Sicurezza su Internet: siti web sicuri con SSL e HTTPS
Lo spionaggio e l’abuso di dati sono un serio problema sia per le autorità internazionali sia per i consumatori privati finali. Il tema della sicurezza in rete diventa pertanto sempre più centrale per le imprese. I privati non sono gli unici a sbrigare sempre più faccende online, ma anche in ambito aziendale vengono digitalizzati i settori in crescita. Affinché i dati interni all’azienda, quelli dei clienti e altre informazioni sensibili possano essere tramessi in sicurezza e gestiti in modo sicuro, SSL/TLS e HTTPS rientrano tra gli standard di sicurezza attuali. Ma cosa significano esattamente queste sigle e come si possono configurare i protocolli di sicurezza di un sito web?
Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.
Che cos’è SSL/TLS?
Il termine SSL (sigla per “Secure Socket Layers”) indica una tecnologia che si usa per criptare e autenticare il traffico dati in rete. Con questo si mette in sicurezza nei siti web la trasmissione tra browser e server web. Soprattutto nell’e-commerce e nell’online banking, dove vengono trasmessi dati protetti e sensibili, l’uso di un certificato SSL o della sua versione successiva TLS (“Transport Layer Security”) è imprescindibile.
Dati sensibili, protetti con il protocollo crittografico SSL/TLS, sono ad esempio:
- dati di registrazione: nome, indirizzo, indirizzo e-mail, numero di telefono;
- dati di login: indirizzo e-mail e password;
- informazioni di pagamento: numero della carta di credito, coordinate bancarie;
- moduli di registrazione;
- documenti caricati dai clienti
Con il protocollo SSL/TLS ci si assicura che la comunicazione non possa né essere letta né manipolata e che i dati personali non finiscano nelle mani sbagliate.
- Certificato SSL Wildcard incluso
- Registrazione di dominio sicura
- Indirizzo e-mail professionale da 2 GB
Che cos’è HTTPS?
L’abbreviazione HTTPS (Hypertext Transport Protocol Secure) indica il protocollo corrispondente al trasferimento dati in maniera sicura. Con il protocollo http si indica la variante non sicura. Nei siti web con HTTP tutti i dati possono essere teoricamente letti o modificati dai cybercriminali; e l’utente non può essere sicuro, se i dati della carta di credito vengano trasmessi davvero direttamente al negozio o a un hacker. L’HTTPS, invece, cripta i dati HTTP e assicura l’autenticità delle richieste tramite il certificato SSL o TLS. Oggi gli esperti consigliano esclusivamente l’uso di TLS; quando si parla di SSL, la maggior parte di loro intende in realtà il TLS.
Vantaggi nell’uso di SSL/TLS e HTTPS:
- Protezione dei dati e sicurezza per clienti e partner
- Viene diminuito il rischio di furto e di abuso di dati
- È un fattore che incide positivamente sul ranking di Google
- Permette l’uso di HTTP/2 per migliorare la performance del sito web
- Il certificato è facilmente riconoscibile per l’utente e risulta affidabile
Free vs Paid SSL/TLS: certificati gratuiti o a pagamento?
Se volete implementare l’SSL/TLS sul vostro sito, come già accennato, sarete dipendenti da un certificato SSL/TLS. Dalla sua introduzione nel 2015, i certificati dell'organizzazione non-profit Let's Encrypt sono un'alternativa gratuita e facile da installare rispetto ai classici certificati a pagamento. Nel passaggio del sito web a HTTPS, bisogna anche scegliere tra Free e Paid SSL/TLS. Il punto dolente dei certificati gratuiti consiste nel fatto che essi vengono sempre più utilizzati dai cybercriminali per rendere ancora più credibili le pagine di phishing: agli utenti viene cioè suggerito un sito web sicuro, che però lo è solo a uno sguardo superficiale.
All’inizio di marzo 2020, Let’s Encrypt ha dovuto revocare più di tre milioni dei certificati SSL/TLS attivi. Il motivo della disattivazione è stato un bug nel software open source Boulder, utilizzato da Let’s Encrypt per la verifica dei CCA Records (Certification Authority Authorization). Ciò rendeva possibile, almeno teoricamente, farsi rilasciare certificati per domini terzi. L’unica soluzione possibile per le persone coinvolte è stata quella di far generare un nuovo certificato entro 24 ore al fine di ripristinare la crittografia del proprio progetto.
