Sicurezza su Internet: siti web sicuri con SSL e HTTPS
Lo spionaggio e l’abuso di dati sono un serio problema sia per le autorità internazionali sia per i consumatori privati finali. Il tema della sicurezza in rete diventa pertanto sempre più centrale per le imprese. I privati non sono gli unici a sbrigare sempre più faccende online, ma anche in ambito aziendale vengono digitalizzati i settori in crescita. Affinché i dati interni all’azienda, quelli dei clienti e altre informazioni sensibili possano essere tramessi in sicurezza e gestiti in modo sicuro, SSL/TLS e HTTPS rientrano tra gli standard di sicurezza attuali. Ma cosa significano esattamente queste sigle e come si possono configurare i protocolli di sicurezza di un sito web?
Certificati SSL di IONOS
Proteggi il tuo dominio e ottieni la fiducia dei clienti con un sito crittografato tramite SSL!
Che cos’è SSL/TLS?
Il termine SSL (sigla per “Secure Socket Layers”) indica una tecnologia che si usa per criptare e autenticare il traffico dati in rete. Con questo si mette in sicurezza nei siti web la trasmissione tra browser e server web. Soprattutto nell’e-commerce e nell’online banking, dove vengono trasmessi dati protetti e sensibili, l’uso di un certificato SSL o della sua versione successiva TLS (“Transport Layer Security”) è imprescindibile.
Dati sensibili, protetti con il protocollo crittografico SSL/TLS, sono ad esempio:
- dati di registrazione: nome, indirizzo, indirizzo e-mail, numero di telefono;
- dati di login: indirizzo e-mail e password;
- informazioni di pagamento: numero della carta di credito, coordinate bancarie;
- moduli di registrazione;
- documenti caricati dai clienti
Con il protocollo SSL/TLS ci si assicura che la comunicazione non possa né essere letta né manipolata e che i dati personali non finiscano nelle mani sbagliate.
Registra subito un dominio .it in offerta speciale!
Registra ora il tuo dominio .it con un consulente personale incluso!
Che cos’è HTTPS?
L’abbreviazione HTTPS (Hypertext Transport Protocol Secure) indica il protocollo corrispondente al trasferimento dati in maniera sicura. Con il protocollo http si indica la variante non sicura. Nei siti web con HTTP tutti i dati possono essere teoricamente letti o modificati dai cybercriminali; e l’utente non può essere sicuro, se i dati della carta di credito vengano trasmessi davvero direttamente al negozio o a un hacker. L’HTTPS, invece, cripta i dati HTTP e assicura l’autenticità delle richieste tramite il certificato SSL o TLS. Oggi gli esperti consigliano esclusivamente l’uso di TLS; quando si parla di SSL, la maggior parte di loro intende in realtà il TLS.
Vantaggi nell’uso di SSL/TLS e HTTPS:
- Protezione dei dati e sicurezza per clienti e partner
- Viene diminuito il rischio di furto e di abuso di dati
- È un fattore che incide positivamente sul ranking di Google
- Permette l’uso di HTTP/2 per migliorare la performance del sito web
- Il certificato è facilmente riconoscibile per l’utente e risulta affidabile
Free vs Paid SSL/TLS: certificati gratuiti o a pagamento?
Se volete implementare l’SSL/TLS sul vostro sito, come già accennato, sarete dipendenti da un certificato SSL/TLS. Dalla sua introduzione nel 2015, i certificati dell'organizzazione non-profit Let's Encrypt sono un'alternativa gratuita e facile da installare rispetto ai classici certificati a pagamento. Nel passaggio del sito web a HTTPS, bisogna anche scegliere tra Free e Paid SSL/TLS. Il punto dolente dei certificati gratuiti consiste nel fatto che essi vengono sempre più utilizzati dai cybercriminali per rendere ancora più credibili le pagine di phishing: agli utenti viene cioè suggerito un sito web sicuro, che però lo è solo a uno sguardo superficiale.
All’inizio di marzo 2020, Let’s Encrypt ha dovuto revocare più di tre milioni dei certificati SSL/TLS attivi. Il motivo della disattivazione è stato un bug nel software open source Boulder, utilizzato da Let’s Encrypt per la verifica dei CCA Records (Certification Authority Authorization). Ciò rendeva possibile, almeno teoricamente, farsi rilasciare certificati per domini terzi. L’unica soluzione possibile per le persone coinvolte è stata quella di far generare un nuovo certificato entro 24 ore al fine di ripristinare la crittografia del proprio progetto.
