; per farlo potete utilizzare questo tool che, in cambio di un semplice tweet, farà un check del vostro sito in pochi minuti restituendovi gli eventuali errori.
Un sito di norma utilizza robots e sitemap, ricordate di aggiornarle con i nuovi link.
Un sito di norma utilizza Google Analytics e Search console che, però, stanno continuando a lavorare sui vecchi link; per Analytics vi basta aprire la proprietà, entrare in amministratore e da li modificare la selezione della voce URL predefinito da HTTP a HTTPS sia per impostazioni proprietà che per impostazioni vista.
Non è invece possibile modificare la proprietà in Search Console ed è quindi necessario crearne una nuova e collegarla al sito. Dalla proprietà appena creata inviate a Google la nuova sitemap e il robots aggiornato dopodiché mettetevi comodi e, se tutto è andato a buon fine, vedrete che un pò alla volta i dati della vecchia proprietà (lasciatela pure attiva per verificare) smetteranno di arrivare e la nuova proprietà si andrà a ripopolare mantenendo inalterato il posizionamento nel motore di ricerca.
Ricordo che la procedura potrebbe essere differente in qualche hosting, non credo infatti funzioni cosi su Aruba (strano) ma, nel caso, avranno sicuramente una pagina F.A.Q. utile alla causa.
Prendetevi 4-5 ore libere, seguite i passaggi e in breve vi potrete togliere dalle balle quel fastidioso ! che indica il vostro sito come non sicuro.
NB appunto perché la procedura porta via molte ore vi sia chiaro che non dovete farlo gratuitamente ai vostri clienti, di fatto non è colpa vostra se Google si è svegliato una mattina con queste nuove direttive; il cliente che vorrà mettersi in regola su Chrome dovrà rassegnarsi a pagarvi il compenso orario adeguato ma, nel caso non gradisca o capisca, fategli presente che su Safari o Firefox il problema non sussiste ma non siamo noi a decidere che browser far usare ai visitatori.