Da luglio 2018, i siti senza protocollo HTTPS verranno segnalati da Google come non sicuri.

 

 

Google è sempre più attento alla sicurezza degli utenti e, giustamente, vuole che lo siano anche i siti delle aziende, specialmente quelli che trattano informazioni personali quali password, dati anagrafici o numeri di carte di credito. A questi siti è richiesto il passaggio dal protocollo HTTP a quello HTTPS e l’acquisizione di un certificato SSL, a garanzia del livello di sicurezza: qualora mancassero questi elementi, i siti verranno classificati come “non sicuri”.

Vediamo quindi cos’è il protocollo HTTPS, cosa succede in caso non venga integrato e come adottarlo.

 

HTTPS vs HTTP

A differenza del classico protocollo HTTP, l’HTTPS (HyperText Transfer Protocol Secure) è dotato di un sistema di crittografia per lo scambio di dati. Questo significa che la comunicazione è basata su di una connessione criptata da TLS (Transport Layer Security) e che ricorre allo scambio di certificati: quando ci si connette a un sito, il server “dimostra” il proprio livello di sicurezza inviando i propri certificati, i quali sono firmati da autorità apposite e fungono da garanzia per l’identificazione del sito.

Questo sistema permette anche di evitare il furto di dati attraverso gli attacchi “Man in the middle”, un particolare tipo di minaccia in cui una terza parte si inserisce nello scambio di dati dei due endpoint.

 

Cosa succede senza l’HTTPS?

Innanzitutto, la gestione dei dati trattati dal sito è meno sicura e questo espone il sito a furti di informazioni e ripercussioni a livello economico e reputazionale. Inoltre, dopo l’ultimo aggiornamento gli ultimi aggiornamenti, i browser segnaleranno agli utenti il livello di sicurezza del sito. Come? Attraverso l’impiego di 3 simboli:

  • Lucchetto verde
    I dati inviati sono condivisi attraverso una connessione privata e, quindi, più sicura.

 

  • Pallino bianco
    Non viene utilizzata una connessione privata e i dati potrebbero essere visibili da terzi. In questo caso, è sconsigliabile inserire informazioni personali e numeri di carte.

 

  • Triangolo rosso
    La privacy della connessione è poco affidabile e il sito viene considerato per nulla sicuro. Le informazioni personali e i dati sensibili non vanno assolutamente inserite, visto che potrebbero essere intercettate durante l’invio.

 

Nei casi di maggiore vulnerabilità, il browser potrebbe mostrare, al posto del sito, un’intera schermata rossa per indicare che la pagina è ritenuta pericolosa, impedendo l’acceso diretto. Inutile dire che questo è un deterrente enorme per il traffico al sito.

 

Risultati immagini per la tua connessione non è privata
In mancanza del protocollo HTTPS, il browser potrebbe restituire questo messaggio.

 

 

Quando è necessario passare all’HTTPS e come farlo

Tutti i siti che prevedono l’inserimento di testo di qualsiasi tipo dovranno adeguarsi. Quindi, se sul sito sarà presente un pannello di login, un contact form, una barra di ricerca o qualunque altro campo che preveda un inserimento testuale, allora l’HTTPS sarà obbligatorio.

Come fare quindi ad integrarlo? Ottenendo un certificato SSL (Secure Sockets Layer), uno standard di sicurezza che garantisce la presenza di una connessione criptata fra il server e il browser. Questo “documento”, che come abbiamo visto in precedenza è il requisito indispensabile per dimostrare la sicurezza della comunicazione, contiene le seguenti informazioni:

  • Nome del proprietario
  • Numero seriale e data di scadenza
  • Copia della chiave pubblica del proprietario
  • La firma digitale dell’autorità cha ha rilasciato il certificato

 

Grazie alla sua presenza, si attesta che i dati comunicati dal sito sono:

  • Autentici
    I dati ricevuti sono affidabili e non imitazioni malevole.
  • Integri
    Durante il trasferimento non c’è stata alcuna alterazione.
  • Protetti
    Se intercettati, i dati non possono essere letti da terzi.

 

 

Il vostro sito non è ancora a norma? Ci pensa SwitchUp!

Per aiutare le aziende a migrare correttamente all’HTTPS, SwitchUp offre un servizio di integrazione dei certificati SSL in conto terzi. In base alle esigenze, è possibile scegliere tra diverse soluzioni:

  • Domain Validation
    Certificati rapidi, disponibili in una decina di minuti. Essi possono essere:

    • Standard: Certificato per dominio, comprende indirizzi www. e non www.
    • Wildcard: Certificato per la sicurezza di sottodomini multipli.
    • Multi Domain: Certificato per domini multipli.

 

  • Organization Validation
    Una soluzione simile al Domain Validation. Richiede 3 giorni per la validazione, ma permette di fornire agli utenti tutte le informazioni aziendali che sono state certificate.

 

  • Extended Validation
    Pacchetto pensato per le grandi aziende. Certifica il massimo livello di sicurezza e affidabilità, aggiungendo l’URL in verde e il nome dell’organizzazione all’interno della scheda del browser.

 

Una volta scelto il certificato più consono per il proprio sito, viene scelto il gestore che fornirà il suddetto certificato. Si passa così all’acquisto e alla generazione.

Cosa succede a questo punto?

  1. Nel server dove è situato il sito si genera un codice CSR (Certificate Signing Request).
  2. Dal fornitore possiamo inserire ora i dati necessari, il codice CRS precedentemente generato e confermare.
  3. Ora possiamo scaricare (o arriverà per mail) il certificato.
  4. Torniamo sul server del sito, completiamo l’installazione e associamo il certificato al sito.

 

Terminata l’installazione del certificato, in caso non sia già stato fatto, devono essere eseguite piccole correzioni ai link (non devono esserci link con riferimento http://) e controllare la sicurezza dei vari form e sezioni. Per concludere, viene inserito un metodo di redirezione automatica per il sito con il protocollo HTTPS abilitato, in modo da renderlo effettivo agli occhi dei browser.

Contattateci per passare il prima possibile al nuovo protocollo, mettere al sicuro i dati dei vostri utenti e rispettare i criteri di Google.