Correggere l'avviso di contenuto misto (mixed content) su un sito web con SSL

Per certificati SSL gestiti da 1&1 IONOS di tipo SSL Starter, GeoTrust Quick SSL Premium (SSL Starter) o GeoTrust Quick SSL Premium Wildcard (SSL Starter Wildcard)

In questo articolo ti spieghiamo come riconoscere e rimuovere il contenuto misto (mixed content) e attivare la crittografia per tutti i contenuti del tuo sito web.

Quando il contenuto di un sito web non è completamente protetto, viene visualizzato nel browser un avviso di mixed content (contenuto misto). Le connessioni crittografate sono riconoscibili attraverso la presenza di HTTPS vicino al lucchetto verde nella barra degli indirizzi.
 

Cos'è il contenuto misto?

Si parla di contenuto misto quando un sito web, aperto tramite URL con HTTPS, fornisce contenuti non crittografati tramite HTTP. In genere le fonti del mixed content sono immagini, file audio e video, iFrame, file e oggetti CSS e JavaScript.

 

Esistono due tipi di contenuto misto
  • Contenuto misto passivo: contenuti web che non possono modificare altre sezioni di un sito web, ma che vengono solo inviati. Tra questi troviamo immagini, video, file audio e risorse secondarie in un sito web.
  • Contenuto misto attivo: contenuti web che all'interno del sito web fanno parte del Document Objects Model (DOM) di un sito web. Questi contenuti web possono modificare in modo duraturo sezioni di un sito web e il relativo funzionamento: tra ci sono link, script (ad es. JavaScript), oggetti XML-http-Request, iFrame, file CSS nei quali si utilizzano URL e attributi di dati di oggetto.
Nota bene:

Se utilizzi WordPress Standard o una tariffa Hosting 1&1 IONOS WordPress, segui le istruzioni fornite dalla 1&1 IONOS Community (i contenuti sono in inglese).

Rimuovere e sostituire il contenuto misto

Il modo migliore per evitare problemi di mixed content è quello di fornire tutti i contenuti tramite HTTPS al posto di HTTP. Per procedere, segui i passaggi descritti di seguito:

  • Verifica con l'aiuto del tool Why No Padlock se alcuni contenuti del tuo sito attivano l'avviso relativo al mixed content.
  • Sostituisci con https:// tutti i percorsi che cominciano con http://.
    A seconda del content managed system utilizzato, è sufficiente adattare il percorso del sito web nel file di configurazione del sistema. Se i percorsi assoluti sono depositati nel database, è necessario effettuare le modifiche direttamente nel database. Per prima cosa crea un backup del database. Alcune piattaforme CMS offrono dei plugin appositi. Puoi verificare sulla pagina del produttore se viene offerto un plugin di questo genere.
  • Una volta che HTTPS viene sostituito a HTTP per tutti i link contenuti nel sito web, è necessario configurare ancora un "301 Redirect" permanente. Un "301 Redirect" è un inoltro lato server permanente che comunica al motore di ricerca Google che il contenuto richiesto è stato trasferito definitivamente.

    Aggiungi le seguenti righe nel file .htaccess:

    # Beispiel RewriteRule:
    #
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ https://www.il-tuo-dominio.it/$1 [R,L]
    </IfModule>

  • Adattare le impostazioni dei tool Webmaster e Google Analytics
    In linea teorica, le varianti HTTP e HTTPS fanno riferimento a due siti web differenti. Dopo la modifica, alla variante HTTPS è possibile accedere anche attraverso il tool Webmaster.
    Se il tuo browser continua a visualizzare l'avviso mixed content, ciò può essere legato ai contenuti delle immagini e degli iFrame, ai file CSS e JavaScript di pagine esterne, che non vengono resi disponibili tramite HTTPS. In questo caso non è possibile un procedimento unico per la rimozione degli errori.