Sicurezza internet: creare un sito web sicuro con SSL e HTTPS
Se desideri creare un sito web sicuro, SSL/TLS e HTTPS fanno parte del programma obbligatorio. Ma cosa significano esattamente queste abbreviazioni? E come è possibile implementare i protocolli di sicurezza per migrare il sito a SSL e HTTPS?
Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.
Che cos’è SSL/TLS?
Il termine SSL (abbreviazione di “Secure Sockets Layer”) indica una tecnica che si usa per criptare e autenticare il traffico dati in rete. Con questo si mette in sicurezza nei siti web la trasmissione tra browser e server web. Soprattutto nell’e-commerce, dove vengono trasmessi dati protetti e sensibili, l’uso di un certificato SSL, cioè della sua versione successiva TLS (“Transport Layer Security”) è imprescindibile.
Dati sensibili, protetti con il protocollo di crittografia SSL/TLS, sono ad esempio:
- dati di registrazione: nome, indirizzo, indirizzo e-mail, numero di telefono;
- dati di login: indirizzo e-mail e password;
- informazioni di pagamento: numero della carta di credito, coordinate bancarie;
- moduli di registrazione
- documenti caricati dai clienti
Con il protocollo SSL/TLS ci si assicura che la comunicazione non possa né essere letta né manipolata e che i dati personali non finiscano nelle mani sbagliate.
Gli esperti e le esperte raccomandano ormai esclusivamente l’uso del protocollo TLS. Spesso si parla di SSL, anche se si intende TLS.
Che cos’è HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) è il protocollo corrispondente al trasferimento dati in maniera sicura tra browser e server web. HTTP indica la variante non sicura. Nei siti web con HTTP tutti i dati possono essere teoricamente letti o modificati dai criminali. L’utente non può essere quindi sicuro, se i dati della carta di credito vengano trasmessi davvero direttamente al negozio quando viene utilizzata la versione originale del protocollo.
HTTPS garantisce la sicurezza dei dati, trasmettendoli in forma criptata e assicurando l’autenticità delle richieste. Questo processo funziona tramite un apposito certificato SSL.
Quali vantaggi offre SSL/TLS o HTTPS?
- Protezione dei dati e sicurezza per clienti e partner
- Diminuisce il rischio di furto e di abuso di dati
- La crittografia HTTPS è un fattore di ranking di Google ufficiale ed è un requisito standard per progetti web con un buon posizionamento
- Permette l’uso di HTTP/3 per una performance ottimale del sito web
- Il certificato è facilmente riconoscibile per l’utente e desta fiducia
SSL/TLS gratuiti o a pagamento?
Se desideri implementare il protocollo SSL/TLS sul tuo sito, come già accennato, devi utilizzare un certificato SSL/TLS. Le soluzioni come Let’s Encrypt offrono un’alternativa gratuita e facile da installare rispetto ai classici certificati a pagamento. Nel passaggio del sito web a HTTPS o nella creazione di un sito web sicuro, bisogna anche scegliere tra SSL/TLS gratuito o a pagamento. Il punto dolente dei certificati gratuiti consiste nel fatto che essi vengono sempre più utilizzati dai cybercriminali per rendere ancora più credibili le pagine di phishing: agli utenti viene quindi suggerito un sito web sicuro, che però lo è solo a uno sguardo superficiale.
All’inizio di marzo 2020, Let’s Encrypt ha dovuto revocare più i tre milioni di certificati SSL/TLS attivi. Il motivo della disattivazione è stato un bug nel software open source Boulder, utilizzato da Let’s Encrypt per la verifica dei record CAA (Certification Authority Authorization). Ciò rendeva possibile, almeno teoricamente, farsi rilasciare certificati per domini terzi. L’unica soluzione possibile per le persone coinvolte è stata quella di far generare un nuovo certificato entro 24 ore al fine di ripristinare la crittografia del proprio progetto.
In generale i certificati SSL/TLS gratuiti e a pagamento si differenziano principalmente per questi aspetti:
- Validità: la differenza più gravosa tra SSL/TLS gratuiti e a pagamento consiste nella durata di validità dei certificati. Infatti, mentre la maggior parte dei certificati a pagamento sono validi dai 12 ai 24 mesi, i certificati gratuiti scadono già dopo 90 giorni. Perciò, se usi un protocollo SSL/TLS gratuito dovrai sostituire il certificato molto più frequentemente, anche se molti provider offrono un rinnovo automatico.
