HTTPS e SSL perchè da gennaio 2017 potrebbero essere indispensabili in tutti i siti web

HTTPS e SSL perchè da gennaio 2017 sono indispensabili in tutti i siti web

HTTPS è la variante sicura e certificata dell’HTTP, il protocollo utilizzato per trasferire pagine ipertestuali nel web. Google ha iniziato da alcuni mesi a privilegiare i siti web con protocollo HTTPS, anche nei ranking di ricerca, e a penalizzare i siti web in HTTP, che trasmettono cioè “in chiaro” le informazioni inserite dagli utenti, e che potrebbe considerare inaffidabili da gennaio 2017.

 


HTTP e HTTPS: cosa sono?

L’HTTPS (HyperText Transfer Protocol over SSL) è una variante del protocollo HTTP che impiega, oltre al TCP/IP, il livello SSL (Secure Sockets Layer) che si occupa della crittografia e dell’autenticazione dei dati trasmessi. In soldoni, l’SSL cripta i dati in entrata e in uscita attraverso un algoritmo matematico rendendoli praticamente indecifrabili. Questo tipo di comunicazione garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione e impedisce a terze parti di leggere, inserire o modificare i messaggi scambiati tra i due “interlocutori”. Ecco perché, in tutti i casi in cui scambiamo dati sensibili, numeri di carte di credito o transazioni bancarie, consultiamo la nostra casella di posta o comunichiamo nostre informazioni riservate via web, è bene verificare che la connessione avvenga con protocollo HTTPS.


Cosa cambia da gennaio 2017?

In realtà, già da diversi mesi, Google sembra stia premiando i siti HTTPs, posizionandoli per primi nella graduatoria del suo motore di ricerca. Stava preparando il terreno al grande annuncio che è arrivato proprio lo scorso 8 settembre. Dal primo gennaio 2017 infatti, con il rilascio di Chrome 56, tutti i siti HTTP che scambiano dati personali (codici, password, dati bancari, …) verranno segnalati all’utente come insicuri. Non pensiate che, dato che il vostro non è un sito e-commerce, questa cosa non riguardi anche voi: basta che ci sia un login da qualche parte che permetta l’uso di password, ad esempio, per entrare in un’area riservata o commentare un post del vostro blog. E, in ogni caso, a stretto giro nei mesi successivi, tutti i siti web con protocollo HTTP potrebbero essere associati ad un avviso rosso di pericolo all’ingresso, che inviterà l’utente ad allontanarsi e a non proseguire la navigazione. Un bel cartello di divieto di accesso che di certo non gioverà al vostro business. La notizia ha un peso rilevante, dato che Google Chrome è il browser più usato (oltre il 53%) e quindi responsabile di oltre la metà delle pagine web viste al mondo (sia su desktop che tablet/mobile).


Come fare per ottenere il certificato HTTPS?

Ottenere un certificato SSL, installarlo e mantenerlo valido nel tempo è un processo che si compone di alcuni importanti passaggi tecnici e formali.

  1. Generazione di una Certificate Signing Request (CSR) – Prima di poter acquistare e installare un certificato SSL, è necessario generare sul server dove verrà ospitato una richiesta CSR. Questo file contiene le informazioni sul server e sulla chiave pubblica, necessaria per generare quella privata.
  2. Ordine del certificato SSL – Online esistono diversi servizi (Certification Authorities, CA) che offrono i certificati SSL, alcuni dei quali sono gratuiti. Assicuratevi di rivolgervi a un servizio affidabile: è in gioco la sicurezza dei vostri clienti e dei loro dati sensibili. Tra i servizi più popolari tra cui scegliere citiamo DigiCert, Symantec, GlobalSign. Il servizio più adatto al vostro sito web può variare a seconda delle specifiche esigenze (certificati multipli, soluzioni aziendali, durata del certificato, semplicità del processo di rinnovo, protezione economica per frodi, attendibilità legale verificata dell’organizzazione certificata) e quindi dovrà essere valutato con attenzione. Non tutti i certificati SSL verranno inoltre riconosciuti come “sicuri” dai vari browser, come nel caso di molti certificati gratuiti e di tutti quelli autofirmati.
  3. Installazione del certificato SSL – Lo step successivo è quello di scaricare il certificato emesso dalla CA, installarlo sul server e riconfigurare il servizio hosting/firewall per HTTPS.
  4. Verifica e adeguamento della configurazione del sito web – Una volta ottenuto il certificato, nel caso di conversione ad HTTPS di sito web esistente, occorre correggere tutte le problematiche applicative (link interni ed esterni errati, funzionalità embedded non disponibili in HTTPS, ecc.), intervenendo direttamente sulle pagine web o sulla struttura del sito web.
  5. Gestione del processo di rinnovo alla scadenza – I certificati hanno validità annuale o pluriennale e devono essere rinnovati prima della scadenza con un processo simile a quello della prima generazione. Alcuni certificati gratuiti (ad esempio quelli di Let’s Encrypt) hanno validità di 2 mesi e richiedono sistemi automatici di rinnovo da implementare sul proprio spazio web, operazione non sempre possibile.

A causa del tecnicismo delle operazioni, vi consiglio di rivolgervi al vostro fornitore di servizi web o al vostro consulente di fiducia. Se non doveste averne uno, Obliquo Design è in grado di seguirvi in ogni fase di questo processo. Contattaci per un preventivo.