Sicurezza su Internet: siti web sicuri con SSL e HTTPS

Lo spionaggio e l’abuso di dati sono un serio problema sia per le autorità internazionali sia per i consumatori privati finali. Il tema della sicurezza in rete diventa pertanto sempre più centrale per le imprese. I privati non sono gli unici a sbrigare sempre più faccende online, ma anche in ambito aziendale vengono digitalizzati i settori in crescita. Affinché i dati interni all’azienda, quelli dei clienti e altre informazioni sensibili possano essere tramessi in sicurezza e gestiti in modo sicuro, SSL/TLS e HTTPS rientrano tra gli standard di sicurezza attuali. Ma cosa significano esattamente queste sigle e come si possono configurare i protocolli di sicurezza di un sito web?

L’abbreviazione HTTPS (Hypertext Transport Protocol Secure) indica il protocollo corrispondente al trasferimento dati in maniera sicura. Con il protocollo http si indica la variante non sicura. Nei siti web con HTTP tutti i dati possono essere teoricamente letti o modificati dai cybercriminali; e l’utente non può essere sicuro, se i dati della carta di credito vengano trasmessi davvero direttamente al negozio o a un hacker. L’HTTPS, invece, cripta i dati HTTP e assicura l’autenticità delle richieste tramite il certificato SSL o TLS. Oggi gli esperti consigliano esclusivamente l’uso di TLS; quando si parla di SSL, la maggior parte di loro intende in realtà il TLS.

Vantaggi nell’uso di SSL/TLS e HTTPS:

• Protezione dei dati e sicurezza per clienti e partner

• Viene diminuito il rischio di furto e di abuso di dati

• È un fattore che incide positivamente sul ranking di Google

• Permette l’uso di HTTP/2 per migliorare la performance del sito web
   
• Il certificato è facilmente riconoscibile per l’utente e risulta affidabile

Cliccate qui, per scaricare l‘infografica dei diversi certificate SSL.

Il passo successivo consiste nell’installazione del certificato SSL sul server. Molti provider di hosting se ne occupano per i propri clienti. Tramite l’area clienti nella maggior parte dei casi si può richiedere direttamente il certificato relativo, il provider poi lo registra.

I clienti di IONOS possono aggiungere facilmente il certificato SSL/TLS al pacchetto di web hosting esistente tramite l’Area clienti: in molti pacchetti questo certificato è anche incluso. L’installazione varia a seconda del fornitore. Di regola i provider o i servizi che forniscono i certificati mettono a disposizione istruzioni e indicazioni sull’installazione. Per un’implementazione tecnicamente ineccepibile sono importanti i seguenti punti:

• Certificati corretti
• Cifratura corretta
• Configurazione corretta del server

Durante la migrazione si possono verificare alcuni errori, che si dovrebbero evitare, per non dover lottare con penalizzazioni nel ranking o irraggiungibilità delle proprie pagine.

I gestori che vogliono implementare il protocollo SSL/TLS per il loro sito dovrebbero:

• Evitare i certificati scaduti: un certificato SSL non valido o scaduto, porta a un messaggio di avviso fastidioso nella finestra del browser e in questo modo lo scopo (trasmettere all’utente fiducia e sicurezza) viene completamente perso.

• Impostare un reindirizzamento corretto: per evitare il cosiddetto duplicate content (contenuto duplicato), il webmaster deve configurare un reindirizzamento attraverso il Redirect 301. Così si evita che i motori di ricerca valutino la pagina HTTP e quella HTTPS come due diversi siti web e si aspettino diversi contenuti da questi.
   
• Modificare gli account pubblicitari (Google AdWords, Bing Ads e simili): se si inseriscono in un sito web HTTPS contenuti non cifrati (foto, script, ecc.), all’apertura della pagina viene mostrato un messaggio di avviso fastidioso e l’utente è disorientato. Soprattutto negli annunci pubblicitari ci sono dei problemi, perché la pubblicità viene consegnata ancora in massima parte non cifrata, pertanto gli account pubblicitari corrispondenti devono essere assolutamente modificati.
   
• Configurare Google Search Console e Google Analytics: in teoria la variante HTTP e quella HTTPS sono due siti web diversi. La variante HTTPS deve essere registrata dopo la migrazione anche in Google Search Console.
   
• Aggiornare la sitemap XML: anche la sitemap (mappa del sito) deve essere aggiornata e caricata su Google Search Console.
   
• Verificare i collegamenti (link) interni ed esterni: anche se il redirect 301 evita i link morti o errati, dopo il passaggio al protocollo HTTPS dovrebbero essere modificati tutti i collegamenti interni. A seconda di come i contenuti sono stati curati nel CMS, può anche essere richiesto un inserimento manuale. Nei link esterni si dovrebbe cercare di modificare i link più importanti (ad esempio delle Page Authority) in indirizzi HTTPS.

Attraverso la verifica SSL gratuita di IONOS potete verificare in un solo clic, se il vostro certificato SSL è installato correttamente e se il vostro sito web è protetto dagli attacchi.

Oltre ai già citati vantaggi della crittografia SSL/TLS, un altro argomento a favore di un sito web sicuro è la maggiore fiducia degli utenti nel sito e quindi nell'azienda stessa.

Jeff Barto, Trust Strategist di Symantec, spiega l'importanza della fiducia nel web e le crescenti aspettative degli utenti per la sicurezza del web:

In questo contesto, Barto dà alle imprese tre consigli pratici per soddisfare le crescenti aspettative degli utenti sul tema sicurezza web.

• Integrare nel sito il Trust Seal
  Il sigillo di fiducia è diventato un comune indicatore della credibilità di un sito web. I diversi sigilli garantiscono ad esempio la sicurezza dei dati, transazioni sicure o confermano che sul sito non ci sono malware.
   
• Integrare un certificato con un livello di sicurezza alto
  I certificati con un alto livello di sicurezza danno già nella barra del browser segnali evidenti che la crittografia è sicura, aumentando così la fiducia dell’utente.
   
• “Always on SSL”
  Il certificato SSL/TLS dovrebbe essere integrato su tutte le sottopagine di un dominio, non soltanto sulla pagina di login o sul carrello degli acquisti. In questo modo, l’utente è protetto in modo ottimale per tutta la durata della visita.

Da un po’ di anni si discute se il passaggio dei siti web a HTTPS abbia un influsso positivo nel posizionamento sui motori di ricerca. Nel 2014 Google ha reso noto che la connessione sicura tramite HTTPS viene valutata come segnale positivo nel ranking. Google, secondo alcune dichiarazioni, vuole rendere più sicuro il web e anche portare i gestori dei siti web a crittografare le loro pagine senza eccezioni. Quindi HTTPS dovrebbe diventare la connessione standard per tutti i siti web.

Ma, indipendentemente dai piani dei grandi motori di ricerca, le pagine HTTPS suggeriscono già qualità e serietà. Gli utenti diventano sempre più attenti al tema della sicurezza dei dati e anche i principianti possono facilmente riconoscere se una pagina viene contrassegnata come sicura o meno.