03.09.17
aggiornato al 21.10.20
Jan Hornung
0 commenti
WordPress HTTPS: un semplice certificato può velocizzare enormemente il tuo sito

WordPress sotto HTTPS: come un semplice certificato rende le tue pagine più veloci in un colpo solo

C'è un'idea sbagliata persistente secondo cui l'HTTPS rende WordPress lento. In realtà, è vero l'esatto contrario: grazie a HTTP/2, le pagine criptate con SSL sono talvolta estremamente veloci. Inoltre, grazie ai certificati SSL gratuiti e alle installazioni integrate, non è mai stato così facile passare WordPress all'HTTPS. E questo è un bene, perché i siti HTTP dovranno presto sopportare alcuni svantaggi. Ti mostriamo i vantaggi del passaggio e come puoi verificare se il tuo host utilizza HTTP/2 in un colpo d'occhio.

Oggi, ogni cliente e utente finale conosce la differenza tra siti crittografati e non. Almeno a livello soggettivo: il lucchetto verde dà semplicemente una buona sensazione. Tuttavia, altrettanto noto quanto l'effetto positivo sulla fiducia dei visitatori di un sito è l'errata convinzione che SSL, o TLS (il spiega la differenza ad esempio dai nostri colleghi di CHIP.de) renda WordPress lento.

E sì, in teoria è vero: se una pagina viene consegnata tramite HTTPS (cioè la versione sicura di HTTP), la connessione tra il server web e il browser richiede un po' più di tempo a causa dell'handshake SSL. Tuttavia, stiamo parlando solo di pochi millisecondi.

Al giorno d'oggi si può tranquillamente dire che l'HTTPS rallenta WordPress: in realtà un certificato SSL non fa altro che giovare al tuo sito. E dato che Google inizierà presto a etichettare i siti non criptati come "non sicuri", è giunto il momento di passare il tuo sito all'HTTPS.

Te lo dimostrerò oggi:

  • Perché è il momento migliore per passare WordPress all'HTTPS
  • Come passare WordPress a HTTPS
  • Perché HTTP/2 rende i tuoi siti WordPress più veloci
  • Qual è l'incremento di prestazioni che puoi aspettarti da un sito WordPress con HTTPS?
  • Un semplice trucco che ti permette di riconoscere se il tuo host utilizza già HTTP/2 (e dovrebbe farlo!)

Tutto ruota intorno all'HTTPS, che si tratti di WordPress o meno.

Tre anni fa, in occasione della conferenza degli sviluppatori Google I/O Google ha proclamato il motto "HTTPS ovunque". In breve, gli sviluppatori di Google dell'epoca, Pierre Far e Ilja Grigorik, si schierarono a favore dell'uso di TLS (il protocollo che ha sostituito SSL) e mostrarono nella loro sessione sessione i modi per implementarlo, tra le altre cose.

Solo poche settimane dopo, nell'agosto del 2014, HTTPS è stato L'HTTPS è stato quindi inserito come segnale di ranking ufficiale nelle classifiche di ricerca di Google. Google ha cercato per anni di convincere i gestori di siti web a passare all'HTTPS utilizzando argomentazioni e creando fatti.

Il fatto che Google Chrome presto penalizzerà le pagine HTTP con l'avviso "non sicuro" può certamente essere visto come il prossimo grande passo dell'offensiva di Google "HTTPS everywhere". In realtà, questo avviso è già stato visualizzato dalla versione 56 di Chrome per le pagineche contengono informazioni sulla carta di credito, ad esempio. Con la nuova versione 62 del browser di Google, tuttavia, questa regola verrà applicata a tutte le pagine che consentono l'inserimento di dati da parte dei clienti, come i moduli di contatto o i campi di ricerca.

Le password e le carte di credito non sono gli unici tipi di dati che dovrebbero essere privati. Qualsiasi tipo di dato digitato dagli utenti nei siti web non dovrebbe essere accessibile ad altri utenti della rete, perciò a partire dalla versione 62 Chrome mostrerà l'avviso "Non sicuro" quando gli utenti digitano dati nei siti HTTP.

