Http e https, il tuo sito web risulta sicuro?

Home » Http e https, il tuo sito web risulta sicuro?

HTTP e HTTPS, il tuo sito web risulta sicuro?
Google premia i siti sicuri

http https sito web sicuro

HTTPS che cos’è?

Http e https informazioni generali

Da tempo il mondo del web ha lo sguardo rivolto verso il concetto della sicurezza in vari ambiti, oggi vedremo come il protocollo di sicurezza dei siti presenti nel web sta cambiando; più precisamente andiamo a vedere cosa cambia tra HTTP e HTTPS.

Da luglio 2018 Google ha annunciato che Chrome (il browser di “big G”) segnalerà tutti i siti HTTP come siti “non sicuri” invitando così i proprietari dei rispettivi siti / portali ad effettuare la migrazione tramite protocollo HTTPS (Hypertext Transfer Protocol Secure, che ha come significato, traducendo i termini dall’inglese all’italiano, in “protocollo di trasferimento di un ipertesto”)

Con l’uscita della versione 62, Chrome segnala come sito “non sicuro” quando l’utente immette dei dati / testo all’interno delle pagine del website dove vi è il protocollo in HTTP; quindi nel preciso momento che si andrà ad inserire un testo ci sarà in automatico l’avviso del browser.

Attenzione: con “testo” si intende qualsiasi tipo di dato inserito: dall’inserimento della email per iscrizione alla newsletter, al compilare un form di contatti, alla semplice ricerca di un termine nella casella “cerca nel sito”.

Qui l’esempio in questa GIF animata:

http come Chrome mostra sito non sicuro

In modalità in incognito invece ci sarà un livello maggiore di sicurezza.

HTTP e HTTPS differenza. Come si vedono queste differenze?

La differenza tra http e https consiste nella sicurezza dei dati trasmessi tra server e browser.

Http trasmette i dati con il protocollo TCP/IP Transmission Control Protocol/Internet Protocol, mentre in HTTPS si aggiunge il livello SSL (Secure Sockets Layer) il quale fa il vero lavoro di questo protocollo e cioè crittografare e rendere sicuri i dati trasmessi sia in entrata sia in uscita.

In questo schema molto semplice possiamo notare le differenze tra HTTP VS HTTPS e quali sono gli avvisi della barra di Chrome digitando una URL di un sito in HTTP.

Come Chrome ci mostra se un sito è sicuro o non sicuro e le differenze tra la versione 58 e 62 del browser:

Chrome 58 62 differenze

Sulla stessa linea si è mosso anche Mozilla nel lontano 2017.

Mozilla quando si cerca di accedere ad un risorsa su http mostrerà il messaggio “Impossibile stabilire una connessione sicura”; dove si spiega che non è possibile garantire la sicurezza dei dati trasmessi e quindi consiglia di abbandonare il sito.

Come Mozilla ci avverte quando navighiamo in un sito vulnerabile:

Mozilla connessione non sicura

HTTPS: perché Google lo considera importante? HTTPS e Google

Abbiamo visto che la connessione HTTPS è il certificato che aumenta la sicurezza dei dati trasmessi, rendendo così il sito più difficile da attaccare da eventuali hacker.

Come abbiamo visto in precedenza i browser segnaleranno i siti che non hanno un protocollo HTTPS implementato come “non sicuri”. Quindi molti utenti potrebbero abbandonare il tuo sito per approdare da un competitor (con il sito sicuro 🙂 )

In termini di posizionamento del sito stesso Google ha detto che sarà una dei fattori chiave di posizionamento del sito stesso.

In termini di branding invece avere un sito sicuro dimostra all’utente che siete una realtà serie e affidabile e che l’eventuale immissione di dati nel vostro sito risulterà in totale sicurezza; di conseguenza sarà più facile convertire l’eventuale utente in contatto [chiamato in termine tecnico “lead”], in quanto si sentirà protetto e al sicuro (e coccolato dalla sua marca preferita).

Inoltre questi avvisi diventeranno sempre più evidenti, lanciando così un chiaro segnale di pericolo a chi naviga; questo perché Google vuole progressivamente sensibilizzare gli utilizzatori di Chrome all’importanza della sicurezza in rete, creando una sorta di diffidenza nei confronti dei siti che non avranno la giusta sicurezza.