In generale i certificati SSL/TLS gratuiti e a pagamento si differenziano principalmente su questi aspetti:
- Validità: la differenza più gravosa tra i free e i paid SSL/TLS consiste nella durata di validità dei certificati. Infatti, mentre la maggior parte dei certificati a pagamento sono validi dai 12 ai 24 mesi, i certificati gratuiti scadono già dopo 90 giorni. Perciò se utilizzate un SSL/TLS gratuito dovrete sostituire il certificato molto più frequentemente.
- Gestione: se optate per un servizio a pagamento, saranno messi anche a vostra disposizione, oltre al certificato, gli strumenti adatti per gestirlo. Se invece utilizzate un certificato SSL/TLS gratuito non avete questo servizio, che andrebbe pagato a parte, perciò dovrete preoccuparvi autonomamente dell’amministrazione.
- Estensione legata al dominio: un certificato SSL/TLS gratuito è valido esclusivamente per un solo dominio, al quale rimane legato. Se si decide per un Paid SSL/TLS, invece, si può beneficiare di certificati per più domini, che si possono utilizzare senza difficoltà per più progetti web.
- Presentazione nel campo dell’indirizzo: se proteggete il vostro progetto web con un certificato a pagamento, potrete mostrare nella barra degli indirizzi del browser il nome della vostra azienda, mentre con i Free SSL/TLS il sito web viene ovviamente riconosciuto come progetto HTTPS, ma non è possibile personalizzarlo.
Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.
Implementare HTTPS per il sito: uno sguardo ai passaggi fondamentali
I siti nati da poco possono beneficiare sin dall’inizio di una crittografia SSL/TLS. Ma anche per i siti web già esistenti il passaggio a SSL/TLS non è così complicato. Il primo passo in entrambi i casi è lo stesso: ottenere un certificato SSL per il relativo dominio.
Acquisire certificati SSL
Il certificato SSL è una sorta di carta di identità di un sito web. La Certificate Authority (CA), letteralmente Autorità Certificativa, cioè l’ente ufficiale dove si acquisisce il certificato, ha verificato l’identità precedentemente ed è responsabile della correttezza dei dati. I certificati SSL vengono depositati sul server e ogni volta richiamati, quando l’utente visita un sito web migrato sul protocollo HTTPS. Ci sono diversi tipi di certificati, che si differenziano per il tipo di identificazione:
- Certificato SSL Domain Validation (DV) – gratuiti e a pagamento:
Questi sono i certificati con il livello di autentificazione più basso. Qui la CA verifica solamente se il richiedente sia in possesso del dominio corrispondente per il quale vorrebbe acquisire un certificato. Le informazioni dell’azienda non vengono controllate nella verifica, perciò con la convalida del dominio rimane un rischio residuo. Grazie a un minor impegno per l’autenticazione, il certificato viene, in generale, rilasciato in fretta dalla CA ed è inoltre il più conveniente tra i tre tipi di certificato SSL, spesso totalmente gratuito, come nel caso di Let’s Encrypt.
I certificati DV sono adatti per i siti web, nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.
- Certificato SSL Organization Validated (OV) – a pagamento
Questo tipo di verifica è più completa e per questo più sicura di una convalida di dominio. Oltre al proprietario del dominio la CA verifica anche informazioni rilevanti sull’azienda, come ad esempio la registrazione nel registro delle imprese. Le informazioni verificate dalla CA sono visibili dal visitatore del sito web, cosa che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, il certificato SSL Organization Validated è più caro di quello Domain Validated, ma offre un grado di sicurezza più alto.
Questo certificato è adatto per i siti web dove non si fanno transazioni con dati sensibili.
- Certificato SSL Extended Validation (EV) – a pagamento
Questo è il certificato con il livello di autenticazione maggiore e più completo. Rispetto al certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente tramite criteri di assegnazione rigorosi. Inoltre questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata dell’azienda garantisce il livello di sicurezza più alto e con questo rafforza la fiducia e la credibilità nel sito web. Allo stesso tempo il certificato Extended Validation comporta il costo più alto.
Questo certificato è adatto ai siti web che, ad esempio, trattano con informazioni di carte di credito o altri dati sensibili.
Con la seguente grafica si può meglio comprendere quali certificati sono validi per determinati siti web:
Cliccate qui, per scaricare l‘infografica dei diversi certificate SSL.
