Privacy online e sicurezza: l’HTTPS è indispensabile?
Google richiede la presenza dell’HTTPS per la sicurezza e la privacy online. Ma questa versione del protocollo è necessaria su tutti i portali?
La sicurezza dei dati e la privacy online sono già da qualche anno un criterio che Google usa per valutare i siti indicizzati e questa linea è stata confermata dall’ultimo aggiornamento di Chrome: i siti che trattano dati sensibili saranno etichettati con simboli diversi a seconda che abbiano implementato o meno il protocollo HTTPS e ottenuto il certificato di sicurezza.
Nello specifico, i simboli utilizzati per far conoscere agli utenti l’attendibilità del sito sono:
- Lucchetto verde
I dati inviati sono condivisi attraverso una connessione privata e, quindi, più sicura.
- Cerchio bianco con “i” centrale
Non viene utilizzata una connessione privata e i dati potrebbero essere visibili da terzi. In questo caso, è sconsigliabile inserire informazioni personali e numeri di carte.
- Triangolo rosso
La privacy della connessione è poco affidabile e il sito viene considerato per nulla sicuro. Le informazioni personali e i dati sensibili non vanno assolutamente inserite, visto che potrebbero essere intercettate durante l’invio.
Nei casi di maggiore vulnerabilità, Chrome (il browser di Google) potrebbe mostrare, al posto del sito, un’intera schermata rossa per indicare che la pagina è ritenuta pericolosa. Inutile dire che questa soluzione è un deterrente enorme per il traffico al sito.
Differenza tra HTTPS e HTTP
La presenza del protocollo HTTPS è quindi un elemento molto importante. Ma che differenza c’è tra questa variante e l’HTTP classico? Quello che rende la versione HTTPS più sicura è la presenza di un sistema di crittografia: la comunicazione avviene attraverso una connessione criptata da TLS (Transport Layer Security), dove l’autenticità del server è esaminata attraverso lo scambio di certificati. I certificati sono firmati da autorità di fiducia e permettono di identificare correttamente il sito.
Tutte queste misure consentono di prevenire le azioni di intercettazione più frequenti, come gli attacchi “Man in the middle”, durante i quali una terza parte si interpone fra i due endpoint.
Quindi l’HTTP va assolutamente sostituito?
Migrare un sito da HTTP ad HTTPS è sicuramente un’operazione gradita al motore di ricerca e agli utenti (la simbologia mostrata dal browser ha un impatto sulla possibilità che un utente acceda o meno al sito), ma non è un cambiamento che tutti i siti sono obbligati a fare: l’HTTPS, infatti, è una misura irrinunciabile per tutte le piattaforme che trattano dati sensibili o informazioni personali (password, dati anagrafici, numeri di carte di credito, ecc.), dal momento che hanno la necessità di garantire la sicurezza di tali dati.
I siti che invece non presentano moduli o che richiedono l’inserimento di dati hanno meno necessità di sicurezza e, nel loro caso, il passaggio all’HTTPS non è così fondamentale (anche se è sempre utile). Inoltre, va considerato il fatto che la migrazione non è un procedimento semplice: oltre all’acquisizione di un certificato SSL valido, è necessario aggiornare ogni URL, la site map e molti altri aspetti del sito web, così da evitare un effetto negativo sul posizionamento.
In conclusione, l’HTTPS è un’ottima risorsa per chi vuole garantire maggiore sicurezza al proprio sito, ma è indispensabile solo nel caso in cui esso tratti informazioni personali e sensibili ed è consigliabile effettuare la migrazione solo se si è sicuri di riuscire a svolgere l’operazione senza avere ripercussioni sul traffico o sull’indicizzazione.