- Gestione: se opti per un servizio a pagamento, ti saranno messi a disposizione, oltre al certificato, anche gli strumenti adatti per gestirlo. Se invece usi un certificato SSL/TLS gratuito, non hai questo servizio, che andrebbe pagato a parte, perciò dovrai occuparti autonomamente della gestione.
- Appartenenza al dominio: un certificato SSL/TLS gratuito è valido esclusivamente per un solo dominio, al quale rimane legato. Se decidi di optare per un protocollo SSL/TLS a pagamento, invece, puoi beneficiare di certificati per più domini, che puoi utilizzare senza difficoltà per più progetti web.
Implementare HTTPS e SSL per il tuo sito
Se desideri creare un sito web sicuro, puoi adottare fin dall’inizio la crittografia SSL/TLS. Ma anche per i siti web già esistenti il passaggio a SSL/TLS non è così complicato.
Primo passaggio: acquisire certificati SSL
Il certificato SSL è una sorta di carta d’identità di un sito web. La Certificate Authority (CA), letteralmente Autorità Certificativa, cioè l’ente ufficiale dove si acquisisce il certificato, ha verificato l’identità precedentemente ed è responsabile della correttezza dei dati. I certificati SSL vengono creati sul server e richiamati ogni volta, quando l’utente visita un sito web migrato sul protocollo HTTPS. Ci sono diversi tipi di certificati, che si differenziano per il tipo di identificazione:
- Certificati gratuiti e a pagamento con validazione del dominio (DV): si tratta di certificati con il livello di autenticazione più basso. Qui la CA verifica solamente se il richiedente sia in possesso del dominio corrispondente. Le informazioni dell’azienda non vengono controllate durante la verifica, perciò la convalida del dominio potrebbe comportare alcuni rischi.
Adatto per: i siti web, nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.
- Certificati a pagamento con convalida del proprietario o della proprietaria (OV): questo tipo di verifica è più completa e per questo più sicura di una convalida di dominio. Oltre al proprietario o alla proprietaria del dominio, la CA verifica anche informazioni rilevanti sull’azienda. Le informazioni verificate dalla CA sono visibili dal visitatore o dalla visitatrice del sito web, il che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, questo tipo di certificato SSL è più caro di quello OV, ma offre un grado di sicurezza più alto.
Adatto per: i siti web dove non si fanno transazioni con dati sensibili.
- Certificati a pagamento con validazione estesa (EV): questo è il certificato con il livello di autenticazione maggiore e più completo. Rispetto al certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente. Inoltre, questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata garantisce il livello di sicurezza più alto e con questo si rafforza la fiducia e la credibilità nel sito web. Allo stesso tempo il certificato Extended Validation è quello che costa di più.
Adatto per: i siti web che, ad esempio, raccolgono informazioni su carte di credito o altri dati sensibili.
Secondo passaggio: installare e configurare il certificato
Il passaggio successivo consiste nell’installazione del certificato SSL sul server. Molti provider di hosting se ne occupano per i propri clienti. Tramite l’area clienti nella maggior parte dei casi si può richiedere direttamente il certificato, il provider poi lo registra. L’installazione varia a seconda del fornitore. Di regola i provider o i servizi che forniscono i certificati mettono a disposizione istruzioni e indicazioni sull’installazione. Per un’implementazione tecnicamente ineccepibile sono importanti i seguenti punti:
- Certificati corretti
- Cifratura corretta
- Configurazione corretta del server
Terzo passaggio: reagire a errori e problemi
Durante la migrazione si possono verificare alcuni errori, che si dovrebbero evitare, per non dover lottare con penalizzazioni nel ranking o irraggiungibilità delle proprie pagine.
Se gestisci un sito web e vorresti passare a SSL/TLS, dovresti:
- Evitare i certificati scaduti: un certificato SSL non valido o scaduto, porta a un messaggio di avviso fastidioso nella finestra del browser e in questo modo ci si allontana dall’obiettivo di trasmettere fiducia e sicurezza all’utente.
- Impostare un reindirizzamento corretto: per evitare il (duplicate content (contenuto duplicato), dovresti configurare un reindirizzamento attraverso il redirect 301. Così si evita che i motori di ricerca valutino la pagina HTTP e quella HTTPS come due diversi siti web e si aspettino di trovarvi diversi contenuti.
- Modificare gli account pubblicitari: se si inseriscono in un sito web HTTPS contenuti non cifrati (foto, script, ecc.), all’apertura della pagina viene mostrato un messaggio di avviso fastidioso. Soprattutto negli annunci pubblicitari ci sono dei problemi, perché la pubblicità viene consegnata ancora in massima parte non cifrata; pertanto, gli account pubblicitari corrispondenti devono essere modificati assolutamente.