- Emily Schechter, Chrome Security Team

SSL gratuito: la situazione non è mai stata così favorevole per il passaggio di WordPress a HTTPS

Tre anni fa, quando i due sviluppatori di Google fecero il loro appello a favore del TLS, dovevi ancora acquistare i certificati SSL e installarli da solo. Ora la situazione è cambiata radicalmente, e in meglio.

Nel 2016, l'iniziativa Let's Encrypt ha iniziato a rilasciare certificati SSL gratuiti. Grazie a sponsor come - non a caso - Chrome, ma anche Facebook e aziende dell'universo WordPress, i californiani possono ora fornire quasi 40 milioni di certificati SSL gratuiti attivi.

Dati sulla crescita di WordPress HTTPS Let's Encrypt. Da ottobre 2016, il numero di certificati attivi è aumentato di quasi otto volte.
Come puoi vedere, la crescita di Let's Encrypt ha subito una forte accelerazione da ottobre 2016. Da allora, il numero di certificati attivi è aumentato di quasi otto volte.

Questo sviluppo ha avuto un impatto enorme sul panorama dell'hosting: i certificati SSL gratuiti sono ora standard e, grazie all'integrazione delle installazioni one-click, la configurazione è ora possibile per ogni utente.

Un tempo l'HTTPS era una vera e propria seccatura per WordPress

Prima della distribuzione di massa di certificati SSL gratuiti, avvenuta ben due anni fa, il passaggio di WordPress a HTTPS era una vera e propria sofferenza. Soprattutto per i proprietari di piccoli siti che avevano bisogno solo di certificati convalidati dal dominio.

Info: Sono disponibili questi tipi di certificati SSL

  • Certificati DV: DV sta per Domain Validated. Un certificato DV serve quindi a verificare se il dominio e lo spazio web "appartengono". Se tutto è a posto, puoi essere sicuro che quando accedi al dominio, finirai effettivamente sullo spazio web corrispondente e non su un sito di phishing. Il processo di configurazione è ancora piuttosto semplice: l'amministratore del dominio conferma di avere i diritti appropriati su un dominio e può quindi criptare il proprio sito di conseguenza.
  • Certificati OV: OV sta per Organisation Validated. Oltre alla convalida del dominio, questo tipo di certificato garantisce che la pagina che stai visitando appartiene davvero all'azienda di cui stai cercando di accedere.
  • Certificati EV: I cosiddetti Certificati Validati Estesi fanno un ulteriore passo avanti: in questo caso, l'ente di certificazione controlla in modo intensivo i documenti dell'azienda. Tra le altre cose, la forma giuridica dell'azienda viene inclusa nel certificato.

Anche l'impostazione di un semplice certificato DV era in passato una vera e propria seccatura per i siti WordPress e poteva anche non essere fattibile per i non addetti ai lavori. Questo perché il processo consisteva in almeno quattro passaggi:

  1. acquistare un certificato: In questo caso, dovevi conoscere il panorama dei fornitori e confrontare attivamente i prezzi e le condizioni anche per i semplici certificati DV. Questo ha portato alcuni fornitori a inventare caratteristiche molto creative, come l'assicurazione, per differenziare i loro prodotti. Nel caso dei certificati estesi, c'è anche la fase di convalida, cioè la dimostrazione che il proprietario del dominio è anche il proprietario dell'azienda. A seconda del certificato, questo processo può richiedere giorni o settimane.
  2. Impostare il certificato: Il passo successivo è stato quello di memorizzare le informazioni del certificato sul server web. A seconda del provider, questa operazione richiedeva più o meno tempo. Nel frattempo, però, tutti i provider di hosting hanno creato un flusso di lavoro più o meno buono che guida l'utente attraverso il processo di configurazione.
  3. Preparare WordPress per HTTPS: Una volta impostato il certificato, il sito doveva essere preparato per il passaggio da HTTP a HTTPS. A tal fine, ogni voce del database e ogni risorsa del sito doveva essere convertita in HTTPS e il risultato doveva essere controllato per individuare eventuali errori di contenuto misto.
  4. Configurare Google: Dopo la conversione del sito, è stato necessario modificare le entità in Google Analytics e in Google Search Console (ex Google Webmaster Tools).

Lo sviluppo avviato da Let's Encrypt verso i certificati DV gratuiti ha semplificato notevolmente questo processo. Molti hoster ora offrono anche un'installazione semplificata in cui, nel migliore dei casi, il certificato viene attivato e impostato con un solo clic e il sito passa automaticamente all'HTTPS. Indipendentemente dal fatto che si tratti di un progetto WordPress o meno.

