Sicurezza in rete: aggiornare il sito con HTTPS

https e sicurezza sul web


Il nuovo aggiornamento di Google Chrome va nella direzione di migliorare la sicurezza in rete e tutelare la privacy degli utenti sul web. Già da gennaio 2017 i browser Chrome e Firefox invitano i webmaster a passare dal normale protocollo HTTP al più sicuro HTTPS, attivando il certificato SSL, per i siti che raccolgono dati sensibili come dati anagrafici, email, password, carte di credito, in modo da offrire agli utenti una navigazione priva di rischi.

Negli scorsi mesi abbiamo già notato dei cambiamenti, infatti Chrome e Firefox avvertono gli utenti quando stanno utilizzando una connessione protetta, mostrando all'inizio dell'url nella barra di ricerca un lucchetto verde con la scritta “sicuro”, mentre per i siti che non la utilizzano appare in rosso la scritta “non sicuro”, assieme all'avviso di pericolo che induce i visitatori a non inserire i propri dati nel sito.

Da ottobre l'invito ad utilizzare il protocollo HTTPS viene esteso a tutti i siti che contengono anche un solo campo compilabile, vale a dire tutte le pagine in cui gli utenti possono inserire informazioni personali. Quindi il passaggio all'HTTPS riguarda tutti i siti in cui c'è un modulo di contatto, un form per iscriversi alla newsletter, un'area clienti in cui fare il login, un modulo per l'invio di documenti o curriculum.

La sicurezza in rete è un tema sempre più importante per le aziende, in particolar modo per quelle che si basano su una piattaforma di e-commerce, perché gli utenti ovviamente preferiscono i siti che hanno già effettuato il passaggio all'HTTPS e sono sicuri.

In generale i siti possono solo trarre vantaggi dal nuovo aggiornamento che dichiara la protezione dei dati personali inseriti dagli utenti. Vediamo quindi in cosa consiste l'aggiornamento di Google Chrome e come effettuare il passaggio al protocollo HTTPS.


http vs https

Immagine di Netregistry


Fino ad ora il messaggio della connessione “sicura” o “non sicura” appariva dopo il caricamento della pagina; da ottobre 2017 l'indicazione viene mostrata invece già durante l'inserimento dell'indirizzo nella barra di ricerca del browser.

Gli utenti che provano ad accedere ad un sito "non sicuro", si troveranno davanti la seguente schermata: 

messaggio connessione non sicura Chrome
Messaggio di "connessione non sicura" per gli utenti di Chrome - Screen via answers.microsoft.com


Oppure questa:
messaggio connessione non affidabile - Forefox
Messaggio per la "connessione non affidabile", per gli utenti di Mozilla - Screen via forum.mozillaitalia.org

Naturalmente non verrà impedito di entrare nel sito, ma per continuare la navigazione occorrerà cliccare su "Opzioni avanzate" e poi "procedi sul sito non sicuro" per visitare la pagina cercata. 
Il sito sarà accessibile comunque ai visitatori, ma sempre dopo l'avvertimento della non totale sicurezza. 
Il messaggio dovrebbe apparire solo la prima volta che ci si connette, in seguito il browser ricorderà le preferenze e non lo mostrerà più.

Il protocollo HTTPS: Cos'è

L'HTTPS (Hypertext Transport Protocol Secure) è un protocollo web più sicuro del normale HTTP, perché utilizza una tecnologia crittografata che impedisce a utenti di terze parti di accedere ai dati che i visitatori immettono nel sito. Il protocollo HTTPS protegge le informazioni nel passaggio dal computer dell'utente al sito web, cripta tutti i dati personali e impedisce in questo modo di decifrarli a persone terze, i cosiddetti Man in the Middle, che si intromettono nella connessione per raccogliere i dati di altri utenti.

Il protocollo HTTPS si può utilizzare installando un certificato SSL sul dominio del sito web.

I vantaggi di utilizzare HTTPS

Passare all'HTTPS porta numerosi vantaggi, che riguardano soprattutto le attività con un e-commerce online ma più in generale tutti i siti che raccolgono dati dagli utenti.

  • Autentificazione: L'utilizzo di HTTPS garantisce all'utente la proprietà del sito che sta visitando, perché indica il nome della società nella barra di ricerca, in verde, prima dell'url, accanto al simbolo del lucchetto che contrassegna la connessione sicura. Questo mette al riparo i visitatori dai falsi siti realizzati come copie esatte dell'originale solo a scopo di phishing, il cui indirizzo apparirà infatti con un simbolo diverso.

  • Protezione della privacy e integrità dei dati: tutte le informazioni personali inserite dall'utente nel sito web vengono criptate e non possono essere intercettate da persone estranee. I dati restano integri e non possono subire alterazioni durante il trasferimento pc/server.

  • Fiducia: i visitatori vedono il lucchetto verde nella barra dell'indirizzo e sono consapevoli di navigare su un sito sicuro, questo li porta ad avere maggiore fiducia nel sito e di conseguenza nell'azienda che rappresenta. Come risultato si ottiene un miglioramento della reputazione online del brand, che porta ad aumentare le visite al portale e di conseguenza i contatti e le vendite. 

  • Visibilità e posizionamento: L'utilizzo dell'HTTPS aumenta la visibilità del sito per i motori di ricerca, perché viene indicizzato con priorità maggiore dei siti che utilizzano il normale HTTP. Questo è molto utile per il SEO, tuttavia Google avverte di non aspettarsi risultati evidenti: i siti con HTTPS miglioreranno la visibilità ma senza avere una sostanziale impennata del traffico, mentre saranno i siti che utilizzano il normale HTTP ad essere svantaggiati, dato che mostreranno il messaggio “la connessione non è privata”. L'indicazione spingerà gli utenti ad uscire al più presto, senza inserire dati, con la conseguenza che diminuiranno le iscrizioni alla newsletter, gli acquisti, le conversioni in generale.

http e https: differenze
Immagine via Picquery

Come fare il passaggio all'HTTPS

Per passare dalla connessione HTTP a quella con HTTPS il procedimento non è complicato, per un tecnico si tratta di un lavoro facile e di routine. E' consigliabile rivolgersi sempre ad un esperto per svolgere correttamente tutte le operazioni, che vanno affrontate con metodo per evitare di trovarsi il sito pieno di errori. 

Per prima cosa è necessario richiedere un certificato SSL ed installarlo sul server web. Il passaggio successivo consiste nell'identificare tutte le pagine del sito che si vogliono proteggere con la tecnologia SSL e modificarne i link. Infine effettuare dei test per controllare che i reindirizzamenti siano corretti, e il sito è pronto per la navigazione in totale sicurezza.

Di seguito spieghiamo nel dettaglio le operazioni che svolgerà il tecnico per aggiornare il sito con HTTPS:


1. Installare un certificato SSL sul dominio 


La prima cosa da fare per adeguare il sito all'HTTPS è installare un certificato SSL sul proprio hosting; questo è un certificato digitale che consente di attestare l'identità del sito web e cripta tutti i dati inseriti dagli utenti, in modo da impedire a persone estranee di intercettare la connessione e leggere le informazioni personali.

Il certificato SSL (“Secure Socket Layers”) è una tecnica utilizzata per criptare le informazioni che vengono trasmesse da un computer ad un sito web. Le informazioni in questione sono i dati sensibili, quali: i dati di registrazione (nome, telefono, email), i dati di login (nome utente e password), i dati di pagamento (carta di credito, iban), foto e documenti caricati dagli utenti sul sito.

È particolarmente importante per i siti di e-commerce, perché l'indicazione “sito sicuro” incentiva le persone a fidarsi e a continuare con gli acquisti.

Il protocollo SSL assicura in sostanza che i dati personali non possano essere letti o manipolati da persone terze, ma restino tra l'utente e il sito.


connessione sicura https


I certificati SSL vengono emessi dalle Autorità di Certificazione (CA), come ad esempio: 

Oppure da rivenditori autorizzati, come:

Sono disponibili anche certificati gratuiti da installare autonomamente sul sito, ma sono utilizzabili solo per alcuni hoster. Per evitare problemi e complicazioni comunque, è consigliabile rivolgersi sempre al provider che ospita il sito per acquistare il certificato e farlo installare con professionalità.

Linkomm offre a tutti i suoi clienti il servizio di acquisto e installazione del certificato SSL, scegliendolo in base alle esigenze specifiche e alla tipologia di sito web.
Per informazioni potete contattarci allo 011 19719090.


login



2. 
Migrare i contenuti del sito da http ad HTTPS


Acquistato il certificato, il passaggio successivo sarà quello di reindirizzare tutte le pagine del sito con HTTP alle nuove pagine HTTPS. Lo si fa con un Redirect 301, che indica ai motori di ricerca che il reindirizzamento è permamente e non temporaneo, evitando problemi con l'indicizzazione di Google e conseguente calo nei posizionamenti. Alcuni hosting offrono il reindirizzamento automatico su HTTPS; per gli altri occorre l'intervento di un webmaster che modifichi il file .htaccess presente nel root del sito.


3. Verificare che i reindirizzamenti funzionino correttamente


È importante controllare che tutte le pagine del sito si aprano con HTTPS, perché in alcuni casi può capitare che invece restituiscano un errore 404, oppure che immagini e video non vengano più visualizzati.
Se il sito ha poche pagine, la verifica può essere fatta a mano, altrimenti si possono utilizzare dei plugin che controllino tutte le url di pagine e files. 

Infine non bisogna dimenticare di modificare anche tutti i collegamenti esterni del sito: i link dai social network, dai portali di servizi e altre pagine esterne.


one direction - redirect



4. 
Verificare il sito su Google Analytics, Google Search Console e Bing Webmaster Tools


A questo punto si può verificare che il sito risulti collegato nella sua versione HTTPS su Google Analytics, Google Search Console e Bing Webmaster Tools.

Per non perdere tutti i dati già raccolti da Google Analytics, occorre continuare a tenere lo stesso codice di incorporamento e aggiornare la url in “impostazioni proprietà” e in “vista”, passandola da http ad HTTPS.

Si può altrimenti verificare una nuova proprietà per il sito con HTTPS, ma in questo caso verrà generato un nuovo codice di incorporamento e si perderanno tutte le statistiche della versione precedente. 


5. Aggiornare la sitemap


L'ultima cosa da fare per completare il passaggio è aggiornare i link nella sitemap ed inviarla a Google. Per i siti costruiti con un CMS, ad esempio Wordpress, esistono dei plugin che consentono di aggiornarla ed inviarla in automatico.

 sicurezza lucchetto

SSL: Quale certificato scegliere?

Esistono diversi tipi di certificazione SSL, occorre scegliere ed installare quello più adeguato al sito:

  • SSL Domain Validated (DV): 
    I certificati di questo tipo hanno il livello di autentificazione più basso e sono adatti ai siti che non corrono il rischio di phishing. Questo certificato autentifica che il sito web appartiene al dominio dichiarato, tuttavia non controlla le informazioni fornite dall'azienda.

  • SSL Organization Validated (OV):
    Questo certificato garantisce una verifica più approfondita e quindi più sicura del DV, inoltre controlla tutte le informazioni fornite dall'azienda e le rende visibili all'utente, che in questo modo può avere la conferma ad esempio dell'iscrizione alla camera di commercio, e di conseguenza aumenta la fiducia verso il sito. È un certificato più costoso del primo, ed è adatto ai siti web che non effettuano transazioni con dati sensibili.

  • SSL Extended Validation (EV):
    Questo è il certificato con il livello di autentificazione maggiore perchè verifica le informazioni aziendali in modo rigoroso, è adatto ai siti e-commerce in cui avvengono transazioni con numeri di carte di credito e dati sensibili. Il costo è superiore ai primi due certificati, ma il vantaggio è il livello di sicurezza più alto ed espresso chiaramente ai visitatori, che tendono ad accrescere la fiducia verso l'azienda.

Errori più comuni nel passaggio ad HTTPS

Alcuni errori possono avere un forte impatto sul SEO e quindi penalizzare la visibilità del sito web, vediamo quali sono e come evitarli:


Doppia versione in HTTP e HTTPS

Quando si passa ad HTTPS, tutte le pagine in http vanno sostituite con le nuove versioni. Un errore molto comune, e altrettanto grave, è quello di mantenere entrambe le versioni attive, creando seri problemi di competizione tra le pagine e un abbassamento nel posizionamento. 


Messaggio che informa dell'impossibilità di accedere al sito web HTTPS

Quando appare un messaggio che informa dell'impossibilità di accedere al sito web HTTPS, di solito significa che il certificato SSL è scaduto e va rinnovato da parte dell'amministratore del sito. Il certificato viene emesso dalle Autorità di Certificazione riconosciute a livello internazionale e deve essere rinnovato da chi gestisce il server web HTTPS.

Nel caso in cui il certificato non fosse scaduto ma apparisse comunque l'avviso di cui sopra, potrebbe esserci un problema all'orologio del computer: se non è aggiornato impedisce di navigare sui siti che con HTTPS e di scaricare le email dai server che utilizzano la cifratura dei dati. Se orologio e data rimangono sempre indietro, può essere necessario cambiare la batteria tampone del computer.


Messaggio di certificazione non attendibile

Alcuni siti utilizzano dei certificati digitali non emessi dalle autorità riconosciute, lo fanno per usi personali ma il browser notificherà comunque il messaggio di allerta. Questo perché i siti in cui avvengono attività di phishing di solito utilizzano dei certificati non validi, per sviare gli utenti.


Messaggio "Connessione sicura non riuscita / Errore SSL"

Tali messaggi vengono mostrati da Chrome e Firefox e non riguardano i certificati digitali ma il protocollo utilizzato per la crittografia dei dati.


Elena Cressotti

Approfondimenti

Proteggere il sito con il protocollo HTTPS
https://support.google.com/webmasters/answer/6073543?hl=it

Sicurezza su Internet: siti web sicuri con SSL e HTTPS
https://www.1and1.it/digitalguide/siti-web/creare-siti/come-si-migra-una-pagina-da-http-a-ssl-e-https/

Certificato di protezione del sito web: cosa fare quando c'è un problema
https://www.ilsoftware.it/articoli.asp?tag=Certificato-di-protezione-del-sito-web-cosa-fare-quando-c-e-un-problema_11740 

Come configurare il sito Joomla in HTTPS?
http://www.joomla.it/faq-joomla-3/443-configurazione/8582-come-configurare-il-sito-joomla-in-https.html

Cosa fare in caso di errore certificato di protezione SSL del sito
http://www.navigaweb.net/2014/12/certificato-di-protezione-dei-siti-web.html

La guida completa per la migrazione HTTPS del tuo CMS
https://blog.serverplan.com/2017/02/24/migrare-da-http-a-https/




 

Iscriviti alla newsletter