La sicurezza informatica negli ultimi anni ha avuto sempre più “nemici” contro cui combattere per il fatto che lo spionaggio e la truffa di informazioni o dati sensibili sono all’ordine del giorno. La sicurezza delle reti è sia per i privati che per le imprese un tema caldo che non può e non deve avere un ruolo secondario all’interno di un’organizzazione proprio per il fatto che ormai la digitalizzazione dei dati è ovunque.
Affinchè dunque, i dati di un’azienda o di un privato possano viaggiare in sicurezza all’interno della rete, bisogna adottare gli standard di sicurezza SSL/TLS e HTTPS. In questo articolo vedremo quali sono questi standard e quali possono essere i protocolli di sicurezza su un sito web.
Cos’è SSL/TLS
SSL sta per Secure Sockets Layer (Livello di socket sicuri) e si tratta di uno standard che garantisce la sicurezza di una connessione ad internet in modo da proteggere dati sensibili ed informazioni scambiati fra due sistemi comunicanti così da impedire ai criminal hacker di leggere o modificare ciò che è stato trasferito. La comunicazione alla quale facciamo riferimento può riguardare un server, un client o due server.
Attraverso lo standard SSL si impedisce l’intercettazione dei dati trasferiti fra utenti o fra sistemi. Si possono anche utilizzare metodologie di crittografia per crittografare i dati scambiati in modo che i criminali informatici non possano leggerli o comprenderli durante il trasferimento. Le informazioni possono essere di vario tipo quindi: personali, di natura sensibile o finanziarie (carte di credito, bancomat).
TLS (acronimo di Transport Layer Security ovvero sicurezza a livello di trasporto) è la versione più aggiornata e sicura di SSL. Spesso viene ancora utilizzata la dicitura SSL nonostante stiamo utilizzando TLS.
Cos’è HTTPS
HTTPS è l’acronimo per Hypertext Transport Protocol Secure e sta ad indicare il protocollo che corrisponde al trasferimento di dati in modo sicuro. Con http si indica una variante di tale trasferimento ma meno sicura. Per citare un esempio, se sul web entrate su un sito internet che inizia con “http”, tutto ciò che fate su quella pagina potrebbe essere letto o modificato da criminal hacker. La funzione in più che svolge l’Https è quella di criptare i dati HTTP assicurando l’autenticità delle richieste tramite certificato SSL/TLS
Vantaggi di HTTPS e SSL/TLS
Vediamo quali sono i vantaggi nell’utilizzo di questi standard:
- Viene garantita la protezione dei dati e la sicurezza per i clienti
- Il rischio di furto di informazioni sensibili si abbassa notevolmente
- Google posiziona meglio le pagine internet che utilizzano https rispetto a quelle che implementano http
- Da parte di un utente è facile riconoscere che il sito web possiede tali certificati
Certificati free o a pagamento
I certificati SSL/TLS sono stati introdotti nel 2015 e da allora sempre più siti web ne hanno fatto uso per proteggere le connessioni. Esistono certificati gratuiti, come quelli rilasciati dall’organizzazione no-profit Let’s Encrypt, oppure a pagamento.
Il tallone d’Achille di quelli a pagamento è ovviamente che sono quelli più utilizzati dai criminal hacker che li usano per creare pagine di phishing credibili in modo che gli utenti, ignari della truffa, si colleghino comunque alle loro pagine web.
Le differenze principali fra i certificati gratuiti e quelli a pagamento sono le seguenti:
- Idoneità: la differenza più importante fra le due tipologie è la durata della loro validità. Normalmente quelli a pagamento sono validi per uno o due anni mentre quelli free scadono dopo 90 giorni e quindi bisogna sostituirli molto di frequente.
- Gestione: i certificati a pagamento fanno sì che oltre al certificato vengano dati degli strumenti per gestirlo al meglio, mentre utilizzando un certificato SSL/TLS gratuito non si ha questa possibilità.
- Dominio: i certificati SSL/TSL gratuiti sono validi per un solo dominio mentre quelli a pagamento offrono la possibilità di essere collegati a più domini senza problemi.
- Indirizzo: utilizzando servizi che offrono certificati a pagamento, sarà possibile mostrare il nome della propria azienda o organizzazione nella barra degli indirizzi del browser mentre con quelli gratuiti, si legge https ma non è possibile modificarlo.
