Protocollo HTTPS: come rendere un sito sicuro con certificato SSL


Dall’inizio del 2017 Google Chrome e Mozilla Firefox hanno iniziato la loro campagna di richiesta di certificati SSL per i siti web che trattavano dati importanti come: numeri di carte di credito, dati personali degli utenti, ecc.. Successivamente hanno iniziato a segnalare come “non sicuri” tutti i siti web che non li utilizzavano.

Utilizzare un certificato SSL (Secure Sockets Layer) per il proprio sito vuol dire passare dal noto protocollo HTTP al protocollo sicuro HTTPS.

L’importanza dell’uso di un certificato SSL per il proprio sito web rappresenta in prima istanza una garanzia per gli utenti, facciamo l’esempio di un negozio online: se un sito è protetto da certificato SSL tutte le transazioni di dati (carta di credito, dati personali, ecc.) non potranno essere intercettati da chi tentasse di impossessarsene.

Per motivare i gestori di siti web all’uso del certificato SSL, Google ha ovviamente iniziato a dare risalto in termini di indicizzazione tutti quei siti che utilizzano il protocollo HTTPS. In questo modo si possono avere benefici sia sul SEO che su ranking delle proprie pagine.

Dietro a siti ritenuti non sicuri potrebbero  nascondersi Malware o siti di Phishing, quindi avere un sito sicuro mette in condizione il visitatore di poter navigare il vostro sito in tutta tranquillità. L’utente solitamente è abituato a scrivere un indirizzo web nella modalità “http://www.miosito.it“, se tale sito è protetto da un certificato SSL l’utente viene automaticamente reindirizzato all’indirizzo “https://www.miosito.it“.

Nel caso in cui invece il sito non stia usando un cerificato SSL, il browser in uso segnalerà un avviso a livello di sicurezza.

In casi peggiori addirittura ci potrebbe venire impedito di visualizzare il sito stesso a meno che non decidiamo di procedere comunque verso il sito non sicuro (Avanzate > Procedi su sito non sicuro). Bisogna fare molta attenzione a questa casistica perché è proprio dietro a queste schermate che si celano siti contenenti Malware o siti Phishing, tuttavia delle volte possono capitare dei “falsi positivi”, quindi fate massima attenzione!





Cosa si deve fare per poter rendere sicuro il proprio sito web? La risposta non è unica e molto dipende dal provider che ospita il vostro sito web, in generale possono essere riassunti in alcuni punti principali:

  1. Acquisire e attivare il certificato SSL presso il proprio provider
  2. Impostare l’URL di installazione del proprio sito web su protocollo HTTPS
  3. Nel caso in cui questo non bastasse bisognerà fare una ricerca approfondita all’interno delle pagine del sito per verificare la presenza di indirizzi che usano il protocollo HTTP:// anziché l’ HTTPS://.

Per quanto riguarda il primo punto, molti provider forniscono un certificato gratuitamente, basta solo attivare la funzionalità. Nel caso di hosting Aruba è tutto molto semplice perché basta semplicemente attivare il certificato nel proprio pannello di controllo. In alcuni casi potrebbe non essere compreso nel piano di servizio e potrebbe essere necessario acquistarne uno.

Per quanto invece riguarda l’aggiornamento degli URL di installazione del proprio sito, ad esempio, nel caso di un blog WordPress basterà cambiare gli indirizzi da http a https nella pagina Generali della sezione Impostazioni. Per sapere come farlo per altri tipi di CMS (Joomla, Magento, ecc.) potete fare riferimento al seguente link.

 

A questo punto il vostro sito dovrebbe essere già ritenuto SICURO.

Se invece non lo fosse vuol dire che all’interno delle vostre pagine si annida un indirizzo ad una risorsa (immagine, video, css, javascript, ecc.) che utilizza un indirizzo HTTP anziché HTTPS. In questi casi il sito risulterebbe già sicuro, ma riceverete comunque un avviso dal browser simile al precedente che vi avvisa che la vostra connessione è sicura ma ci sono ancora potenziali minacce. Per scovare queste risorse potete aiutarvi con dei plugin tipo SSL Insecure Content Fixer oppure usare un servizio online tipo www.whynopadlock.com (consigliato) che vi aiuterà almeno a capire quali sono gli URL delle vostre pagine che generano l’errore. Nel nostro caso, quello per la “messa in sicurezza” del blog di Informatica 37, è bastato sostituire due indirizzi a due immagini che erano stati rilevati dal sopracitato servizio “why no padlock”.


  • 3
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    3
    Shares

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *