IL PROTOCOLLO HTTPS E I CERTIFICATI SSL

HTTPS sta per Hypertext Transfer Protocol Secure ed è un’estensione del protocollo HTTP (Hypertext Transfer Protocol). La S finale, Secure, sta proprio ad indicare maggiore privacy e sicurezza per l’utente che interagisce con un sito web che si avvale di tale protezione. Utilizzando il protocollo HTTPS la comunicazione tra utente e sito web è criptata tramite un TLS (Transport Layer Security) o dal suo predecessore SSL (Secure Sockets Layer).

Il certificato TLS(SSL) serve anche ad autenticare l’identità del server con cui si sta comunicando come host legittimo del sito web. Permette la generazione ed utilizzo delle chiavi private necessarie al decriptaggio dei dati. Un ruolo fondamentale per tutelare il clienti negli E-commerce e Marketplace che richiedono una registrazione e pagamenti online.

Il linguaggio HTTP e la comunicazione di dati

L’HTTP è un protocollo che definisce un linguaggio con cui comunicare dati sul web. Uno standard molto utile a tutti i trasferimenti di dati, ma anche un potenziale rischio, in quanto un dato uniformato e leggibile è facile preda di malintenzionati. Il flusso di dati, dal dispositivo dell’utente al server dove si trova il sito, è quindi vulnerabile, e chiunque, che con gli strumenti giusti, potrebbe intercettarlo.

È qui che entra in gioco il TLS (SSL), che criptando i dati durante il trasferimento ne impedisce la lettura da parti terze. Questo pacchetto di dati verrà decriptato solo a destinazione grazie ad un sistema di chiavi pubbliche e private condivise da mittente e destinatario. Chiavi generate specificatamente per ogni sessione di navigazione.

L’HTTPS protegge in situazioni potenzialmente pericolose come l’utilizzo di una rete WI-FI pubblica. In questo caso il flusso di dati è facilmente intercettabile, visto che chiunque può accedervi. Però, grazie al criptaggio dei dadi, questi non possono essere sfruttati.

connessione non protetta, http vs https
HTTP vs HTTPS in caso di tentativo di furto dei dati

Ottenere un certificato SSL

Lo standard HTTPS necessita che sia una terza parte a rilasciare un certificato lato server. Questo richiede un processo di registrazione ed identificazione, più o meno complesso a secondo del tipo di certificato che si vuole ottenere. Essendo questo un servizio a pagamento, anche piuttosto costoso, in passato solo pochi siti web, più che altro piattaforme di pagamento online o grosse società, si avvalevano del servizio.

Tipologie di certificati SSL

La differenza non è la tecnologia utilizzata, ma la diversa procedura di validazione che l’Autorità di Certificazione (CA) richiede per rilasciare il certificato. Più questa procedura è rigorosa, maggiore sarà il valore del certificato.

I certificati SSL DV (Domain Validated)

Sono i più semplici da ottenere e sono rilasciati dopo una breve verifica basata su nome del dominio, proprietario del dominio e dati inseriti nel modulo di richiesta.

Spesso la procedura è completata dopo una semplice verifica sull’indirizzo email fornito.

I certificati SSL OV (Organization Validated)

Sono rilasciati in seguito ad una procedura più complessa, che prevede che l’Autorità di Certificazione contatti l’azienda richiedente e la consegna di tutti i documenti necessari a dimostrarne la sua reale identità e legittimità.

I certificati SSL EV (Extended Validated)

È la più rigorosa (e costosa). Usata spesso sugli E-commerce e piattaforme di pagamento (come Paypal) è immediatamente riconoscibile dall’utente che entra nella pagina web. La barra degli indirizzi, solitamente di color bianco, oltre a mostrare il lucchetto, appare in verde con il nome della società.

ULTERIORI DIFFERENZE

Diversi certificati impiegano algoritmi di crittografia differenti. Questi determinano la velocità di navigazione e il livello di sicurezza. I dati criptati non sono immuni da attacchi e tentativi di decodifica, alcuni algoritmi di complessità maggiore possono dare maggiore tutela. Da qui la necessità da parte di aziende e piattaforme di pagamento di dotarsi degli standard migliori, e anche da qui la differenza di prezzo tra le opzioni disponibili.