In generale i certificati SSL/TLS gratuiti e a pagamento si differenziano principalmente su questi aspetti:
- Validità: la differenza più gravosa tra i free e i paid SSL/TLS consiste nella durata di validità dei certificati. Infatti, mentre la maggior parte dei certificati a pagamento sono validi dai 12 ai 24 mesi, i certificati gratuiti scadono già dopo 90 giorni. Perciò se utilizzate un SSL/TLS gratuito dovrete sostituire il certificato molto più frequentemente.
- Gestione: se optate per un servizio a pagamento, saranno messi anche a vostra disposizione, oltre al certificato, gli strumenti adatti per gestirlo. Se invece utilizzate un certificato SSL/TLS gratuito non avete questo servizio, che andrebbe pagato a parte, perciò dovrete preoccuparvi autonomamente dell’amministrazione.
- Estensione legata al dominio: un certificato SSL/TLS gratuito è valido esclusivamente per un solo dominio, al quale rimane legato. Se si decide per un Paid SSL/TLS, invece, si può beneficiare di certificati per più domini, che si possono utilizzare senza difficoltà per più progetti web.
- Presentazione nel campo dell’indirizzo: se proteggete il vostro progetto web con un certificato a pagamento, potrete mostrare nella barra degli indirizzi del browser il nome della vostra azienda, mentre con i Free SSL/TLS il sito web viene ovviamente riconosciuto come progetto HTTPS, ma non è possibile personalizzarlo.
Certificati SSL di IONOS
Proteggi il tuo dominio e ottieni la fiducia dei clienti con un sito crittografato tramite SSL!
Implementare HTTPS per il sito: uno sguardo ai passaggi fondamentali
I siti nati da poco possono beneficiare sin dall’inizio di una crittografia SSL/TLS. Ma anche per i siti web già esistenti il passaggio a SSL/TLS non è così complicato. Il primo passo in entrambi i casi è lo stesso: ottenere un certificato SSL per il relativo dominio.
Acquisire certificati SSL
Il certificato SSL è una sorta di carta di identità di un sito web. La Certificate Authority (CA), letteralmente Autorità Certificativa, cioè l’ente ufficiale dove si acquisisce il certificato, ha verificato l’identità precedentemente ed è responsabile della correttezza dei dati. I certificati SSL vengono depositati sul server e ogni volta richiamati, quando l’utente visita un sito web migrato sul protocollo HTTPS. Ci sono diversi tipi di certificati, che si differenziano per il tipo di identificazione:
- Certificato SSL Domain Validation (DV) – gratuiti e a pagamento:
Questi sono i certificati con il livello di autentificazione più basso. Qui la CA verifica solamente se il richiedente sia in possesso del dominio corrispondente per il quale vorrebbe acquisire un certificato. Le informazioni dell’azienda non vengono controllate nella verifica, perciò con la convalida del dominio rimane un rischio residuo. Grazie a un minor impegno per l’autenticazione, il certificato viene, in generale, rilasciato in fretta dalla CA ed è inoltre il più conveniente tra i tre tipi di certificato SSL, spesso totalmente gratuito, come nel caso di Let’s Encrypt.
I certificati DV sono adatti per i siti web, nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.
- Certificato SSL Organization Validated (OV) – a pagamento
Questo tipo di verifica è più completa e per questo più sicura di una convalida di dominio. Oltre al proprietario del dominio la CA verifica anche informazioni rilevanti sull’azienda, come ad esempio la registrazione nel registro delle imprese. Le informazioni verificate dalla CA sono visibili dal visitatore del sito web, cosa che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, il certificato SSL Organization Validated è più caro di quello Domain Validated, ma offre un grado di sicurezza più alto.
Questo certificato è adatto per i siti web dove non si fanno transazioni con dati sensibili.
- Certificato SSL Extended Validation (EV) – a pagamento
Questo è il certificato con il livello di autenticazione maggiore e più completo. Rispetto al certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente tramite criteri di assegnazione rigorosi. Inoltre questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata dell’azienda garantisce il livello di sicurezza più alto e con questo rafforza la fiducia e la credibilità nel sito web. Allo stesso tempo il certificato Extended Validation comporta il costo più alto.
Questo certificato è adatto ai siti web che, ad esempio, trattano con informazioni di carte di credito o altri dati sensibili.
