Come an­nun­cia­to sul Security Blog di Google, a partire da luglio 2018 Chrome 68 mostra l’avviso con la dicitura "Non sicuro" nell'URL su qualsiasi pagina web priva di cer­ti­fi­ca­to SSL valido. Il browser di Google è il primo ad applicare una simile misura, ma presto lo se­gui­ran­no anche gli altri maggiori browser. I siti web che non uti­liz­za­no la crit­to­gra­fia SSL po­treb­be­ro avere un impatto negativo sulla fiducia degli utenti nonché influire ne­ga­ti­va­men­te sui ranking SEO.

Questa presa di posizione di Google, insieme ad altre modifiche meno rilevanti, rientra nel suo piano di rendere gli utenti con­sa­pe­vo­li riguardo ai siti web che non uti­liz­za­no adeguate misure di sicurezza. Tra le righe si legge un chiaro invito a ef­fet­tua­re la tran­si­zio­ne dal traffico web HTTP po­ten­zial­men­te insicuro al pro­to­col­lo HTTPS al­ter­na­ti­vo più sicuro.

Chrome 68 e l’avviso “Non sicuro”

Con Chrome 68, la versione più recente del suo browser, Google decide di acuire le re­stri­zio­ni nei confronti dei siti non ab­ba­stan­za sicuri per la na­vi­ga­zio­ne degli utenti. L’avviso “Non sicuro” compare infatti su tutte le pagine HTTP a pre­scin­de­re dal loro contenuto. Lo scopo è di pro­teg­ge­re meglio gli utenti da pagine HTTP po­ten­zial­men­te vul­ne­ra­bi­li ad attacchi di hacker che po­treb­be­ro ottenere l’accesso a in­for­ma­zio­ni personali sfrut­tan­do le falle di sicurezza del sito.

Ogni volta che un utente accede a un sito usando HTTP gli hacker po­treb­be­ro in­ter­cet­ta­re dati sensibili au­men­tan­do il rischio di crimini online. Secondo uno studio condotto da Google gli in­di­ca­to­ri finora uti­liz­za­ti non erano ab­ba­stan­za efficaci, mentre un avviso “Non sicuro” potrebbe fungere da maggiore de­ter­ren­te per gli utenti prima di usare un sito poco sicuro. Eti­chet­tan­do le pagine web HTTP con più chiarezza, Google intende aumentare la sicurezza della na­vi­ga­zio­ne degli utenti.

Cosa cambierà con Chrome 68?

Con la sua decisione di segnalare tutti i siti web non sicuri, Google sot­to­li­nea l’im­por­tan­za della mi­gra­zio­ne di un sito web da HTTP a HTTPS. Tale passaggio a HTTPS ga­ran­ti­sce all’utente una crit­to­gra­fia dei dati secondo il pro­to­col­lo SSL o la sua versione più recente TLS. Per im­ple­men­ta­re HTTPS sul proprio spazio in rete, i singoli gestori devono ottenere un cer­ti­fi­ca­to digitale per ciascuno dei siti web che pos­sie­do­no. Del resto secondo Google l’utilizzo di HTTPS sta au­men­tan­do no­te­vol­men­te: una quantità si­gni­fi­ca­ti­va del traffico web sta ef­fet­tuan­do il passaggio ad HTTPS.

Inoltre è im­por­tan­te sapere che Chrome non fa alcuna di­stin­zio­ne tra una singola pagina e un intero sito web, bensì sottopone a un controllo ogni singola pagina web che incontra, ap­pli­can­do la dicitura “Non sicuro” se è il caso. Se però altre pagine del sito fun­zio­na­no con HTTPS, allora su di esse non troverete l’avviso.

I siti web che non usano HTTPS mettono a rischio i vi­si­ta­to­ri, ai quali ad esempio po­treb­be­ro venire rubati i cookie. Se rimanete a HTTP perdete quindi un’ottima occasione per mi­glio­ra­re il vostro ranking sul motore di ricerca.

La modifica non si rivolge a una categoria in par­ti­co­la­re di siti web: in­di­pen­den­te­men­te dal fatto che gestiate un negozio online o che il vostro sia un sito pret­ta­men­te in­for­ma­ti­vo, sarete comunque in­te­res­sa­ti dalla re­stri­zio­ne da parte di Google. D’altronde il prin­ci­pa­le motivo della mi­gra­zio­ne da HTTP a HTTPS è la sicurezza dell’utente, non importa che navighi in rete per ac­qui­sta­re prodotti o per leggere le ultime notizie.

Perché crit­to­gra­fa­re il proprio sito web?

