Hai un sito web? Utilizza un certificato SSL

Se avete un sito web si consiglia di utilizzare un certificato SSL. Perché è importante?
A partire dal prossimo anno, Chrome etichetterà le connessioni HTTP come non sicure. Infatti con la release 56 nel Gennaio 2017 Mountain View ha confermato che “contrassegnerà” le connessioni HTTP come insicure.
Questa non è la sola manovra di Google per spingere ad adottare il protocollo HTTPS (HTTP Secure).
La crittografia HTTPS è anche un fattore di ranking, infatti le pagine HTTPS sono indicizzate prima rispetto alle pagine HTTP dal famoso motore di ricerca.
Quindi la crittografia HTTPS oltre a fornire una maggiore protezione favorisce un miglior posizionamento nella SERP di Google.

Molti hosting danno la possibilità di acquistare come opzione un certificato SSL, altri li includono gratuitamente in alcuni piani proposti.
Alcuni fornitori di hosting supportano Let’s Encrypt, che permette di avere un certificato gratuitamente.

Una volta installato un certificato SSL è possibile effettuare il redirect da HTTP a HTTPS aggiungendo quanto segue al file .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

In questo modo digitando l’indirizzo del sito HTTP si verrà reindirizzati all’indirizzo con HTTPS.

Può capitare che qualcosa non funzioni utilizzando il protocollo HTTPS, è possibile utilizzare il servizio gratuito Why No Padlock? che effettua una scansione del sito mostrando ciò che è ok e se ci sono errori.

L’importanza del protocollo HTTPS

L’HTTPS è un protocollo che permette di trasmettere/ricevere dati relativamente al traffico HTTP (quindi tipicamente quello della navigazione web) in modo criptato.

L’utilizzo più diffuso è quello dell’autenticazione nei siti web; ciò permette di far viaggiare le proprie credenziali (login/password) in modo sicuro.

Ormai molti siti/servizi online lo implementano, anche se diversi non di default (si veda ad esempio Facebook, Twitter e Google); generalmente basta utilizzare lo stesso indirizzo aggiungendo una s in più, e quindi l’indirizzo diventa https://

Se non si vuole fare manualmente questa operazione ci vengono in aiuto delle estensioni per browser.
Per Firefox abbiamo HTTPS Everywhere, per Google Chrome abbiamo KB SSL Enforcer e per Opera abbiamo Redirect to HTTPS.
Queste estensioni hanno una loro lista di siti supportati con cui è possibile utilizzare il protocollo https.

Il seguente video Youtube illustra meglio la differenza tra i 2 protocolli

Come si può notare i dati di un’autenticazione tramite HTTP vengono passati in chiaro e quindi potenzialmente a rischio di essere sniffati (catturati) da malintenzionati tramite programmi appositi (ad esempio il conosciuto Wireshark) mentre quelli passati tramite protocollo HTTPS sono in forma criptata.

E’ buona norma che tutti i siti/servizi utilizzassero il protocollo HTTPS per far viaggiare i dati sensibili, qualora non fosse possibile per varie ragioni (es. il web hosting non lo supporta) i webmaster possono ricorrere a soluzioni di terze parti quali OpenID che oltre a fornire un livello di sicurezza permette di avere un’unico login da ricordare!

Altra soluzione sempre più diffusa è quella di adottare il login tramite servizi sociali quali Facebook e Twitter.

VPN cos’è e come configurarla parte 1

VPN (Virtual Private Network) è un tunnel di comunicazione privata e sicura tra due o più dispositivi attraverso la rete pubblica (Internet). Questi dispositivi possono essere un computer con caricato software VPN o un dispositivo particolare come ad es. un router con abilitata questa funzionalità. Permette il computer casalingo di collegarsi alla rete aziendale oppure due computer casalinghi di collegarsi l’un l’altro attraverso Internet.

Sebbene i dati viaggino attraverso la rete pubblica essi sono sicuri in quanto altamente criptati inoltre le VPN monitorano il loro traffico in modi sofisticati che assicurano che i pacchetti non vengano alterati (queste due attività richiedono un uso intenso di CPU).

Il funzionamento della VPN è client-server: esiste un server che può essere hardware o software che funge da gateway, generalmente è sempre acceso e resta in attesa di connessioni VPN.

Per un approfondimento sulle VPN rimando all’ottimo articolo “VPN cos’è” di migliorivpn.it dove trovate spiegazioni esaustive su cos’è e come funziona una connessione VPN.

Esistono diversi linguaggi di protocollo VPN, Microsoft usa PPTP (point to point tunneling), altri sono IPsec tunnel e L2TP. E’ bene ricordare che occorre aprire le porte nel router/firewall in quanto PPTP usa la porta TCP 1723 e il protocollo IP 47 (GRE), L2TP usa la porta UDP 1701 usa la porta UDP 500 e il protocollo IP 50 e 51. NOTA: il numero di protcollo non è il numero della porta.

Esiste anche un nuovo protocollo VPN implementato da Microsoft, l’SSTP (Secure Socket Tunneling Protocol) disponibile in Windows Server 2008 e in Vista SP-1; in questo caso viene utilizzata la porta TCP 443 (SSL).

Altre risorse manualistiche su VPN le potete trovare qui

Nella seconda parte si parla della configurazione del client VPN PPTP in Windows 2k/XP/2003 nonchè di una dimostrazione pratica di test e del software OpenVPN.

Ricevi gli aggiornamenti del blog

Vuoi rimanere aggiornato riguardo gli ultimi articoli pubblicati nel blog? Inserisci la tua email per sottoscriverti alla newsletter!