Con la seguente grafica si può meglio comprendere quali certificati sono validi per determinati siti web:
Cliccate qui, per scaricare l‘infografica dei diversi certificate SSL.
Installazione e configurazione
Il passo successivo consiste nell’installazione del certificato SSL sul server. Molti provider di hosting se ne occupano per i propri clienti. Tramite l’area clienti nella maggior parte dei casi si può richiedere direttamente il certificato relativo, il provider poi lo registra.
I clienti di IONOS possono aggiungere facilmente il certificato SSL/TLS al pacchetto di web hosting esistente tramite l’Area clienti: in molti pacchetti questo certificato è anche incluso. L’installazione varia a seconda del fornitore. Di regola i provider o i servizi che forniscono i certificati mettono a disposizione istruzioni e indicazioni sull’installazione. Per un’implementazione tecnicamente ineccepibile sono importanti i seguenti punti:
- Certificati corretti
- Cifratura corretta
- Configurazione corretta del server
Errori e problemi durante la migrazione
Durante la migrazione si possono verificare alcuni errori, che si dovrebbero evitare, per non dover lottare con penalizzazioni nel ranking o irraggiungibilità delle proprie pagine.
I gestori che vogliono implementare il protocollo SSL/TLS per il loro sito dovrebbero:
- Evitare i certificati scaduti: un certificato SSL non valido o scaduto, porta a un messaggio di avviso fastidioso nella finestra del browser e in questo modo lo scopo (trasmettere all’utente fiducia e sicurezza) viene completamente perso.
- Impostare un reindirizzamento corretto: per evitare il cosiddetto duplicate content (contenuto duplicato), il webmaster deve configurare un reindirizzamento attraverso il Redirect 301. Così si evita che i motori di ricerca valutino la pagina HTTP e quella HTTPS come due diversi siti web e si aspettino diversi contenuti da questi.
- Modificare gli account pubblicitari (Google AdWords, Bing Ads e simili): se si inseriscono in un sito web HTTPS contenuti non cifrati (foto, script, ecc.), all’apertura della pagina viene mostrato un messaggio di avviso fastidioso e l’utente è disorientato. Soprattutto negli annunci pubblicitari ci sono dei problemi, perché la pubblicità viene consegnata ancora in massima parte non cifrata, pertanto gli account pubblicitari corrispondenti devono essere assolutamente modificati.
- Configurare Google Search Console e Google Analytics: in teoria la variante HTTP e quella HTTPS sono due siti web diversi. La variante HTTPS deve essere registrata dopo la migrazione anche in Google Search Console.
- Aggiornare la sitemap XML: anche la sitemap (mappa del sito) deve essere aggiornata e caricata su Google Search Console.
- Verificare i collegamenti (link) interni ed esterni: anche se il redirect 301 evita i link morti o errati, dopo il passaggio al protocollo HTTPS dovrebbero essere modificati tutti i collegamenti interni. A seconda di come i contenuti sono stati curati nel CMS, può anche essere richiesto un inserimento manuale. Nei link esterni si dovrebbe cercare di modificare i link più importanti (ad esempio delle Page Authority) in indirizzi HTTPS.
Registrazione dominio
Più di un semplice nome.
Registra il tuo dominio con IONOS e approfitta di tutte le nostre funzionalità.
Download di una checklist breve o estesa contenente gli elementi più importanti da tenere in considerazione quando si converte un sito web ad https.
Indice dell’elenco di controllo SSL (breve)
Indice dell’elenco di controllo SSL (estesa)
Come verificare che una pagina abbia un certificato valido?
Se si apre un sito web, che è crittografato con un certificato SSL valido, questo è riconoscibile già dall’URL:
https://www.esempio.it
La “s” nel protocollo HTTP dell’URL sta per “secure” e mostra che questa pagina è crittografata con un certificato SSL/TLS. A seconda del tipo di certificato e di browser ci sono diversi avvisi per la sicurezza della cifratura:
Con il controllo SSL gratuito di IONOS potete verificare con un solo clic se il vostro certificato attuale è installato correttamente e protegge il vostro sito da attacchi esterni.
Attraverso la verifica SSL gratuita di IONOS potete verificare in un solo clic, se il vostro certificato SSL è installato correttamente e se il vostro sito web è protetto dagli attacchi.
Aumentare la fiducia grazie a siti web aziendali sicuri
Oltre ai già citati vantaggi della crittografia SSL/TLS, un altro argomento a favore di un sito web sicuro è la maggiore fiducia degli utenti nel sito e quindi nell'azienda stessa.
