Certificati SSL di 1&1 IONOS

Proteggi il tuo dominio a partire da 30 €/anno IVA escl.!

Facile attivazione
Sicurezza
Supporto 24/7

Sicurezza su Internet: siti web sicuri con SSL e HTTPS

Lo spionaggio e l’abuso di dati sono un serio problema sia per le autorità internazionali che per i consumatori privati finali. Il tema della sicurezza in rete diventa pertanto sempre più centrale per le imprese. I privati non sono gli unici a sbrigare sempre più faccende online, ma anche in ambito aziendale vengono digitalizzati i settori in crescita. Affinché i dati interni all’azienda, quelli dei clienti e altre informazioni sensibili possano essere tramessi in sicurezza e gestiti in modo sicuro, SSL e HTTPS rientrano tra gli standard di sicurezza attuali. Ma cosa significano esattamente queste sigle e come si possono configurare i protocolli di sicurezza di un sito web?

Che cos’è SSL?

Il termine SSL (sigla per “Secure Socket Layers”) indica una tecnica che si usa per criptare e autentificare il traffico dati in rete, garantendola trasmissione sicura dei dati tra browser e server web su un sito. Soprattutto nell’e-commerce, dove vengono trasmessi dati protetti e sensibili, l’uso di un certificato SSL, o meglio della sua versione più recente TLS (“Transport Layer Security”), è imprescindibile.

Dati sensibili, protetti con il protocollo crittografico SSL, sono ad esempio:

  • Dati di registrazione: nome, indirizzo, indirizzo e-mail, numero di telefono;
  • Dati di login: indirizzo e-mail e password;
  • Informazioni di pagamento: numero della carta di credito, coordinate bancarie;
  • Moduli di registrazione
  • Documenti caricati dai clienti

Con il protocollo SSL ci si assicura che la comunicazione non possa essere né letta né manipolata e che i dati personali non finiscano nelle mani sbagliate.

Registra subito un dominio .it in offerta speciale!

1 € IVA escl. per il primo anno!

Semplice
Sicuro
Conveniente

Che cos’è HTTPS?

HTTPS (Hypertext Transport Protocol Secure) è il protocollo per il trasferimento sicuro di dati. HTTP indica la variante non sicura. Nei siti web con HTTP tutti i dati possono essere teoricamente letti o modificati da malintenzionati e l’utente non può essere sicuro del fatto che i dati della propria carta di credito vengano trasmessi davvero direttamente al negozio online che sta visitando oppure a un hacker. HTTPS, cioè SSL, cripta i dati HTTP e assicura l’autenticità delle richieste tramite il certificato SSL o attraverso il certificato TLS, di sviluppo più recente. Oramai gli esperti consigliano esclusivamente l’uso di TLS; quando si parla di SSL, infatti, la maggior parte di loro intende in realtà TLS.

Vantaggi nell’uso di SSL/TLS e HTTPS:

  • Protezione dei dati e sicurezza per clienti e partner
  • Diminuizione del rischio di furto e di abuso dei dati
  • Maggiori performance tramite l’uso di HTTP/2
  • Migliore riconoscibilità del certificato da parte dell’utente e maggiore fiducia nei confronti del sito.

Migrare il sito a SSL e HTTPS

Siti web appena lanciati possono disporre fin dall’inizio di un protocollo crittografato SSL, ma anche per le pagine già esistenti la migrazione a HTTPS non richiede grandi sforzi. Il primo passo è ottenere il certificato SSL per il rispettivo dominio.

Acquisire certificati SSL

Il certificato SSL è una sorta di carta di identità di un sito web. La Certificate Authority (CA), letteralmente Autorità Certificativa, cioè l’ente ufficiale dove si acquisisce il certificato, ha verificato l’identità precedentemente ed è responsabile della correttezza dei dati. I certificati SSL vengono depositati sul server e richiamati ogni volta che l’utente visita un sito web con HTTPS. Ci sono diversi tipi di certificati, che si differenziano per il tipo di identificazione:

  •  Certificato SSL Domain Validated (DV):

Questi sono i certificati con il livello di autentificazione più basso. Qui la CA verifica solamente che il richiedente sia in possesso del dominio per il quale vorrebbe acquisire un certificato. Le informazioni dell’azienda non vengono controllate durante la verifica, perciò con Domain Validated rimane un rischio residuo. Grazie ad un minor impegno per l’autentificazione, il certificato viene in generale rilasciato in fretta dalla CA ed è inoltre il più conveniente tra i tre tipi di certificato SSL.

I certificati DV sono adatti per i siti web nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.

  • Certificato SSL Organization Validated (OV)

Questo tipo di verifica è più completo e per questo più sicuro di un Domain Validated. Oltre al proprietario del dominio la CA verifica inoltre informazioni rilevanti sull’azienda, come ad esempio la registrazione alla camera di commercio. Le informazioni verificate dalla CA sono visibili dal visitatore, cosa che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, il certificato SSL Organization Validated è più caro di quello Domain Validated, ma offre un grado di sicurezza più alto.

Questo certificato è adatto per i siti web dove non si effettuano transazioni con dati sensibili.

