HTTPS non è più una feature. È baseline.

Cinque anni fa, vendere un "sito con SSL" era ancora un argomento di vendita. Il lucchetto verde. La frase "il tuo sito resta sicuro". Oggi è il minimo che ci si aspetta da un sito professionale, e non averlo non è più una svista tecnica — è un segnale di negligenza.

Cosa fa il browser senza HTTPS

Chrome, Safari, Firefox, Edge: tutti mostrano "Non sicuro" nella barra degli indirizzi di qualunque pagina HTTP. I form con campi sensibili vengono bloccati o generano avvisi rossi. Su mobile, l'avviso prende tutto lo schermo prima che l'utente possa inviare qualunque cosa.

Dal punto di vista di chi compra: il visitatore arriva, vede l'avviso, esce. Il prodotto non conta. La fiducia si è rotta in tre secondi.

Dove HTTPS è già tecnicamente obbligatorio

I Service Workers (PWA, offline-first) funzionano solo in HTTPS. HTTP/2 e HTTP/3 anche. Geolocalizzazione, camera, microfono, notifiche push — tutte dipendono da un contesto sicuro. Le API web moderne, in generale, si rifiutano di girare fuori da HTTPS.

In pratica: qualsiasi applicazione minimamente moderna ha bisogno di HTTPS solo per partire.

Quanto costa

Zero. Let's Encrypt emette certificati gratuiti con rinnovo automatico da quasi un decennio. Cloudflare offre SSL flessibile anch'esso gratis. Qualunque hosting serio nel 2026 installa SSL con un click. Non c'è scusa di costo — e, francamente, nessuna scusa.

Cosa verificare adesso

• Il dominio principale reindirizza automaticamente da HTTP a HTTPS
• Tutti i sottodomini (www, app, admin) forzano anche HTTPS
• Il certificato è valido in tutti i browser e si rinnova da solo
• HSTS è attivo (header Strict-Transport-Security)
• Niente mixed content — risorse caricate via HTTP dentro una pagina HTTPS

Se uno di questi punti non passa, il problema non è estetico. È operativo.