Ecco come il viene mostrato il mio sito su Chrome

https connessione protetta sicura

Non hai ancora un sito o vuoi sistemare il tuo? >Realizzo siti web su misura

Passare all’HTTPS cosa porta?

Il passaggio da http a HTTPS porterà innegabili vantaggi, qui riassunti in 4 punti principali:

  1. Crittografia: protegge le informazioni e le attività degli utenti nel tuo sito mascherando i dati trasmessi rendendoli non leggibili ad estranei.
  2. Integrità dei dati: durante il trasferimento di informazioni (tipo il form di contatti) i dati non possono essere modificati o eliminati da terzi. In siti dove vi sono transazioni (ecommerce) diventa basilare questa implementazione.
    Ad esempio un hacker buca il sito e modifica i link per mandare il visitatore in pagine malevoli (clicchi e pensi di star pagando un bollettino postale invece stai fornendo i tuoi dati bancari a malintenzionati)
  3. Autenticazione: Dare fiducia ai tuoi utenti quando navigano nel tuo sito. L’HTTPS certifica le parti: assicura che sei nel sito di quella determinata azienda e non su un sito clone.
  4. Migliora la privacy: navigando in HTTPS la connessione risulterà protetta e nessuno potrà spiare le tue attività online. Un hacker in “ascolto passivo” sul wifi può vedere i siti che navighi se sei su protocollo http, mentre se stai navigando in HTTPS entra in gioco la crittografia end-to-end che renderà illeggibili tali dati e la tua privacy sarà al sicuro.

Quanti siti in HTTP e quanti siti in HTTPS ci sono online?

Questa è la percentuale di pagine in HTTPS nella prima pagina di Google nel Regno Unito

percentuale di pagine in https in prima pagina di Google in UK

Sempre nella stessa analisi, curata da Sistrix nel novembre del 2017 si può notare come la metà dei siti italiani presenti nella prima pagina di Google sia divisa a metà tra http e https; situazione analoga per Regno Unito, Spagna, Germania e Francia.

https http Italia Germania Francia America Spagna Regno Unito

La percentuale, vista ai giorni nostri è nettamente differente, e parliamo di circa 7 mesi dopo questa analisi di Sistrix (questo articolo che stai leggendo è stato scritto a inizio luglio 2018), in quanto la maggior parte dei risultati da me monitorati superano l’80% in alcune chiavi di ricerca. (affermazione  nata da progetti che seguo, quindi non è da prendere come verità assoluta)

Chi deve passare in HTTPS?

Qui entrano in gioco molti fattori, spiegati tutti in questo lungo articolo dove risponderemo alla domanda ha senso e serve migrare da http a HTTPS? A chi serve o non serve? HTTPS è meglio di HTTP?

Vediamo questo esempio:

Io che ho un ristorante in centro a Padova e ho un sito vetrina, molto semplice e composto da 5 pagine dove mostro i miei piatti tipici padovani sono obbligato a passare in HTTPS così gli utenti del mio sito mentre guardano il piatto del giorno si sentono più sicuri a navigare nel mio sito?

Esempio B: Vendo bulloni, ho un sito dove mostro i miei bulloni, devo necessariamente effettuare questa migrazione? Il mio non è un e-commerce, e non ho il form di contatti e nemmeno la barra di ricerca nel sito, i miei utenti non si accorgono se si naviga in modalità protetta o meno.

In questi, ma anche in tutti gli altri casi, il mio consiglio è: modificare il protocollo diventerà un passo obbligatorio, “via il dente e via il dolore” diceva un vecchio proverbio nostrano.

Della stessa filosofia è Google: nei suoi comunicati esorta i titolari di un sito web a non aspettare l’ultimo giorno per effettuare la migrazione.

Le tre differenti tipologie di avvisi di Chrome: Sicuro, informazioni o non sicuro, non sicuro o pericoloso.

Come Google mostra sito non sicuro

Se hai intrapreso azioni di web marketing nel tuo sito o hai implementato strategie di posizionamento nei motori di ricerca (SEO) devi sapere che: prima farai il passaggio in HTTPS, prima potrai sistemare tutti gli aspetti tecnici delle ottimizzazioni create per scalare la SERP (risultati di ricerca) di Google e continuare con le ottimizzazioni.

