La risposta breve: si, senza eccezioni
HTTPS non e piu un optional dal 2018, quando Google ha iniziato a segnalare come "Non sicuro" i siti senza certificato SSL nella barra degli indirizzi di Chrome. Nel 2026, un sito senza HTTPS e come un negozio senza serratura: tecnicamente funziona, ma nessuno si fida ad entrarci. Perde posizioni SEO, spaventa i visitatori, non puo usare funzionalita moderne del browser e, in molti casi, viola le normative sulla protezione dei dati.
Se il tuo sito non ha ancora HTTPS, e la prima cosa da sistemare — prima ancora di pensare a SEO, design o contenuti. Tutto il resto viene dopo.
Cos'e HTTPS e come funziona?
HTTPS sta per HyperText Transfer Protocol Secure. E la versione sicura del protocollo HTTP che il browser usa per comunicare con il server. La differenza fondamentale e che HTTPS cripta tutti i dati in transito tra il browser dell'utente e il server web, rendendo impossibile intercettarli per chi si trova "in mezzo" (attacchi man-in-the-middle).
Per abilitare HTTPS serve un certificato SSL/TLS installato sul server. Il certificato contiene una chiave crittografica che permette al browser di stabilire una connessione sicura. Quando vedi il lucchetto nella barra degli indirizzi, significa che la connessione e protetta da un certificato valido.
Perche HTTPS e obbligatorio nel 2026
SEO: Google lo considera un fattore di ranking
Dal 2014, Google ha dichiarato ufficialmente che HTTPS e un fattore di ranking. I siti HTTPS hanno un vantaggio nelle classifiche di ricerca rispetto ai siti HTTP, a parita di altri fattori. Nel 2026, con la concorrenza sempre piu agguerrita per le prime posizioni, rinunciare a questo vantaggio e semplicemente irrazionale — soprattutto quando il costo e zero.
Fiducia degli utenti
I browser moderni mostrano avvisi sempre piu aggressivi per i siti senza HTTPS. Chrome mostra "Non sicuro" nella barra degli indirizzi; Firefox e Safari fanno lo stesso. Per un utente medio, quel messaggio equivale a "questo sito puo rubarti i dati". Il tasso di rimbalzo su siti marcati come non sicuri e significativamente piu alto — e ogni visitatore perso e un potenziale cliente perso.
Funzionalita del browser
Senza HTTPS, il browser blocca l'accesso a numerose API moderne che molti siti web utilizzano:
- Geolocalizzazione: impossibile senza HTTPS
- Service Worker: necessari per PWA e notifiche push — richiedono HTTPS
- Clipboard API: copia negli appunti bloccata su HTTP
- WebRTC: videochiamate e comunicazione real-time richiedono contesto sicuro
- Payment Request API: pagamenti nel browser impossibili senza HTTPS
Compliance normativa
Il GDPR richiede misure tecniche adeguate per proteggere i dati personali. Un form di contatto che invia nome, email e messaggio in chiaro su HTTP e tecnicamente una violazione. Se tratti dati sensibili (pagamenti, dati sanitari, documenti), HTTPS non e un'opzione: e un requisito legale.
Come ottenere un certificato SSL: le opzioni
Let's Encrypt: gratuito e automatico
Let's Encrypt e un'autorita di certificazione no-profit che rilascia certificati SSL gratuiti. E la scelta migliore per la stragrande maggioranza dei siti web. I certificati durano 90 giorni e si rinnovano automaticamente tramite tool come Certbot. Qualsiasi hosting moderno supporta Let's Encrypt, e molti lo configurano automaticamente al momento dell'attivazione del dominio.
Certificati a pagamento
Esistono certificati a pagamento (da 50 a oltre 500 euro/anno) che offrono:
- Validazione estesa (EV): mostra il nome dell'azienda nel browser — utile per banche e grandi e-commerce
- Garanzia assicurativa: copertura in caso di violazione causata da un difetto del certificato
- Wildcard: copre tutti i sottodomini — comodo se hai molti sottodomini
- Supporto dedicato: assistenza prioritaria in caso di problemi
Per il 95% dei siti web — vetrine, blog, portfolio, piccoli e-commerce — Let's Encrypt e piu che sufficiente. I certificati a pagamento hanno senso solo per esigenze specifiche di enterprise o compliance.
Come verificare se il tuo sito ha HTTPS
Ci sono diversi modi rapidi per controllare:
- Guarda la barra degli indirizzi: c'e il lucchetto? L'URL inizia con https://?
- Prova ad accedere con http:// — dovrebbe reindirizzare automaticamente a https://
- Usa strumenti come SSL Labs (ssllabs.com) per un'analisi dettagliata della configurazione SSL
- Controlla la Google Search Console: segnala problemi di mixed content e certificati scaduti
Problemi comuni e come risolverli
Mixed content
Il problema piu frequente dopo l'attivazione di HTTPS: la pagina e servita via HTTPS ma carica risorse (immagini, CSS, JavaScript) via HTTP. Il browser mostra un avviso o blocca le risorse. La soluzione: aggiornare tutti i riferimenti nel codice e nel database da http:// a https:// o, meglio ancora, usare URL relativi al protocollo (//).
Redirect loop
Se il server e configurato male, il redirect da HTTP a HTTPS puo entrare in loop. Di solito e un problema di configurazione del web server (Apache, Nginx) o del reverse proxy. Un sviluppatore esperto lo risolve in pochi minuti.
Certificato scaduto
I certificati Let's Encrypt durano 90 giorni. Se il rinnovo automatico non e configurato correttamente, il certificato scade e il sito mostra un errore spaventoso a tutto schermo. La soluzione: verificare che il cron job di Certbot sia attivo e funzionante, e configurare un alert che ti avvisa qualche giorno prima della scadenza.
Il consiglio pratico
Se stai creando un nuovo sito, parti direttamente con HTTPS — non c'e nessun motivo per non farlo. Se hai un sito esistente senza HTTPS, la migrazione e semplice e non richiede piu di qualche ora di lavoro. Chiedi al tuo sviluppatore o al supporto del tuo hosting: nel 2026 e un'operazione di routine che qualsiasi professionista sa gestire.