Ultimamente si sente spesso parlare di HTTPS, SSL e certificati di sicurezza… cerchiamo di fare un po’ di chiarezza per capire di cosa si tratta e perché sarebbe importante adeguare il tuo sito web a questo standard.
Tutte le pagine di un sito web e gli elementi che le compongono (es. le immagini) sono ospitate da un server, cioè un computer collocato in un qualche luogo e connesso a internet. Quando vogliamo visualizzare una di queste pagine il nostro browser, il programma con cui navighiamo i siti web su computer o smartphone, instaura un dialogo con il server per richiedere la pagina, riceverne i dati e tutti i suoi elementi e così via. HTTP (Hyphertext Transfer Protocol) è il protocollo che viene utilizzato per gestire questo dialogo, cioè se vogliamo continuare il nostro paragone la “lingua” comune che permette a browser e server di capirsi.
HTTP è un protocollo estremamente funzionale, tanto che viene utilizzato per gestire queste comunicazioni da quando esiste il web ma presenta una grossa limitazione: non garantisce sicurezza in quanto tutti i dati vengono trasmessi in chiaro e sono quindi potenzialmente intercettabili durante la comunicazione.
Per ovviare a questo limite è stata realizzata una evoluzione di questo protocollo denominata HTTPS (Hyphertext Transfer Protocol Secure) che fondamentalmente aggiunge ad HTTP tre livelli fondamentali di protezione:
- Crittografia: tutti i dati scambiati tra browser e server vengono criptati per proteggerli dalle intercettazioni evitando che qualcuno possa in qualche modo “ascoltare” le comunicazioni, tracciare le attività svolte su internet ed entrare in possesso delle informazioni inserite nelle pagine web.
- Integrità dei dati: i dati coinvolti nella comunicazione non possono essere modificati o alterati durante il trasferimento, anche in maniera non intenzionale, senza che questo evento venga rilevato. Questa funzionalità non solo mette al riparo da attacchi intenzionali ma anche da errori di comunicazione che potrebbero bloccare o alterare la visualizzazione delle pagine.
- Autenticazione: il browser ha sempre la certezza di stare dialogando con il sito web desiderato, proteggendo l’utente da attacchi ed intercettazioni.
Molto interessante, ma quali vantaggi concreti avrò per il mio sito?
Diversi, e tutti molto importanti. Innanzitutto, il rapporto di fiducia che si instaura con l’utente grazie al fatto che tutti i principali browser mostrano in maniera molto evidente quando si sta navigando un sito web con una connessione sicura, il famoso “lucchetto verde” accanto all’indirizzo del sito. Questo infonde fiducia negli utenti e li porta a navigare il tuo sito con più serenità e voglia di esplorare.
Un secondo vantaggio da non trascurare, soprattutto nei siti che raccolgono dati personali e sensibili (ad esempio il classico modulo di contatto) è la sicurezza della comunicazione che impedisce che questi dati vengano intercettati.
Terzo, la velocità: HTTPS è più veloce di HTTP, questo si traduce nel fatto che, in linea di massima, le pagine del tuo sito si caricheranno più velocemente.
Infine, ma non sicuramente per importanza, l’adeguamento alle recenti politiche di Google e Chrome. Google infatti crede tantissimo in HTTPS e sta spingendo perché tutti i siti web vengano migrati su questo protocollo, non soltanto a livello di dichiarazioni:
- La sicurezza del sito web è evidenziata nei risultati delle ricerche: negli indirizzi delle pagine risultato è infatti indicato il protocollo ( https:// ) per le pagine sicure mentre non viene mostrato nulla per le pagine tradizionali.
- Chrome (utilizzato nell’ottobre 2017 dal 76.1% degli utenti, il più usato al mondo) considera “non sicuri” tutti i siti che non utilizzano HTTPS ed avvisa l’utente della loro potenziale “pericolosità”, rischiando che l’utente si allontani dal sito. Recentemente anche Firefox (12.1% degli utenti, secondo browser dopo Chrome) ha iniziato a muoversi in questa direzione, mostrando un avviso di sicurezza quando si compilano campi “sensibili” (es. la richiesta di una password) in pagine non HTTPS.
- L’utilizzo del protocollo HTTPS, inoltre, sembra essere diventato un segnale di ranking per la SEO del tuo sito (sottolineo “sembra”, le scelte di Google non sono mai pubbliche al 100%) e l’algoritmo di indicizzazione di Google avrebbe quindi iniziato a preferire le pagine sicure rispetto a quelle tradizionali.
Quali interventi devo fare per rendere sicuro il mio sito?
Per attivare HTTPS sul tuo sito, il primo passo da compiere è procurarsi un certificato SSL (Secure Socket Layer), cioè un certificato digitale rilasciato da un’authority riconosciuta a livello mondiale che attesti la proprietà dell’indirizzo web e che possa essere utilizzato per crittografare i dati scambiati con il browser dell’utente. Questo certificato dovrà poi essere installato nel server che ospita il tuo sito. Successivamente dovrai configurare correttamente il server ed il tuo sito per lavorare con il protocollo HTTPS ed infine dovresti verificare che tutti i servizi esterni a cui il sito è collegato continuino a funzionare correttamente, eventualmente notificandogli la variazione di protocollo: ad esempio Google Search Console e Google Analytics richiedono dei piccoli interventi alla loro configurazione.
Il nostro consiglio è di affidarti ad una agenzia esperta che possa eseguire per te tutte le operazioni necessarie…
Se lo desideri Area38 è a tua disposizione!