Nella migrazione di protocollo consiglio anche di rimanere con la stessa proprietà di analisi dei dati, così da avere uno storico e capire se il passaggio in https ha fatto perdere ranking al sito.

È più veloce HTTP o HTTPS? Quale è meglio utilizzare?

Viene scontato pensare che essendo informazioni criptate quelle che viaggiano nel protocollo HTTPS queste ci impiegano più risorse e quindi più tempo a “viaggiare”.

Se abbiamo qualche tecnico all’ascolto lo invito a scrivere qualcosa a riguardo nei commenti; sicuramente sarà interessante.

Qui si parla di HTTP/2 o http/2.0; questo è un protocollo particolare che si basa su SPDY, protocollo creato da Google nel 2009 il quale ottimizza il trasferimento dei delle informazioni tra server e browser (spiegato proprio in due parole).

Per riassumere in alcuni punti cosa serve http/2 possiamo dire:

  • Minor lentezza
  • Ottimizzazione delle risorse
  • Maggior velocità delle pagine web

Contatta il tuo servizio di hosting (Aruba, Register o Netson non fa differenza) e chiedi se si può implementare anche nel tuo sito.

Cosa sono SSL o TLS?

Le differenze sostanziali tra SSL e TLS consiste nel certificato: TLS (Transport Layer Security, sicurezza del livello di trasporto) è una versione più stabile, aggiornata e più sicura del suo predecessore SSL “Secure Sockets Layer” (Livello di socket sicuri) (Cosa sono i socket? In programmazione è un particolare oggetto sul quale scrivere e leggere i dati trasmessi o da ricevere. Ti lascio alla pagina di wikipedia per completare l’argomento)

Aggiornamento di ottobre 2018: I vecchi protocolli Tls (1.0, 1.1, 1.2) per la sicurezza della rete verranno dismessi entro il 2020, così Apple, Google, Microsoft e Mozzilla hanno deciso di unirsi per tutelare la privacy degli utenti.

Cosa cambia all’utente? Assolutamente nulla (a parte più sicurezza informatica), invece per i tecnici del settore vuol dire lavorare con lo standard open Ssl 1.0.1 o successivo. Quindi affidarsi sempre ad esperti 😉

Leggi l’articolo completo su Wired qui 

Che tipologia di certificato SSL ci sono e quale è adatto al mio sito?

A monte c’è da dividere in due macro categoria questi certificati: i certificati autofirmati e certificati validati.

Cosa sono i certificati autofirmati e validati?

I certificati autofirmati sono certificati che puoi utilizzare solo in fase di test del tuo sito, tipo quando si visiona in modalità demo. Questi certificati in soldoni non valgono davvero nulla, è come autocertificare il sito, senza nessuna garanzia che attesta la certificazione. Impensabile nel 2018 🙂

I certificati validati invece sono quei particolari certificati che permettono al browser di riconoscere il sito come sicuro e non mostrare così il messaggio di allerta all’utente.

Questi certificati ormai sono diventati imprescindibili dal sito stesso, viaggiano sullo stesso binario e sono necessari entrambi: hai un sito? Hai bisogno di un certificato (o più certificati, vedremo meglio poi questo passaggio)

Tipologie di certificazioni SSL

Le Certificazioni rilasciate sono di tre tipologie + 1 (la certificazione bonus 🙂

  • Certificato SSL DV (Domain Validation): questa certificazione viene rilasciata dopo una verifica breve basando l’accettazione sui dati del proprietario del sito. É il certificato più veloce da ottenere ed è il certificato che la maggior parte dei siti web adotta.
  • Certificato SSL OV (Organization Validation): la procedura è più lunga e prevede anche l’identificazione dell’identità aziendale del richiedente
  • Certificato EV (Extended Validation): è il più alto livello di certificato, molto accurato e con tempi più lunghi. Visibilmente si può vedere questo certificato, perchè di fianco all’url c’è il lucchetto verde con il nome dell’azienda, questa barra verde è chiamata anche green bar. Paypal ad esempio ha questo certificato installato nel server. (più sicurezza per l’utente e più brand anche per l’azienda che lo implementa)

esempio di green bar in Chrome

Vi è una quarta tipologia di certificato e si chiama Let’s Encrypt;  ed è un certificato gratuito (perché i restanti si pagano? ovviamente si!).

letsencrypt logo

Lo sconsiglio per due motivi:

  • Hai un sito web per fare business giusto? Hai mai sentito parlare di qualcosa di gratuito per fare business? Se hai sentito parlare di qualcosa di gratuito ricorda che il prodotto eri tu.
  • Il costo di un certificato base è accessibile a tutti (su scala in base alla tipologia del certificato necessario) e utilizzandolo si dà una maggiore sicurezza sia all’utente finale, sia all’algoritmo dei motori di ricerca che premierà queste certificazioni.