Internet si fonda prin­ci­pal­men­te sulla fiducia. Perché gli utenti si fidino della rete, è in­di­spen­sa­bi­le garantire loro una na­vi­ga­zio­ne sicura con una pro­te­zio­ne end-to-end su tutte le pagine, da quelle di accesso ai carrelli dei negozi online. Un avviso on­ni­pre­sen­te, e quindi chia­ra­men­te visibile come "Non sicuro", potrebbe avere un effetto ancora più diretto sul numero di vi­si­ta­to­ri di un sito web.

L'or­ga­ni­smo di cer­ti­fi­ca­zio­ne Glo­bal­si­gn ha scoperto in un sondaggio del novembre 2014 che l'85 % degli ac­qui­ren­ti online si sente sco­rag­gia­to dai siti web non crit­to­gra­fa­ti. Mantenere una con­nes­sio­ne sicura durante un'intera sessione di na­vi­ga­zio­ne HTTPS è dunque es­sen­zia­le: questo perché gli utenti devono essere sempre al sicuro da eventuali attacchi avanzati di spoofing, injection e man-in-the-middle.

HTTPS non solo fornisce l'au­ten­ti­ca­zio­ne di identità, con­nes­sio­ne ed integrità dei dati del sito web, ma inoltre crit­to­gra­fa tutte le in­for­ma­zio­ni condivise tra il sito web e l'utente (compresi i cookie scambiati). In questo modo protegge i dati da vi­sua­liz­za­zio­ni non au­to­riz­za­te, ma­no­mis­sio­ni e da usi impropri.

Non basta più limitarsi a ef­fet­tua­re una crit­to­gra­fia parziale del sito, poiché le parti non protette sono vul­ne­ra­bi­li e finiscono per rap­pre­sen­ta­re una minaccia per la sicurezza dell’utente che naviga sul vostro spazio web. In più un lavoro in­ter­mit­ten­te di pro­te­zio­ne non solo non è ab­ba­stan­za efficace e mette a rischio i na­vi­ga­to­ri della rete, ma non soddisfa nemmeno le aspet­ta­ti­ve di browser e dei sistemi operativi. Negli ultimi anni Google, Apple e Mozilla si sono po­si­zio­na­ti fer­ma­men­te contro HTTP in­co­rag­gian­do i gestori di siti web ad adottare HTTPS.

Nel 2017 Google aveva iniziato a sco­rag­gia­re le pagine che ri­chie­de­va­no l’in­se­ri­men­to di password e/o di cre­den­zia­li della carta di credito dall’uti­liz­za­re HTTP, per poi finire per includere in­di­stin­ta­men­te tutti i siti web. Ora come ora è rac­co­man­da­bi­le avere tutte le pagine web crit­to­gra­fa­te con un cer­ti­fi­ca­to SSL valido e au­to­riz­za­to da un’autorità ri­co­no­sciu­ta.

HTTP non rap­pre­sen­ta solamente una minaccia alla sicurezza degli utenti: ormai una pagina web HTTP è anche da con­si­de­ra­si un ana­cro­ni­smo, poiché non è più in grado di sup­por­ta­re le nuove tec­no­lo­gie quali geo­lo­ca­liz­za­zio­ne, notifiche, gli standard di Google per i di­spo­si­ti­vi mobili e tanto altro ancora. Ostinarsi a tenere HTTP sul proprio sito web, è in prima linea una condanna au­toin­flit­ta a rimanere in­trap­po­la­ti nel passato.

Oltre a nuove potenti funzioni e una migliore per­for­man­ce, HTTPS offre svariati vantaggi rispetto ad HTTP:

  • Sicurezza: HTTP è un pro­to­col­lo che risale agli albori di Internet e non era stato pensato per garantire sicurezza ai na­vi­ga­to­ri della rete. Di contro HTTPS potenzia HTTP con il pro­to­col­lo SSL, crit­to­gra­fan­do e au­ten­ti­can­do la pagina.
  • SEO: l’algoritmo del motore di ricerca di Google prio­ri­tiz­za pagine che usano la crit­to­gra­fia HTTPS nel ranking.
  • Per­for­man­ce: i siti web HTTPS be­ne­fi­cia­no del mi­glio­ra­men­to della per­for­man­ce grazie ad HTTP/2, il più recente ag­gior­na­men­to del pro­to­col­lo fon­da­men­ta­le di Internet.
  • Controllo: pro­te­zio­ne del sito web da terze parti e hot spot Wi-Fi che po­treb­be­ro inserire pub­bli­ci­tà su siti web visitati tramite HTTP ral­len­tan­do­ne la per­for­man­ce, rovinando la user ex­pe­rien­ce e infine esponendo gli utenti al rischio di contatto con contenuti dannosi.
  • Cre­di­bi­li­tà: gli utenti si sentono più al sicuro con una maggiore pro­te­zio­ne dei propri dati, au­men­tan­do la fiducia nei confronti dei siti web con HTTPS; di con­se­guen­za di­mi­nui­sco­no le frequenze di rimbalzo e i processi di vendita in­ter­rot­ti.
Consiglio

