Da http a https: non puoi più rimandare!
Quanto ne sai e quanto ne dovresti sapere di sicurezza del tuo sito web? Abbiamo fatto 4 domande al nostro System Administrator Michele Fantini, per riuscire ad avere un quadro più chiaro della situazione.
1) C’è sempre più interesse in questi ultimi anni sui temi della sicurezza, puoi riassumerci brevemente cos’è successo e perché se ne parla?
“Facciamo un breve riassunto in tappe:
– Nel 2014, Google comunica che il protocollo HTTPS sarebbe diventato un fattore di posizionamento. Ancora oggi però, la connessione HTTP non è ritenuta penalizzante per il tuo sito nei risultati di ricerca. Ma è solo questione di tempo. Più del 68% dei maggiori siti web mondiali utilizza un protocollo HTTPS per garantire la propria sicurezza.
– Dalla fine del 2016 e con l’inizio del 2017 (quindi quasi 2 anni dopo) Google e Firefox hanno cominciato a mettere in atto una serie di misure per rendere il web un posto davvero più sicuro, chiedendo ai proprietari di siti in cui si effettuano transazioni economiche o con moduli protetti da password di dotarsi del protocollo HTTPS. Di più: la versione 56 di Chrome e la 52 di Firefox, uscite rispettivamente il 21 gennaio e il 7 marzo 2017, hanno iniziato a etichettare come “non sicuri” non solo i siti HTTP che raccolgono informazioni sensibili (password o dati relativi alle carte di credito), ma anche quelli che chiedono compilazioni di moduli o visitati dagli utenti in incognito.
Così, per intenderci:
– Per avere un sito web in https, bisogna richiedere un certificato SSL ad una delle CA (Certification Authority) disponibili sul mercato, come ad esempio Comodo o DigiCert (che al suo interno raggruppa aziende come Symantec, Thawte, Trustico). Se questi certificati vengono “violati”, le aziende in questione sono costrette a dichiararli compromessi e revocarli. Naturalmente, questo importante aspetto può generare delle guerre commerciali, come quella avvenuta tra Trustico e Digicert nei primi mesi di quest’anno. Così, senza preavviso, il 28 febbraio i gestori di 23.000 siti web si sono visti revocare i loro certificati.
Questo conferma come i temi riguardanti la sicurezza oggi non possano più essere ignorati da nessun brand”.
2) Ma a cosa serve il protocollo HTTPS? Spiegacelo con parole semplici, a tutti noi che siamo poco “nerd”!
“Il protocollo HTTPS evita a terze parti di riuscire a ottenere e modificare i dati (sensibili e non) che trasmetti interagendo con un sito web. Grazie a un sistema detto “a doppia chiave asimmetrica”, server e client riescono a dialogare tra di loro in maniera crittografata, rendendo lo scambio di informazioni sicuro. Questo evita il così detto “Hand in the Middle”: nessuno potrà intercettare il vostro scambio di comunicazioni, a parte che non sia a conoscenza della vostra chiave di sicurezza privata”.
3) Ci riassumi brevemente i vantaggi di attivare un certificato SSL?
“Possiamo riassumerlo in 3 concetti: sicurezza, professionalità e fiducia nel brand, posizionamento sui motori di ricerca.
1° Sicurezza: Come abbiamo detto, i dati scambiati sono criptati grazie al protocollo di navigazione HTTPS, questo significa che, mentre l’utente visita un sito web, nessuno può intercettare i dati personali inseriti come dati sul metodo di pagamento e di profilazione utente . Questo è un aspetto fondamentale per siti e-commerce, e per tutti i siti che trasferiscono dati personali;
2° Professionalità e fiducia: navigare su un sito protetto con certificato di sicurezza aumenta la professionalità percepita dall’utente web, aiutandolo a instaurare un rapporto di fiducia. L’utilizzo dei certificati SSL oltretutto garantisce un’immediata visibilità del certificato nella barra dell’indirizzo del browser e trasmette maggior fiducia all’utente;
3° Posizionamento sui motori di ricerca: anche se non è considerato ancora un fattore fondamentale, spesso, grazie agli strumenti di monitoraggio che utilizziamo, riscontriamo perdita di posizionamento sui motori di ricerca per siti web che non usano HTTPS”.
4) Ma basta il certificato SSL per rendere un sito davvero sicuro?
“No. Purtroppo la corsa in questi anni a dotarsi del protocollo di sicurezza HTTPS ha generato una crescita dei così detti siti di Phushing, copie del tutto simili ai siti “autorevoli” che ingannano l’utente proprio facendo leva sugli aspetti di veridicità. Ecco perché tra i diversi tipi di certificati SSL presenti sul mercato, noi consigliamo di dotarsi di OV SSL o EV SSL. Niente panico: sono certificati studiati appositamente per proteggere da attacchi di phishing su tutti i browser comunemente utilizzati. A cambiare sono i processi di validazione/emissione del certificato, che avvengono nel primo caso tramite verifica telefonica e nel secondo tramite la presentazione di documenti specifici, come l’iscrizione al registro delle imprese ad esempio. Riconoscerli è semplice: dotandosi di questo tipo di certificato, i visitatori del vostro sito web vedranno comparire nella barra verde di sicurezza il nome dell’azienda.
Per capirci, eccovi uno screen dall’url del nostro sito web:
Differente da questo:
Se avete l’esigenza di estendere il certificato su più domini/sottodomini, vi consiglio infine di acquisire il certificato SSL Wildcard”.
Vuoi richiedere l’https per la tua azienda?
Webit gestirà il passaggio da HTTP a HTTPS, fornendoti tutte le informazioni necessarie per compiere la miglior scelta in termini di sicurezza per il tuo sito, a seconda delle tue esigenze di business!