Installazione e configurazione
Il passo successivo consiste nell’installazione del certificato SSL sul server. Molti provider di hosting se ne occupano per i propri clienti. Tramite l’area clienti nella maggior parte dei casi si può richiedere direttamente il certificato relativo, il provider poi lo registra.
I clienti di IONOS possono aggiungere facilmente il certificato SSL/TLS al pacchetto di web hosting esistente tramite l’Area clienti: in molti pacchetti questo certificato è anche incluso. L’installazione varia a seconda del fornitore. Di regola i provider o i servizi che forniscono i certificati mettono a disposizione istruzioni e indicazioni sull’installazione. Per un’implementazione tecnicamente ineccepibile sono importanti i seguenti punti:
- Certificati corretti
- Cifratura corretta
- Configurazione corretta del server
Errori e problemi durante la migrazione
Durante la migrazione si possono verificare alcuni errori, che si dovrebbero evitare, per non dover lottare con penalizzazioni nel ranking o irraggiungibilità delle proprie pagine.
I gestori che vogliono implementare il protocollo SSL/TLS per il loro sito dovrebbero:
- Evitare i certificati scaduti: un certificato SSL non valido o scaduto, porta a un messaggio di avviso fastidioso nella finestra del browser e in questo modo lo scopo (trasmettere all’utente fiducia e sicurezza) viene completamente perso.
- Impostare un reindirizzamento corretto: per evitare il cosiddetto duplicate content (contenuto duplicato), il webmaster deve configurare un reindirizzamento attraverso il Redirect 301. Così si evita che i motori di ricerca valutino la pagina HTTP e quella HTTPS come due diversi siti web e si aspettino diversi contenuti da questi.
- Modificare gli account pubblicitari (Google AdWords, Bing Ads e simili): se si inseriscono in un sito web HTTPS contenuti non cifrati (foto, script, ecc.), all’apertura della pagina viene mostrato un messaggio di avviso fastidioso e l’utente è disorientato. Soprattutto negli annunci pubblicitari ci sono dei problemi, perché la pubblicità viene consegnata ancora in massima parte non cifrata, pertanto gli account pubblicitari corrispondenti devono essere assolutamente modificati.
- Configurare Google Search Console e Google Analytics: in teoria la variante HTTP e quella HTTPS sono due siti web diversi. La variante HTTPS deve essere registrata dopo la migrazione anche in Google Search Console.
- Aggiornare la sitemap XML: anche la sitemap (mappa del sito) deve essere aggiornata e caricata su Google Search Console.
- Verificare i collegamenti (link) interni ed esterni: anche se il redirect 301 evita i link morti o errati, dopo il passaggio al protocollo HTTPS dovrebbero essere modificati tutti i collegamenti interni. A seconda di come i contenuti sono stati curati nel CMS, può anche essere richiesto un inserimento manuale. Nei link esterni si dovrebbe cercare di modificare i link più importanti (ad esempio delle Page Authority) in indirizzi HTTPS.
- Certificato SSL Wildcard incluso
- Registrazione di dominio sicura
- Indirizzo e-mail professionale da 2 GB
Download di una checklist breve o estesa contenente gli elementi più importanti da tenere in considerazione quando si converte un sito web ad https.
Come verificare che una pagina abbia un certificato valido?
Se si apre un sito web, che è crittografato con un certificato SSL valido, questo è riconoscibile già dall’URL:
https://www.esempio.it
La “s” nel protocollo HTTP dell’URL sta per “secure” e mostra che questa pagina è crittografata con un certificato SSL/TLS. A seconda del tipo di certificato e di browser ci sono diversi avvisi per la sicurezza della cifratura:
Con il controllo SSL gratuito di IONOS potete verificare con un solo clic se il vostro certificato attuale è installato correttamente e protegge il vostro sito da attacchi esterni.
Attraverso la verifica SSL gratuita di IONOS potete verificare in un solo clic, se il vostro certificato SSL è installato correttamente e se il vostro sito web è protetto dagli attacchi.
Verifica certificato SSL
Aumentare la fiducia grazie a siti web aziendali sicuri
Oltre ai già citati vantaggi della crittografia SSL/TLS, un altro argomento a favore di un sito web sicuro è la maggiore fiducia degli utenti nel sito e quindi nell'azienda stessa.