Comprare certificati SSL/TLS
Il primo passaggio per integrare i certificati SSL sul proprio sito web è quello di acquistarli: tali certificati vengono rilasciati da una CA (Certificate Authority) ovvero quell’ente ufficiale che verifica l’identità e si occupa della correttezza dei dati. Quando un user visita un sito web con protocollo HTTPS, i certificati SSL depositati sul server vengono richiamati. Vediamo quali sono i diversi tipi di certificati:
- Certificato DV (Domain Validation): sono certificati sia gratuiti che a pagamento; si tratta di quelli col livello più basso di autorizzazione. In questo caso la CA effettua solamente un controllo verificando che il richiedente sia effettivamente il proprietario di quel dominio
- Certificato OV (Organization Validated): sono certificati esclusivamente a pagamento e possiedono un livello di controllo più elevato sul dominio. In questo caso la CA verifica l’azienda e le informazioni ad essa connesse registrandola. Successivamente tali informazioni saranno rese note a chi visiterà il sito web in modo da aumentare la fiducia degli users. Il livello di sicurezza è dunque più elevato
- Certificato EV (Extended Validation): sono certificati a pagamento con il maggior livello di autenticazione. Le informazioni fornite dall’azienda vengono verificate scrupolosamente attraverso criteri più rigorosi rispetto al certificato OV. Ovviamente un livello più alto di sicurezza e autorizzazione comporta da un lato una maggior fiducia da parte di utenti e clienti e dall’altro un costo più elevato
Installazione dei certificati SSL
Dopo aver scelto quale tipologia di certificato installare, bisogna procedere con l’installazione del certificato SSL sul server. Ci sono già molti provider di hosting che fanno questo servizio per i propri clienti. Normalmente, i provider di certificati SSL dopo la vendita forniscono anche le istruzioni per procedere con l’installazione.
Errori
Può succedere che durante l’installazione dei certificati o durante la migrazione si incappi in errori che finiscono per penalizzare una pagina web dal lato SEO o addirittura minano la visibilità di alcuni siti. Vediamo alcune buone regole che ogni amministratore di un sito web dovrebbe seguire:
- Non utilizzare certificati scaduti: se si sta utilizzando un certificato SSL non valido o scaduto, compare un messaggio sulla pagina web che potrebbe far perdere la fiducia negli utenti che la visualizzano.
- Impostare un corretto reindirizzamento: per far sì che non ci sia il contenuto duplicato, il gestore del sito web dovrebbe configurare correttamente il reindirizzamento in modo che i motori di ricerca come Chrome, valutino come due siti differenti quelllo HTTP e quello HTTPS.
- Cambiare gli account pubblicitari: in un sito web HTTPS possono inserirsi contenuti non cifrati, come delle foto e all’apertura delle pagine verrà mostrato un messaggio abbastanza fastidioso per gli utenti.
- Google Analytics e Google Search Console: in seguito alla migrazione bisognerà registrare in Google Search Console anche il sito con HTTPS.
- Controllare link interni ed esterni: dopo il passaggio a HTTPS, tutti i collegamenti interni al sito andranno modificati.
HTTPS e SEO
L’impiego di HTTPS all’interno di un sito web non riguarda solamente la sicurezza dello stesso, bensì, porta ad un posizionamento migliore sui motori di ricerca. Già nel 2014 Google aveva dichiarato che una connessione sicura, portata da HTTPS, veniva vista come qualcosa di positivo e di migliore per quando riguarda il posizionamento SEO (Search Engine Optimization). Questo perchè Google ha deciso di attuare una campagna volta a rendere più sicuro il web e dunque tutti i siti presenti in esso. Anche gli utenti stanno diventando più attenti a selezionare le pagine che riportano https davanti all’url perchè più serie e sicure.
Negli ultimi anni, è stato appurato che avere un sito web funzionale oltre che “esteticamente” piacevole è essenziale per essere competitivi sul mercato. Nexsys può aiutarti, grazie al servizio di creazione di siti web e posizionamento SEO a realizzare il sito che fa per te oppure a migliorare quello che già possiedi in modo da fargli raggiungere le vette fra le ricerche sui motori di ricerca.