Spesso i certificati vengono chiamati erroneamente SSL, quando in realtà sono TLS; questo perché la dicitura SSL è usata più frequentemente dalle persone.

Qui abbiamo parlato della differenza tra SSL e TLS

Hai una attività NON commerciale? Qui puoi acquistare il certificato che fa per te > Startssl

Hai necessità di un certificato gratuito per il tuo progetto open source? Ecco il sito che fa per te Globalsign 

Quale certificato scegliere?

La risposta giusta e breve è: quello adatto alla tua attività. Ogni caso è differente.

Sai che un certificato a basso costo non manderà forti segnali di affidabilità e i certificati gratuiti sono stati svalutati nell’ultimo periodo (affermazione nata parlando con esperti del settore).

Ripeto: hai un sito per fare business? Compra un certificato serio.

Per quanti domini è valido un certificato?

I certificati SSL possono essere wildcard o single domain.

Partiamo dal fatto che ogni sito ha necessità di un suo certificato SSL, nello specifico:

  • Hai due siti, ti servono due certificati.
  • Hai più siti, necessiti di “più” certificati.
  • Hai un solo sito, hai necessità di un singolo certifcato, questo si chiama per l’appunto “single domain”

La differenza tra certificato wildcard o single domain sta nel fatto che se hai sotto domini o sotto siti hai la necessità di acquistare un certificato wildcard per certificare l’intero sito.

Ad esempio: sito principale è “sito.it” il sottodominio è “prova.sito.it” o “posta.sito.it” ecc, in questo caso userai il certificato wildcard.

Che certificato necessita il tuo sito?

Questa ampia scelta di certificati va abbinata all’esigenza di ogni specifico sito web; a grandi linee possiamo dire che:

  • certificato DV: si può implementare dove non avvengono pagamenti (classico sito vetrina, blog, ecc). Così da garantire la sicurezza all’utente e fare l’occhiolino ai motori di ricerca 😉
  • certificato OV: per chi ha un e-commerce o gestisce pagamenti online. Così da garantire anche la validità dell’azienda.
  • Certificato EV: è consigliato a chi vuole aumentare la considerazione del sito in ottica di branding (grazie alla Green bar) e garantire la massima sicurezza agli utenti del suo sito/ portale.
  • Il certificato gratuito Let’s Encrypt non lo consiglio in una strategia di business al momento, vediamo se verranno valutati in maniera migliore con il tempo.

Esistono 3 problemi principali con i certificati SSL free:

  • Potrebbe non essere crittografato bene
  • Potrebbe essere stato revocato
  • Potrebbe non provenire da un’autorità di certificazione affidabile.

Non rischierei nel mio sito; questo è il mio consiglio che sento di darti.

Come effettuare la migrazione da HTTP a HTTPS
Come e dove acquistare la certificazione SSL?

Per facilitare il passaggio in https affidati ad un professionista (ad esempio il webmaster del tuo sito) per la migrazione da http:// a https:// così da non perdere il posizionamento del sito acquisito nei motori di ricerca (come ad esempio Google e Bing); in alternativa puoi installare in automatico il certificato nel tuo sito chiedendo al tuo host l’implementazione, servizi di hosting low cost con certificazione SSL sicuramente ne trovi. Attenzione agli errori per migrazione errata e, se utilizzate wordpress attenzione a come muovere da http a https il sito e il suo database 😉

Il passaggio da HTTP a HTTPS concettualmente rimane lo stesso, quindi se hai un sito costruito con un CMS come WordPress, Joomla, Drupal, Prestashop o Magento non cambia; così come non cambia la scelta del Content Management System (CMS appunto) così nemmeno la scelta dell’host sul quale appoggiare il proprio sito modificherà il concetto di HTTPS nel tuo sito.

