Se ne è parlato molto negli ultimi mesi. Chrome ha iniziato nel luglio 2018 a penalizzare i siti non HTTPS contrassegnandoli chiaramente come “Non sicuri” e sembra che, con i prossimi aggiornamenti, voglia rincarare la dose bloccando i contenuti non crittografati.
Dotare i propri siti di un certificato SSL è diventato ormai necessario, tuttavia esistono ancora parecchi siti non protetti.
Molti titolari di siti web hanno ancora molta confusione in merito a questo argomento, se anche tu sei tra questi ti invito a continuare la lettura. Con questo articolo, infatti, voglio aiutarti a fare maggior chiarezza e a capire perché è fondamentale proteggere il proprio sito con un certificato SSL.
Cos'è il protocollo HTTPS?
Prima di tutto è necessario che tu capisca cos’è questo protocollo HTTPS di cui tutti parlano. Cercherò di spiegartelo in maniera semplice e senza troppi tecnicismi.
La navigazione sul web funziona tramite un protocollo HTTP, ovvero un insieme di regole che stabilisce il modo in cui viene svolta la comunicazione tra il browser (Chrome, Firefox, Explorer, Safari ecc.) e il server, ovvero la macchina che contiene il nostro sito.
Le informazioni oggetto di questa comunicazione, tuttavia, sono trasmesse in chiaro e possono essere oggetto di intercettazioni e, addirittura, di intrusioni e manipolazioni da parte di soggetti con intenzioni tutt’altro che nobili.
Con il passare del tempo si è giunti ad una soluzione adatta a contrastare questo pericolo: l’affiancamento al protocollo HTTP di un livello di protezione che si occupa di crittografare e rendere, così, più sicuri i dati trasmessi.
Per una navigazione sicura, quindi, i siti devono appoggiarsi al nuovo protocollo HTTPS.
Il certificato SSL
Il certificato SSL, del quale veniamo spesso invitati a dotarci nell’ultimo periodo, è quindi proprio quel sistema di protezione che, criptando le informazioni che vengono trasmesse durante la comunicazione tra browser e server, permette una connessione protetta e sicura da attacchi esterni.
Esistono tre tipi di certificati SSL:
- Certificato SSL DV (Domain Validation): è il certificato più comune e maggiormente utilizzato, oltre ad essere il più veloce da reperire. Viene rilasciato dopo una semplice conferma sulla proprietà del dominio. Va benissimo per siti vetrina, blog e per tutti quei siti in cui non sono implementati sistemi di pagamento e che, quindi, non richiedono un particolare livello di sicurezza.
- Certificato SSL OV (Organization Validation): in questo tipo di certificato, così come nel successivo, la verifica si estende alla titolarità dell’azienda e non si limita più alla proprietà del dominio. La convalida avviene solamente dopo l’effettivo accertamento dell’identità aziendale, che richiede qualche giorno. Questo tipo di certificato è maggiormente indicato per siti di commercio elettronico e vendita online.
- Certificato EV (Extended Validation): è il certificato più affidabile e sicuro, utilizzato generalmente dalle aziende leader a livello mondiale. Come il certificato SSL OV, anche il certificato EV richiede delle verifiche più approfondite a livello aziendale e tempi più lunghi per il suo rilascio. È facilmente riconoscibile sui siti che ne usufruiscono, perché il nome aziendale viene visualizzato all’interno della barra degli indirizzi (Paypal, ad esempio, utilizza questo tipo di certificato).
Come capire se il tuo sito usa il protocollo https?
Se non ti sei occupato personalmente della migrazione del tuo sito al nuovo protocollo HTTPS e vuoi assicurarti che sia tutto in regola, puoi verificarlo con un modo molto semplice e veloce.
Ti basta visitare il tuo sito web da qualsiasi browser e osservare cosa appare a fianco del tuo dominio, sulla barra degli indirizzi. Fatto? Cosa vedi?
- Lucchetto chiuso: ottimo! Il tuo sito utilizza correttamente il protocollo HTTPS;
- Lucchetto rosso, lucchetto barrato o testo che cita “non sicuro”: allarme rosso! Devi dotarti di un certificato SSL valido e procedere alla migrazione in HTTPS.
Tuttavia esiste anche la possibilità che, pur avendo già effettuato il passaggio al protocollo HTTPS, il tuo browser segnali il tuo sito come non sicuro. Come mai?
I mixed content, questi sconosciuti
I mixed content, o contenuti misti, sono dei contenuti che vengono richiamati all’interno del sito tramite link che utilizzano il protocollo HTTP.
Spesso si tratta di immagini, video, fogli di stile CSS o script che vengono richiamati tramite HTTP e che, per ora, vengono ugualmente visualizzati dai browser previa scomparsa del lucchetto sulla barra degli indirizzi.
Se il tuo sito contiene dei mixed content che interferiscono con la sicurezza della connessione, è necessario procedere alla loro risoluzione quanto prima.
Chrome e la guerra ai mixed content
Mentre continua la penalizzazione dei siti che non hanno attivato un protocollo HTTPS, con conseguente perdita di posizioni sui motori di ricerca, Chrome ha annunciato l’intenzione di attivarsi contro la presenza dei cosiddetti contenuti misti.
Con il rilascio di Chrome 79, previsto per dicembre 2019, il browser inizierà gradualmente a bloccare i contenuti caricati via HTTP all’interno di siti che utilizzano il protocollo HTTPS.
Chrome, infatti, tenterà di aggiornare i riferimenti a HTTP in HTTPS, bloccando solamente quei contenuti che non sono disponibili al caricamento in sicurezza.
Con Chrome 81, il cui rilascio è previsto per febbraio 2020, il browser proverà a caricare tutti i contenuti in HTTPS: quelli che non risulteranno raggiungibili con connessione sicura non verranno gestiti.
Per concludere
Spero di averti aiutato a comprendere meglio la necessità di dotare il tuo sito di un certificato SSL, qualora non avessi ancora provveduto.
Se ti stai chiedendo come potresti procedere per correre ai ripari, ti consiglio caldamente di affidarti ad un professionista. Procurarsi un certificato SSL potrebbe sembrare facile, ma la sua corretta implementazione richiede una certa attenzione: basta poco per commettere errori.
Molto meglio appoggiarsi ad un webmaster e dormire sonni tranquilli!
Siti web in Wordpress
