Hai un sito web? Utilizza un certificato SSL

Se avete un sito web si consiglia di utilizzare un certificato SSL. Perché è importante?
A partire dal prossimo anno, Chrome etichetterà le connessioni HTTP come non sicure. Infatti con la release 56 nel Gennaio 2017 Mountain View ha confermato che “contrassegnerà” le connessioni HTTP come insicure.
Questa non è la sola manovra di Google per spingere ad adottare il protocollo HTTPS (HTTP Secure).
La crittografia HTTPS è anche un fattore di ranking, infatti le pagine HTTPS sono indicizzate prima rispetto alle pagine HTTP dal famoso motore di ricerca.
Quindi la crittografia HTTPS oltre a fornire una maggiore protezione favorisce un miglior posizionamento nella SERP di Google.

Molti hosting danno la possibilità di acquistare come opzione un certificato SSL, altri li includono gratuitamente in alcuni piani proposti.
Alcuni fornitori di hosting supportano Let’s Encrypt, che permette di avere un certificato gratuitamente.

Una volta installato un certificato SSL è possibile effettuare il redirect da HTTP a HTTPS aggiungendo quanto segue al file .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

In questo modo digitando l’indirizzo del sito HTTP si verrà reindirizzati all’indirizzo con HTTPS.

Può capitare che qualcosa non funzioni utilizzando il protocollo HTTPS, è possibile utilizzare il servizio gratuito Why No Padlock? che effettua una scansione del sito mostrando ciò che è ok e se ci sono errori.

L’importanza del protocollo HTTPS

L’HTTPS è un protocollo che permette di trasmettere/ricevere dati relativamente al traffico HTTP (quindi tipicamente quello della navigazione web) in modo criptato.

L’utilizzo più diffuso è quello dell’autenticazione nei siti web; ciò permette di far viaggiare le proprie credenziali (login/password) in modo sicuro.

Ormai molti siti/servizi online lo implementano, anche se diversi non di default (si veda ad esempio Facebook, Twitter e Google); generalmente basta utilizzare lo stesso indirizzo aggiungendo una s in più, e quindi l’indirizzo diventa https://

Se non si vuole fare manualmente questa operazione ci vengono in aiuto delle estensioni per browser.
Per Firefox abbiamo HTTPS Everywhere, per Google Chrome abbiamo KB SSL Enforcer e per Opera abbiamo Redirect to HTTPS.
Queste estensioni hanno una loro lista di siti supportati con cui è possibile utilizzare il protocollo https.

Il seguente video Youtube illustra meglio la differenza tra i 2 protocolli

Come si può notare i dati di un’autenticazione tramite HTTP vengono passati in chiaro e quindi potenzialmente a rischio di essere sniffati (catturati) da malintenzionati tramite programmi appositi (ad esempio il conosciuto Wireshark) mentre quelli passati tramite protocollo HTTPS sono in forma criptata.

E’ buona norma che tutti i siti/servizi utilizzassero il protocollo HTTPS per far viaggiare i dati sensibili, qualora non fosse possibile per varie ragioni (es. il web hosting non lo supporta) i webmaster possono ricorrere a soluzioni di terze parti quali OpenID che oltre a fornire un livello di sicurezza permette di avere un’unico login da ricordare!

Altra soluzione sempre più diffusa è quella di adottare il login tramite servizi sociali quali Facebook e Twitter.

Ricevi gli aggiornamenti del blog

Vuoi rimanere aggiornato riguardo gli ultimi articoli pubblicati nel blog? Inserisci la tua email per sottoscriverti alla newsletter!