Quando conviene effettuare la migrazione in HTTPS?

Quando si eseguono operazioni di mantenimento all’interno dei siti abbiamo due possibilità:

  • quando si lavora in locale (cioè all’interno del proprio PC/MAC) il passaggio si può effettuare in qualsiasi momento (solitamente io lavoro così)
  • quando invece si pone il sito in modalità “coming soon page / manutenzione” si aggiorna la piattaforma direttamente online andando a settarla in modalità “maintenance”.

Il momento migliore per effettuare il passaggio ad HTTPS è nel periodo nel quale il tuo sito ha meno visite; ipotizzando che tu lavori nel B2B, il periodo con meno utenti che atterranno nel tuo sito può essere una sera del fine settimana. (ma guarda i dati analitici per scegliere il miglior momento per la tua attività).

Se invece sei una struttura turistica e lavori nel B2C facile pensare che sia il lunedì mattina il miglio momento. Come sempre, dipende dal settore nel quale operi, dal buon senso e ad una attenta analisi dei tuoi dati analitici.

HTTPS conclusioni

Da consumatore devi pretendere che i tuoi dati siano al sicuro (mai sentito parlare di GDPR? 🙂 e che le transazioni o l’invio di dati rimangano protetti, sia per la privacy, sia perchè sono dati sensibili (pensiamo al numero della tua carta di credito).

Da venditore (cioè dalla parte del titolare del sito web) devi garantire questa sicurezza all’utente. Far finta che questa best practices si possa saltare a piè pari, non aiuterà il tuo sito e nemmeno il tuo brand aziendale.

Il protocollo HTTP (Hypertext Transfer Protocol) è stato un pilastro fondamentale del World Wide Web (presentato nel 1997 e aggiornato nel 1999), ma il modo di comunicare tra server e browser è cambiato (come la comunicazione cambia, si tramuta e si trasforma), vuoi che il tuo sito venga contrassegnato “non sicuro” o ancor peggio “pericoloso”?

Effettua la migrazione da HTTP a HTTPS quanto prima così da anticipare i tuoi competitors 😉

Http e https, il tuo sito web risulta sicuro ha come valutazione:

Http e https, il tuo sito web risulta sicuro?

5 (100%) 15 votes


Hai bisogno di aiuto per effettuare la migrazione da HTTP a protocollo sicuro HTTPS?

Contattami

Ti è piaciuto l'articolo? Perchè non condividerlo! 🙂

2018-10-21T13:44:11+00:00luglio 11th, 2018|Categories: Senza categoria|6 Comments

Autore: Simone Longato

Lavoro nella comunicazione dal 2003, integrare la comunicazione online e offline è la mia mission. Non dirmi che tuo cugino ha Photoshop ;-)

6
Lascia una recensione

avatar
3 Comment threads
3 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors
Simone LongatoMarcoSandro P.Fabio Recent comment authors
  Subscribe  
più nuovi più vecchi più votati
Notificami
Fabio
Ospite

Da addetto ai lavori ho letto volentieri l’articolo ed in particolare, leggendo la parola “crittografia”, ho ripensato al dibadittito che esiste su questo termine da anni. In ambito informatico, da quanto ho capito, gli ingegneri anche non troppo puristi, preferiscono usare il termine “cifrare”: questo perché durante uno scambio di informazioni da un mittente ad un destinatario in un contesto puramente confidenziale, si tende semplicemente ad “offuscare” il messaggio, mentre a livelli di sicurezza e di intenti più sofisticati, si tende invece a “nascondere” il messaggio. Sostanzialmente HTTPS offusca il messaggio, perciò un purista direbbe che il messaggio è stato… Leggi il resto »

Sandro P.
Ospite
Sandro P.

Aggiungo che esistono anche i certificati multidomain (cioè multidominio) e sono per quelle attività che hanno più siti sotto la stessa attività, chiaramente hanno anche un costo maggiore

Poi ci sono anche certificati specifici per ecommerce per gestione di dati sensibili e…

potremmo parlarne per molto anche qui 🙂

Marco
Ospite
Marco

… sono confuso più di prima… che avviso darà google quindi? un banner? un segnale? o solamente la scritta sicuro/nonsicuro?!?