SUGGERIMENTO: Hai bisogno di configurare l'SSL senza un'installazione one-click?

Se sei sfortunato, il tuo host non offre ancora un'installazione semplificata. In questo caso dovrai provvedere tu stesso alle impostazioni di WordPress per l'HTTPS:

  • Il nostro collega Jonas Tietgen, alias WP Ninjas, ci spiega come funziona.
  • Istruzioni simili da parte di René Dasbeck, alias netzgänger
  • E anche il nostro collega Finn Hillebrandt di blogmojo ha affrontato l'argomento

Non c'è HTTP/2 senza Google

Ne ho già parlato: nell'ambito della sua campagna "HTTPS everywhere", Google è sempre stata interessata a garantire che il maggior numero possibile di siti sia dotato di un certificato SSL. Per inciso, questo è probabilmente anche il motivo per cui Chrome è uno sponsor ufficiale di Let's Encrypt. Tuttavia, il gigante dei motori di ricerca è stato anche coinvolto in modo significativo nello sviluppo di HTTP/2.

Perché il protocollo precedente, SPDYè stato inizialmente sviluppato da Google come esperimento per esplorare le possibilità tecniche con le quali migliorare il quasi antico HTTP/1. Questo avveniva nel 2009. Nel 2015, i risultati del progetto sperimentale SPDY sono stati incorporati nel protocollo standardizzato HTTP/2. protocollo standardizzato HTTP/2.

Perché HTTP/2 rende i tuoi siti WordPress più veloci

HTTP/2 è stato dotato di una serie di nuove funzioni che consentono un trasferimento dei dati molto più veloce:

  • Multiplexing: Con questa funzione è possibile caricare diversi flussi di dati attraverso una connessione tra il server web e il client (cioè il browser dei visitatori del sito). Con HTTP/1, è necessario aprire una connessione separata per ogni flusso di dati. E l'apertura di queste connessioni richiede tempo.
  • Compressione delle intestazioni: Ogni richiesta HTTP che un client fa a un server web contiene delle meta-informazioni che permettono di costruire correttamente la pagina. Queste informazioni meta sono diventate sempre più grandi nel corso degli anni. HTTP/2 comprime queste informazioni e consente di risparmiare volume di dati.
  • Server Push: A volte chiamato anche cache push. Il principio alla base di questa funzione è molto semplice: la maggior parte delle richieste di una pagina sono molto simili. Se il server web riconosce lo schema di richiesta tipico, ad esempio per la tua homepage, allora il server invia al browser tutte le informazioni necessarie per creare la pagina senza che gli vengano richieste. Ciò significa che il browser deve effettuare un numero molto inferiore di richieste HTTP al server. In questo modo la pagina viene caricata più velocemente.

In teoria, tutto ciò sembra molto bello. Ma cosa significa in pratica? La pagina di prova HTTPS vs. HTTP mostra in modo impressionante la differenza tra le due generazioni di protocolli.

In un confronto tra HTTPS e HTTP, HTTPS può essere molto più veloce in alcuni casi.
In uno dei nostri test, il test HTTP/1 vs. HTTP/2 ha rivelato differenze nei tempi di caricamento che sono come la notte e il giorno. La versione HTTP del test era più lenta del 914% rispetto alla versione HTTP/2. Questi sono buoni segnali per passare i tuoi siti WordPress all'HTTPS.

Naturalmente, è particolarmente interessante vedere come queste nuove funzionalità influenzano il tempo di caricamento delle tue pagine nel mondo reale. Puoi scoprire facilmente se il tuo sito gira su un server compatibile con HTTP/2 chiedendo al tuo host (o utilizzando questo semplice trucco). A condizione, ovviamente, che WordPress sia in esecuzione sotto HTTPS.

L'acid test: HTTPS rende WordPress più veloce del 45% in un test

Ma ora passiamo al nocciolo della questione: Qual è l'incremento di prestazioni che puoi realisticamente aspettarti dal passaggio di un sito WordPress all'HTTPS? Perché il 914% appena misurato non sarà visibile su un sito finito. Ecco perché abbiamo testato il tutto con la nostra homepage. In altre parole, abbiamo testato raidboxes.de una volta con e una volta senza HTTPS.