  • Certificato SSL Extended Validation (EV)

Questo è il certificato con il livello di autentificazione maggiore e più completo. A differenza del certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente tramite criteri di assegnazione rigorosi. Inoltre questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata dell’azienda garantisce il livello di sicurezza più alto e con questo rafforza la fiducia e la credibilità nel sito web, ecco perché il certificato Extended Validation comporta costi maggiori.

Questo certificato è adatto ai siti web che, ad esempio, prevedono transazioni con numeri di carte di credito o altri dati sensibili.

 

Installazione e configurazione

Il passo successivo consiste nell’installazione del certificato SSL sul server. Molti fornitori di servizi di hosting se ne occupano. Tramite l’area clienti nella maggior parte dei casi si può richiedere direttamente il certificato relativo, che il provider provvederà poi a registrare.

Come clienti di 1&1 IONOS potete ampliare senza problemi tramite l’Area Clienti il pacchetto hosting esistente includendo un certificato SSL. In molti pacchetti questo certificato è già incluso. L’installazione varia a seconda del fornitore. Di regola i provider o i servizi che forniscono i certificati mettono a disposizione istruzioni e indicazioni sull’installazione. Per l’implementazione tecnicamente ineccepibile è importante considerare:  

  • Correttezza dei certificati
  • Correttezza della cifratura
  • Correttezza della configurazione del server

Errori e problemi durante la migrazione

Durante la migrazione si possono verificare alcuni errori che si dovrebbero evitare per non incappare in penalizzazioni nel ranking o nell’accessibilità delle pagine.

I gestori che vogliono migrare il loro sito a SSL e HTTPS dovrebbero:

  • Evitare i certificati scaduti: un certificato SSL non valido o scaduto porta ad un messaggio di avviso fastidioso nella finestra del browser, ripercuotendosi negativamente su quello che era l’obiettivo iniziale (trasmettere all’utente fiducia e sicurezza).
  • Impostare un reindirizzamento corretto: per evitare il cosiddetto duplicate content, il webmaster deve configurare un reindirizzamento attraverso il Redirect 301. Così si evita che i motori di ricerca valutino la pagina HTTP e quella HTTPS come due diversi siti web dal contenuto duplicato.  
  • Adattare gli account pubblicitari (Google AdWords, Bing Ads e simili): se si inseriscono in un sito web HTTPS contenuti non cifrati (foto, script ecc.), all’apertura della pagina viene mostrato un messaggio di avviso fastidioso per l’utente. Soprattutto negli annunci pubblicitari possono insorgere problemi, perché la pubblicità viene trasmessa ancora in gran parte senzacifratura, pertanto gli account pubblicitari corrispondenti devono essere assolutamente adattati.
  • Configurare Webmaster Tools e Google Analytics: in teoria la variante HTTP e quella HTTPS sono due siti web diversi. La variante HTTPS deve essere registrata dopo la migrazione anche nel Webmaster Tool.
  • Aggiornare la sitemap XML: anche la sitemap (mappa del sito) deve essere aggiornata e caricata nel Webmaster Tool.
  • Verificare i collegamenti (link) interni ed esterni: anche se il redirect 301 evita i link morti, dopo il passaggio al protocollo HTTPS dovrebbero essere modificati tutti i collegamenti interni. A seconda di come i contenuti sono stati curati nel CMS, può anche essere richiesto un inserimento manuale. Nei link esterni si dovrebbe cercare di modificare i link più importanti (ad esempio delle Page Authority) in indirizzi HTTPS.
Download gratuito della checklist

Download di una checklist breve o estesa contenente gli elementi più importanti da tenere in considerazione quando si converte un sito web ad https.

PDF-Download

Indice dell’elenco di controllo SSL (breve)

PDF-Download

Indice dell’elenco di controllo SSL (estesa)

Come verificare che una pagina abbia un certificato valido?

Se viene richiamato un sito web, che è crittografato con un certificato SSL valido, questo è riconoscibile già dall’URL:

https://www.esempio.it

La “s” nel protocollo HTTP dell’URL sta per “secure” e mostra che questa pagina è crittografata con un certificato SSL. A seconda del tipo di certificato ci sono diversi avvisi visuali a seconda della sicurezza della cifratura:

Attraverso la verifica SSL gratuita di 1&1 potete verificare in un solo clic, se il vostro certificato SSL è installato correttamente e se il vostro sito web è protetto dagli attacchi.

Check SSL

Aumentare la sicurezza sul web con siti web aziendali sicuri

Oltre ai vantaggi di una connessione SSL nominati sopra, un argomento cruciale per un sito web sicuro è aumentare la sicurezza degli utenti nel sito web di un’azienda e quindi nell’azienda stessa.

Quanto sia importante la sicurezza sul web e quale significato abbiano le aspettative crescenti degli utenti sul tema sicurezza nel web, lo chiarisce Jeff Barto, esperto web di Symantec:

Per tutelare la vostra privacy il video si caricherà dopo aver cliccato.

trascrizione

L’affidabilità non è mai stata così importante sul web in un contesto B2B o B2C come lo è ora. In ambito SSL e TLS c’è la convinzione che tutto giri intorno alla crittografia e spesso le persone dimenticano la seconda funzione del SSL, che non è la codifica, ma la convalida.