Cercate la massima sicurezza per il vostro sito web? Scoprite come fun­zio­na­no i cer­ti­fi­ca­ti SSL di IONOS e come possono aumentare l’af­fi­da­bi­li­tà della vostra pagina.

Con­tras­se­gna­re le pagine sicure è superfluo: ci pensano le pagine non sicure ad attirare l’at­ten­zio­ne

A maggio 2018 Google ha an­nun­cia­to che non avrebbe più con­tras­se­gna­to con un lucchetto verde i siti web sicuri criptati con HTTPS. Google è infatti del parere che la rete sia “safe by default” pertanto in­di­ca­zio­ni ag­giun­ti­ve ri­sul­te­reb­be­ro superflue. Gli utenti di Internet quando navigano si aspettano quindi che il web sia sicuro. Sulle pagine non criptate, tuttavia, appare ancora il messaggio “Non sicuro”: tale avviso, che ha lo scopo di avvertire i vi­si­ta­to­ri in modo ancora più chiaro, le fa risaltare in maniera par­ti­co­la­re. Come si legge sul blog ufficiale Google Chromium Blog, l’in­di­ca­zio­ne “Sicuro” dovrebbe scom­pa­ri­re a partire da settembre 2018, con Chrome 69.

Come devono procedere i gestori di siti web?

A fronte di quanto scritto finora, vale la pena ve­ri­fi­ca­re lo stato del proprio sito web ed even­tual­men­te passare da HTTP a HTTPS ac­qui­stan­do un cer­ti­fi­ca­to SSL. Al più tardi con l'ag­gior­na­men­to a Chrome 68 chi gestisce un sito web dovrebbe prendere se­ria­men­te in con­si­de­ra­zio­ne la mi­gra­zio­ne. Il pro­to­col­lo per la tra­smis­sio­ne sicura dei dati è pro­get­ta­to per impedire a terzi non au­to­riz­za­ti di ma­ni­po­la­re o in­ter­cet­ta­re la co­mu­ni­ca­zio­ne tra un sito web e i suoi vi­si­ta­to­ri.

In­di­pen­den­te­men­te dal fatto che si opti per la tec­no­lo­gia SSL (Secure Sockets Layer) o per la più moderna tec­no­lo­gia TLS (Transport Layer Security), la cer­ti­fi­ca­zio­ne da parte di un fornitore au­to­riz­za­to e ri­co­no­sciu­to offre chiari vantaggi. Oltre a un buon ranking sul motore di ricerca di Google e a pre­sta­zio­ni ac­ce­le­ra­te grazie all'HTTP/2, va men­zio­na­ta in par­ti­co­la­re la maggiore fiducia degli utenti in un sito web, da cui trae beneficio anche lo stesso gestore: in­di­ca­to­ri di sicurezza chia­ra­men­te visibili come un avviso di fianco all’URL possono con­tri­bui­re a ridurre in modo si­gni­fi­ca­ti­vo la frequenza di rimbalzo.

Secondo il blog Chromium, 81 dei 100 prin­ci­pa­li siti web su Internet sono già provvisti di cer­ti­fi­ca­ti SSL o TLS per la crit­to­gra­fia dei propri spazi online. Inoltre il 68 % del traffico di Chrome via Android e Windows e quasi il 78 % via Chrome OS e Mac sono ul­te­rior­men­te protetti da HTTPS. Pertanto se ancora non avete proceduto ad ab­ban­do­na­re HTTP, ap­par­te­ne­te alla minoranza. Secondo Google impostare il pro­to­col­lo di sicurezza è più facile che mai: strumenti per svi­lup­pa­to­ri web come Lighthou­se aiutano a rendere la tran­si­zio­ne più facile, so­prat­tut­to se si tratta di contenuti misti. Quindi: non ci sono più scuse, è ora di passare a un tra­sfe­ri­men­to dati più sicuro.

Qui sotto trovate una breve spie­ga­zio­ne, mentre se cercate una guida passo passo vi con­si­glia­mo la lettura del nostro articolo dedicato.