PERCHÉ PASSARE ALL’HTTPS?

GOOGLE e SEO

Google penalizza nelle SERP tutti I siti non ancora HTTPS. Cioè, a parità di altri fattori, i siti non aggiornati saranno proposti più in basso tra I risultati delle ricerche degli utenti su Google. Se il tuo sito non è ancora aggiornato ti conviene quindi affrettarti, o sarai penalizzato rispetto alla concorrenza.

GDPR E CLIENTI

Gli utenti del sito web avranno maggiore protezione sulle proprie informazioni sensibili come password, informazioni personali, carte di credito e cronologia della navigazione. Il GDPR dal 2018 stabilisce che il sito web è responsabile dei dati dei suoi utenti e eventuali problemi sono a carico del proprietario.

IMMAGINE del SITO WEB

Ora, a seconda anche del browser usato per la navigazione, I siti non ancora HTTPS sono segnalati con avvisi nella barra di navigazione o con finestre che scoraggiano a proseguire.

http segnale di pericolo, sito web, privacy dati
Connessione a sito web non HTTPS, segnale di pericolo sulla privacy dei dati

Le ricerche mostrano che gli utenti mostrano diffidenza ad interagire e gli avvisi li scoraggiano molto. Negli E-commerce in particolare, l’80% degli utenti non completa registrazioni o acquisti su siti segnalati come non sicuri.

I browser di navigazione mostrano invece nella barra degli indirizzi il simbolo di un lucchetto per identificare quelli coperti da protocollo HTTPS. Cliccando sull’icona del lucchetto si possono ottenere subito le informazioni riguardo il certificato e l’identità del sito web.

PAGINE AMP

Il passaggio all’HTTPS è poi necessario per creare sul proprio sito web delle pagine AMP (Accelerated Mobile Pages). Sono utilizzate prevalentemente per accellerare il caricamento dei contenuti web su dispositivi mobile e tablet. Google dichiara di premiare la combinazione di protocollo HTTPS e pagine AMP ottimizzate per il mobile.

IL CERTIFICATO SSL È OBBLIGATORIO ?

Al momento non c’è un obbligo di certificazione SSL per nessun sito web. Comunque, secondo il GDPR del 2018, è responsabilità del sito web tutelare I dati dei propri utenti. Senza certificato, le probabilità di furti di dati o utilizzi impropri aumenta considerevolmente.

COME AGGIORNARE IL PROPRIO SITO AL PROTOCOLLO HTTPS?

– Il primo passo è l’ottenimento e l’installazione di un certificato TLS(SSL) per il proprio dominio. Richiede l’accesso all’area FTP del proprio sito web per effettuare il caricamento nella cartella corretta. Molti servizi di hosting possono assistere nella scelta e ottenimento del certificato.

– Si dovrà procedere a rinominare in HTTPS tutti gli url statici nel proprio sito (comprese immagini e altri contenuti). Tutti i reindirizzamenti dovranno passare da HTTP a HTTPS. Se, per esempio, una pagina HTTPS include dei contenuti richiamati tramite HTTP, la certificazione di sicurezza sarà compromessa.

– Aggiornare o richiedere l’aggiornamento di tutti I propri collegamenti esterni, backlinks, da HTTP a HTTPS. Se questo è impossibile a causa di un numero troppo elevato, si dovrà agire a livello di database del proprio sito.

– Aggiornare il file robots.txt, la sitemap e configurare correttamente i file htaccess. La sitemap si può caricare su Search Console ed è un file xml che dovrà includere tutte le nuove Url HTTPS del sito web.

– Richiedere a Google, attraverso Search Console, l’aggiornamento dell’indicizzazione del sito web.

Ci sono tutta una serie di altre verifiche che riguardano soprattutto siti di una certa complessità, magari con campagne ADS attive, E-commerce, sincronizzazione con Google Analytics, molti link esterni.

Se non te la senti di procedere da solo, REALPOWER può aiutarti in questo delicato quanto necessario aggiornamento.

Visita il nostra sezione PORTFOLIO per vedere alcuni dei nostri lavori. Tutti rigorosamente HTTPS !