- Configurare Google Search Console e strumenti di analisi: in teoria la variante HTTP e quella HTTPS sono due siti web diversi. La variante HTTPS deve essere registrata dopo la migrazione anche su Google Search Console.
- Aggiornare la sitemap XML: anche la sitemap (mappa del sito) deve essere aggiornata e caricata su Google Search Console.
- Verificare i collegamenti (link) esterni e interni: anche se il redirect 301 evita i link morti o errati, dopo il passaggio al protocollo HTTPS dovrebbero essere modificati tutti i collegamenti interni. A seconda di come i contenuti sono stati curati nel CMS, può anche essere richiesto un inserimento manuale. Nei link esterni si dovrebbe cercare di modificare i link più importanti (ad esempio delle Page Authority) in indirizzi HTTPS.
- Domain Connect gratuito per una configurazione facile del DNS
- Certificato SSL Wildcard gratuito
- Protezione privacy inclusa
Download gratuito della checklist
Di seguito puoi scaricare una checklist breve o estesa contenente gli elementi più importanti da tenere in considerazione quando si passa un sito web a HTTPS.
- Checklist di migrazione a HTTPS (versione breve)
- Checklist di migrazione a HTTPS (versione dettagliata)
Quarto passaggio: monitorare la durata del certificato
Per mantenere attiva la crittografia HTTPS, il certificato SSL/TLS non deve scadere. Controlla regolarmente la durata di validità e, se possibile, configura un rinnovo automatico.
- Monitoraggio: tieni d’occhio la data di scadenza. Molti provider di hosting offrono funzioni di promemoria o strumenti di monitoraggio per questo scopo.
- Rinnovo automatico con ACME: con il protocollo ACME (Automatic Certificate Management Environment) è possibile rinnovare automaticamente i certificati (ad esempio di Let’s Encrypt). In questo modo si evitano interruzioni e avvisi nel browser.
- Utilizzare l’integrazione del provider: in molti pacchetti di web hosting, il rinnovo automatico dei certificati è già attivato per impostazione predefinita. Verifica questa impostazione nel relativo account cliente.
Come verificare che una pagina abbia un certificato valido?
Se si apre un sito web, che è crittografato con un certificato SSL valido, questo è riconoscibile già dall’URL:
https://www.esempio.it
La “s” nella parte del protocollo dell’URL sta per “sicuro” e mostra che questa pagina è crittografata con un certificato SSL/TLS. A seconda del tipo di certificato e di browser ci sono diversi avvisi per la sicurezza della cifratura:
Con strumenti come la verifica SSL gratuita di IONOS, puoi verificare con un solo clic, se il tuo certificato attuale è installato correttamente e se il tuo sito web è protetto dagli attacchi hacker.
Aumentare la fiducia grazie a siti web aziendali sicuri
Oltre ai già citati vantaggi della crittografia SSL/TLS, un altro argomento a favore di un sito web sicuro è la maggiore fiducia degli utenti nel sito e quindi nell’azienda stessa. Jeff Barto, Trust Strategist di Symantec, spiega l’importanza della fiducia nel web e le crescenti aspettative degli utenti per la sicurezza del web:
Per visualizzare questo video, sono necessari i cookie di terze parti. Puoi accedere e modificare le impostazioni dei cookie qui. In questo contesto, Barto dà alle imprese tre consigli pratici per soddisfare le crescenti aspettative degli utenti in merito alla sicurezza web.
Per visualizzare questo video, sono necessari i cookie di terze parti. Puoi accedere e modificare le impostazioni dei cookie qui. - Integrare sigilli di fiducia nel sito web: i sigilli di fiducia sono un indicatore della credibilità di un sito web. I diversi sigilli garantiscono ad esempio la sicurezza dei dati, transazioni sicure o confermano che sul sito non ci sono malware.
- Integrare un certificato SSL con un livello di sicurezza alto: i certificati con un alto livello di sicurezza danno già nella barra del browser segnali evidenti che la crittografia è sicura, aumentando così la fiducia dell’utente.
- “Always on SSL”: il certificato SSL/TLS dovrebbe essere integrato su tutte le sottopagine di un dominio, non soltanto sulla pagina di login o sul carrello degli acquisti. In questo modo, l’utente è protetto in modo ottimale per tutta la durata della visita.