I cer­ti­fi­ca­ti SSL non sono tutti uguali e non tutti ga­ran­ti­sco­no lo stesso livello di pro­te­zio­ne. Il cer­ti­fi­ca­to di primo livello è Domain Va­li­da­tion (DV), che si limita a con­va­li­da­re il controllo di dominio. A seguire si trova l’Or­ga­ni­za­tion Va­li­da­tion (OV), che in aggiunta convalida in­for­ma­zio­ni ag­giun­ti­ve sull’or­ga­niz­za­zio­ne che controlla il sito web. Infine il cer­ti­fi­ca­to che ga­ran­ti­sce il grado massimo di pro­te­zio­ne e cre­di­bi­li­tà all’utente è l’Extended Va­li­da­tion (EV), il quale fornisce dettagli esaustivi riguardo all’identità per mezzo di fonti esterne.

Più garanzie e tra­spa­ren­za riuscite a co­mu­ni­ca­re all’utente che naviga sul vostro spazio online, più cre­di­bi­li­tà gua­da­gne­re­te.

Passaggio n. 1: con­trol­la­re l’URL

  • Per prima cosa con­trol­la­te il vostro URL: se inizia con “https” il vostro sito web è da con­si­de­rar­si sicuro.

Passaggio n. 2: ac­qui­sta­re un cer­ti­fi­ca­to SSL

  • Se il vostro URL inizia con “http”, il sito web non è sicuro. Non vi resta che procedere all’acquisto di un cer­ti­fi­ca­to SSL/TLS e in­stal­lar­lo sul vostro server.

Passaggio n. 3: in­stal­la­re il cer­ti­fi­ca­to SSL

  • La maggior parte dei servizi di hosting si occupa dell’in­stal­la­zio­ne del cer­ti­fi­ca­to o perlomeno fornisce tutte le istru­zio­ni ne­ces­sa­rie per dirvi come fare.
Consiglio

Con­tat­ta­te il vostro provider per sapere qual è la procedura corretta da applicare sul vostro server.

Da Chrome 66 a Chrome 70: Symantec non merita fiducia

Da questo momento in poi Google Chrome si affida solamente alle con­nes­sio­ni HTTPS. Tuttavia esistono dei siti web che co­sti­tui­sco­no delle eccezioni perché no­no­stan­te siano at­trez­za­ti con HTTPS, sono comunque con­si­de­ra­ti pe­ri­co­lo­si: si tratta di quelli cer­ti­fi­ca­ti dall’azienda Symantec. La ragione di questa dif­fi­den­za la si trova nello storico scontro tra Google e Symantec: secondo il gigante dei motori di ricerca, infatti, l’ente di cer­ti­fi­ca­zio­ne avrebbe ri­pe­tu­ta­men­te emesso cer­ti­fi­ca­ti falsi per migliaia di domini di­mo­stran­do­si così inaf­fi­da­bi­le.

Google ha quindi reagito iniziando a togliere fiducia a Symantec con Chrome 66: a partire dal 17 aprile 2018 alcuni siti web provvisti di cer­ti­fi­ca­to TLS Symantec sono con­tras­se­gna­ti con l’av­ver­ti­men­to che su quel sito web i dati possono essere acquisiti da terzi. L’avviso “Non sicuro” di Chrome 68 è ancora più chiaro. Con l’ag­gior­na­men­to a Chrome 70 previsto per il 23 ottobre 2018, la se­gna­la­zio­ne del browser sarà ul­te­rior­men­te ine­qui­vo­ca­bi­le: non appena l’utente vorrà immettere i propri dati su un sito non sicuro, gli apparirà l’avviso di colore rosso e in grassetto.

Un tecnico della sicurezza di Airbnb ha scoperto quanti saranno i domini in­te­res­sa­ti da questa modifica: 11.510, ovvero quasi il 10 % dei siti web più visitati secondo il ranking di Alexa. Tra questi ri­tro­via­mo i siti web di Sky, Unieuro, Mondadori Store, Amazon.it, Avvenire, Hoepli, Unicredit, Obi Italia, Fastweb, Ita­lo­tre­no, Trivago, Tecnocasa e molti altri. Il motivo per un numero così elevato è che Chrome 70 non diffida solamente dei cer­ti­fi­ca­ti emessi di­ret­ta­men­te da Symantec, bensì anche di quelli a essa in­di­ret­ta­men­te associati, come GeoTrust, RapidSSl e Thawte.

Consiglio

Non perdete ulteriore tempo e scoprite come so­sti­tui­re un cer­ti­fi­ca­to SSL non valido.

Vai al menu prin­ci­pa­le