Ciò che effettivamente significa è: sono sul sito su cui credo di essere? È questa l’azienda con cui mi aspetto di fare una transazione e sono effettivamente sicuro qui? Questo è ciò che realmente c’è nelle menti del consumatore e quello che pensano tutti. Quando abbiamo finito di lavorare, quando mettiamo giù i nostri biglietti da visita o i nostri badge a fine giornata, siamo anche noi dei consumatori e ci fermiamo e pensiamo a tutti i siti diversi che si visitano quando devi controllare il tuo conto online, le tue e-mail o quando vai su un sito di un social media.

Ci sono precisi indicatori di affidabilità che cominci ad aspettarti. Non è una grande sorpresa dato il mondo in cui ci troviamo. Sembra come se ci fosse una breccia o [si stringesse] un compromesso ogni singolo giorno, quasi come se ogni organizzazione là fuori non pensasse “sarò la prossima”, ma piuttosto “quando sarò la prossima”?

Ci troviamo in una situazione triste, ma lo è anche per noi consumatori e persone che usano il web. Si è creata una situazione dove siamo diventati davvero stufi dei posti in cui andiamo, ma siamo anche assettati e affamati di attendibilità, privacy e sicurezza. Detto questo, ci sono alcuni consigli che ogni azienda può seguire per esprimere quell’affidabilità, [per indicare] che un cliente è davvero sul sito su cui pensa di essere. Si tratta davvero dell’azienda e ogni cosa lo legittima, trascende l’idea di crittografia che consiste nel rendere privata un’informazione.

In questo contesto, Barto dà alle imprese tre consigli pratici per soddisfare le crescenti aspettative degli utenti sul tema sicurezza web.

Per tutelare la vostra privacy il video si caricherà dopo aver cliccato.

trascrizione

Ci sono tre consigli che vorrei dare.

Il primo è che i consumatori sono abituati a vedere i sigilli di qualità. Sono piccoli indicatori visibili agli angoli dei siti, accanto al pulsante di acquisto o alla fine di un’esperienza, che dice come il sito sia stato certificato e che si tratta davvero di una certa azienda, che qui non ci sono virus o che gli standard relativi alla privacy sono aggiornati.

La seconda cosa che consigliamo è l’adozione di certificati Extended Validation SSL (EV Certificate).

Oltre ai sigilli (di qualità) e l’Extended Validation SSL Certificate c’è un terzo fattore, che è quello che noi chiamiamo Always On SSL. Corrisponde alla codifica dell’intero sito. Come ho detto all’inizio, c’è di più nella sicurezza e nell’attendibilità che la sola crittografia. C’è la convalida, che si combina bene con quegli altri due consigli che ho dato.

  • Integrare certificati di sicurezza (Trust Seal) in un sito web

I certificati di sicurezza (Trust Seal) sono indicatori in uso per l’affidabilità di un sito web. I diversi certificati garantiscono ad esempio la sicurezza dei dati, operazioni di pagamento sicure o assicurano che il sito web sia libero da malware.

  • Inserire certificati SSL con un alto livello di sicurezza

I certificati con un livello di sicurezza alto mostrano visivamente sulla barra del browser una connessione sicura e accrescono la fiducia dell’utente.

  • “Always on SSL”

Il certificato SSL dovrebbe essere integrato su tutte le sottopagine di un dominio, non solo sulla pagina di login ma anche nel carrello. Così viene offerta una protezione ottimale dall’inizio alla fine della visita.

HTTPS in ottica SEO

Da un po’ di anni si discute se il passaggio dei siti web ad HTTPS abbia un influsso positivo nel posizionamento sui motori di ricerca. Nel 2014 Google ha reso noto che la connessione sicura tramite HTTPS viene valutata come segnale positivo nel ranking. Google, secondo alcune dichiarazioni, vuole rendere più sicuro il web e anche portare i gestori dei siti web a crittografare le loro pagine senza eccezioni. Secondo comunicazioni ufficiali, i siti web senza crittografia verranno visualizzati in futuro sul browser Chrome con una “X” rossa. Fino ad ora le pagine HTTP vengono presentate nel campo del browser in modo standard con una pagina bianca, invece le pagine HTTPS vengono mostrate con un lucchetto verde. Quindi HTTPS dovrebbe diventare la connessione standard per tutti i siti web.

Ma, indipendentemente dai piani dei grandi motori di ricerca, le pagine HTTPS suggeriscono già qualità e serietà. Gli utenti diventano sempre più attenti al tema della sicurezza dei dati e anche i principianti possono facilmente riconoscere se una pagina è contrassegnata come sicura o meno.


Un momento! Prima di lasciarci scopri
la nostra offerta per il rientro dalle ferie:
dominio .it a 1 € per il primo anno!

Primo anno a 1 € IVA escl.,
poi 10 €/anno IVA escl.

Inserisci il dominio desiderato nella barra di ricerca per verificarne la disponibilità.