WordPress HTTPS senza SSL richiede a Raidboxes più di 5 secondi per essere caricato
WordPress HTTPS con SSL ha bisogno solo di Raidboxes poco meno di 3 secondi per essere caricato.
Abbiamo effettuato il test vero e proprio con Webpagetest. Abbiamo misurato il tempo di caricamento di un clone di raidboxes.de attraverso i server di prova tedeschi. Sono stati effettuati sette test consecutivi sia per la versione HTTPS che per quella HTTP e i risultati sono stati calcolati come media. È importante notare che il sito ha un punteggio di performance molto basso. Questo perché alcune risorse funzionano solo con il dominio corretto del sito. Pertanto, solo il tempo di caricamento è decisivo per il confronto.

Il test dimostra che una copia della nostra homepage è più veloce del 45% con HTTPS. Il nostro test dettagliato con sette prove consecutive di server tedeschi mostra risultati simili.

Trucco di vita per i webmaster: come riconoscere a colpo d'occhio se il tuo host utilizza HTTP/2

E poiché l'HTTPS offre ai tuoi progetti WordPress questo comodo incremento di prestazioni, è ancora più importante che tu sappia se il tuo host utilizza HTTP/2. Naturalmente puoi chiedere all'assistenza, ma esiste anche un metodo che ti permette di riconoscere a colpo d'occhio se il tuo sito, o qualsiasi altro sito che stai testando, usufruisce di HTTP/2.

Tutto ciò di cui hai bisogno è una cosa: un grafico a cascata del tuo sito. Puoi crearlo misurando il tempo di caricamento con gli strumenti Webpagetest, Pingdom o GTmetrix. Basta inserire l'URL da testare ed eseguire il test. Per questo trucco non importa da dove e con quali specifiche viene effettuato il test.

Nel diagramma a cascata finito, ora devi solo prestare attenzione al fatto che le singole richieste vengano caricate simultaneamente o solo cronologicamente. Se vengono caricate contemporaneamente, la tua pagina utilizza HTTP/2.

WordPress HTTPS vs WordPress HTTP
Come puoi vedere, nella versione di sinistra (HTTP) le singole richieste vengono caricate cronologicamente, cioè una dopo l'altra. Nella versione di destra (WordPress con HTTPS), tutte le richieste vengono caricate contemporaneamente.

Se hai attivato l'HTTPS sui tuoi progetti WordPress e le richieste non vengono caricate in parallelo, devi contattare urgentemente il tuo host 😉

Conclusione: HTTPS come opportunità per i tuoi progetti WordPress

Google ha recentemente iniziato a inviare le prime e-mail di avvertimento ai gestori di siti HTTP. A partire dalla versione 62, il browser Chrome etichetterà come "non sicure" le pagine che consentono l'inserimento di dati da parte dell'utente.

Esempio di WordPress HTTPS per una pagina HTTP nella nuova versione 62 di Chrome
Ad esempio, ecco come apparirebbe la barra degli indirizzi dei nostri colleghi di t3n se Chrome visualizzasse l'avviso "Non sicuro" su tutte le pagine HTTP.

In linea di massima, questo significa che ogni pagina HTTP con un modulo di contatto o una funzione di commento viene marchiata da Google. Fortunatamente, non è mai stato così facile passare il tuo sito WordPress all'HTTPS: I certificati SSL sono per lo più gratuiti e le installazioni con un solo clic permettono di risparmiare un sacco di lavoro durante la configurazione, consentendo anche ai webmaster meno esperti di effettuare il passaggio. Il nostro test lo dimostra: anche con un sito meno ottimizzato, WordPress può trarre grandi benefici dall'HTTPS e si carica molto più velocemente.

Idealmente, dovrebbe bastare un solo clic. Quindi, se stai ancora gestendo siti con HTTP, possiamo solo consigliarti di cambiare.

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Jan Hornung

Fa parte di Raidboxes fin dall'inizio ed è responsabile dell'assistenza. Ai bar e ai WordCamp, ama parlare di pagespeed e prestazioni dei siti web. Il modo migliore per corromperlo è un espresso o dei pretzel bavaresi.

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.