Jeff Barto, Trust Strategist di Symantec, spiega l'importanza della fiducia nel web e le crescenti aspettative degli utenti per la sicurezza del web:
In questo contesto, Barto dà alle imprese tre consigli pratici per soddisfare le crescenti aspettative degli utenti sul tema sicurezza web.
- Integrare nel sito il Trust Seal
Il sigillo di fiducia è diventato un comune indicatore della credibilità di un sito web. I diversi sigilli garantiscono ad esempio la sicurezza dei dati, transazioni sicure o confermano che sul sito non ci sono malware.
- Integrare un certificato con un livello di sicurezza alto
I certificati con un alto livello di sicurezza danno già nella barra del browser segnali evidenti che la crittografia è sicura, aumentando così la fiducia dell’utente.
- “Always on SSL”
Il certificato SSL/TLS dovrebbe essere integrato su tutte le sottopagine di un dominio, non soltanto sulla pagina di login o sul carrello degli acquisti. In questo modo, l’utente è protetto in modo ottimale per tutta la durata della visita.
HTTPS in ottica SEO
Da un po’ di anni si discute se il passaggio dei siti web a HTTPS abbia un influsso positivo nel posizionamento sui motori di ricerca. Nel 2014 Google ha reso noto che la connessione sicura tramite HTTPS viene valutata come segnale positivo nel ranking. Google, secondo alcune dichiarazioni, vuole rendere più sicuro il web e anche portare i gestori dei siti web a crittografare le loro pagine senza eccezioni. Quindi HTTPS dovrebbe diventare la connessione standard per tutti i siti web.
Ma, indipendentemente dai piani dei grandi motori di ricerca, le pagine HTTPS suggeriscono già qualità e serietà. Gli utenti diventano sempre più attenti al tema della sicurezza dei dati e anche i principianti possono facilmente riconoscere se una pagina viene contrassegnata come sicura o meno.
Certificati SSL di IONOS
Proteggi il tuo dominio e ottieni la fiducia dei clienti con un sito crittografato tramite SSL!
Articoli simili
iunewindShutterstock ERR_SSL_PROTOCOL_ERROR: come correggere questo errore di Google Chrome
Chrome è il browser più utilizzato al mondo, distinguendosi non soltanto per sicurezza e velocità, ma anche per feature come la sincronizzazione dei dati dell’utente sui diversi dispositivi. Nonostante ciò durante la navigazione possono comunque emergere errori. Per esempio può accadere che si verifichi il cosiddetto errore di connessione SSL quando Chrome non riesce a stabilire una connessione…
HPKP: che cos'è il public key pinning per HTTP
I certificati SSL/TLS giocano un ruolo sempre più importante nella trasmissione di dati sensibili, poiché garantiscono che i pacchetti inviati raggiungano i propri destinatari senza essere intercettati o manomessi. Si possono verificare degli inconvenienti soltanto quando gli utenti vengono reindirizzati da certificati non validi emessi da autorità certificative dubbie: ma è proprio in queste…
wk1003mikeShutterstock Sostituire un certificato SSL (Secure Socket Layer) soggetto a diffida da parte dei browser
A seguito della diffida da parte della community dei browser nei confronti di Symantec, Google Chrome e Mozilla Firefox hanno deciso di escludere i siti web in possesso di un certificato SSL rilasciato da Symantec prima del 1° dicembre 2017. Il presente articolo descrive i passaggi e i dati chiave che i gestori di siti web devono tenere in considerazione per rinnovare o sostituire con successo i…
Certificato SSL: spiegazione e funzionamento
La sicurezza su Internet ha sempre maggiore importanza: indipendentemente che si possieda un sito o che si navighi soltanto, è importante comprendere i principi fondamentali della sicurezza su Internet. Per questo motivo vi spieghiamo cosa sono i certificati SSL, a che cosa servono e quali diversi tipi di certificato esistono.
Che cos’è un browser?
I browser sono considerati la porta al World Wide Web. Ma che cos’è un browser e come funziona? La maggior parte di questi software gratuiti aggrega e interpreta i codici, le immagini e le altre risorse, così che possiamo visualizzare i siti web e acquistare nei negozi online. Oltre agli elementi standard, di cui ogni browser è provvisto, funzioni e plug-in aggiuntivi ci supportano nella…