Jeff Barto, Trust Strategist di Symantec, spiega l'importanza della fiducia nel web e le crescenti aspettative degli utenti per la sicurezza del web:
L’affidabilità non è mai stata così importante sul web in un contesto B2B o B2C come lo è ora. In ambito SSL e TLS c’è la convinzione che tutto giri intorno alla crittografia e spesso le persone dimenticano la seconda funzione del SSL, che non è la codifica, ma la convalida.
Ciò che effettivamente significa è: sono sul sito su cui credo di essere? È questa l’azienda con cui mi aspetto di fare una transazione e sono effettivamente sicuro qui? Questo è ciò che realmente c’è nelle menti del consumatore e quello che pensano tutti. Quando abbiamo finito di lavorare, quando mettiamo giù i nostri biglietti da visita o i nostri badge a fine giornata, siamo anche noi dei consumatori e ci fermiamo e pensiamo a tutti i siti diversi che si visitano quando devi controllare il tuo conto online, le tue e-mail o quando vai su un sito di un social media.
Ci sono precisi indicatori di affidabilità che cominci ad aspettarti. Non è una grande sorpresa dato il mondo in cui ci troviamo. Sembra come se ci fosse una breccia o [si stringesse] un compromesso ogni singolo giorno, quasi come se ogni organizzazione là fuori non pensasse “sarò la prossima”, ma piuttosto “quando sarò la prossima”?
Ci troviamo in una situazione triste, ma lo è anche per noi consumatori e persone che usano il web. Si è creata una situazione dove siamo diventati davvero stufi dei posti in cui andiamo, ma siamo anche assettati e affamati di attendibilità, privacy e sicurezza. Detto questo, ci sono alcuni consigli che ogni azienda può seguire per esprimere quell’affidabilità, [per indicare] che un cliente è davvero sul sito su cui pensa di essere. Si tratta davvero dell’azienda e ogni cosa lo legittima, trascende l’idea di crittografia che consiste nel rendere privata un’informazione.
In questo contesto, Barto dà alle imprese tre consigli pratici per soddisfare le crescenti aspettative degli utenti sul tema sicurezza web.
Ci sono tre consigli che vorrei dare.
Il primo è che i consumatori sono abituati a vedere i sigilli di qualità. Sono piccoli indicatori visibili agli angoli dei siti, accanto al pulsante di acquisto o alla fine di un’esperienza, che dice come il sito sia stato certificato e che si tratta davvero di una certa azienda, che qui non ci sono virus o che gli standard relativi alla privacy sono aggiornati.
La seconda cosa che consigliamo è l’adozione di certificati Extended Validation SSL (EV Certificate).
Oltre ai sigilli (di qualità) e l’Extended Validation SSL Certificate c’è un terzo fattore, che è quello che noi chiamiamo Always On SSL. Corrisponde alla codifica dell’intero sito. Come ho detto all’inizio, c’è di più nella sicurezza e nell’attendibilità che la sola crittografia. C’è la convalida, che si combina bene con quegli altri due consigli che ho dato.
- Integrare nel sito il Trust Seal
Il sigillo di fiducia è diventato un comune indicatore della credibilità di un sito web. I diversi sigilli garantiscono ad esempio la sicurezza dei dati, transazioni sicure o confermano che sul sito non ci sono malware.
- Integrare un certificato con un livello di sicurezza alto
I certificati con un alto livello di sicurezza danno già nella barra del browser segnali evidenti che la crittografia è sicura, aumentando così la fiducia dell’utente.
- “Always on SSL”
Il certificato SSL/TLS dovrebbe essere integrato su tutte le sottopagine di un dominio, non soltanto sulla pagina di login o sul carrello degli acquisti. In questo modo, l’utente è protetto in modo ottimale per tutta la durata della visita.
HTTPS in ottica SEO
Da un po’ di anni si discute se il passaggio dei siti web a HTTPS abbia un influsso positivo nel posizionamento sui motori di ricerca. Nel 2014 Google ha reso noto che la connessione sicura tramite HTTPS viene valutata come segnale positivo nel ranking. Google, secondo alcune dichiarazioni, vuole rendere più sicuro il web e anche portare i gestori dei siti web a crittografare le loro pagine senza eccezioni. Quindi HTTPS dovrebbe diventare la connessione standard per tutti i siti web.
Ma, indipendentemente dai piani dei grandi motori di ricerca, le pagine HTTPS suggeriscono già qualità e serietà. Gli utenti diventano sempre più attenti al tema della sicurezza dei dati e anche i principianti possono facilmente riconoscere se una pagina viene contrassegnata come sicura o meno.
Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.