Sicurezza informatica: Il protocollo HTTPS
Il protocollo HTTPS (Hypertext Transfer Protocol Secure) è molto importante perché garantisce che le informazioni scambiate tra il browser dell’utente e il sito web siano protette da crittografia. Ciò significa che le informazioni sensibili, come le password e i dati personali, non possono essere intercettate da terze parti mentre viaggiano attraverso Internet.
Questo articolo descrive le attività che occorrono per proteggere un sito Web di qualunque tipo e gli errori comuni da evitare..
Contenuti
Introduzione
Il protocollo HTTPS è stato sviluppato nel 1994 dalla società Netscape Communications. La prima versione del protocollo, chiamata SSL (Secure Sockets Layer), è stata creata per garantire la sicurezza delle transazioni online, come l’acquisto di prodotti su un sito web. Successivamente, nel 1999 è stato sviluppato un nuovo protocollo chiamato TLS (Transport Layer Security) che ha sostituito SSL.
HTTPS è l’acronimo di HTTP Secure, dove HTTP sta per Hypertext Transfer Protocol, il protocollo di base utilizzato per la trasmissione dei dati su internet. HTTPS è stato creato per fornire un livello di sicurezza aggiuntivo sulla base di HTTP, utilizzando la crittografia per proteggere le informazioni scambiate tra il browser e il server.
Solitamente i diversi browser segnalano problemi con i certificati di sicurezza prima della URL con messaggi simili a quelli visualizzati nella figura 1 sotto.
Se vedi anche tu l’indirizzo del tuo sito con questa segnalazione significa che non ha il protocollo HTTPS attivo. Quindi non risulta protetto da protocolli crittografici che permettono una comunicazione sicura della sorgente.
Un sito in questa condizione è soggetto a questi problemi:
- Possibili furto di dati.
- Esposizione degli utenti a possibili attacchi informatici.
- Possibili manipolazione dei dati presenti nel sito.
- Possibili manipolazione delle comunicazioni con i tuoi clienti.
- Minore autorevolezza del sito.
- Penalità nel posizionamento SEO da parte di Google.
I problemi possibili sono davvero critici sia per un semplice sito vetrina che per un sofisticato ecommerce. Prima di mostrati le configurazioni indispensabili per proteggere un sito condivido alcune definizioni utili.
Proteggere i dati del proprio sito oggi è un requisito irrinunciabile.
Protocollo HTTPS
Il protocollo HTTPS (Hypertext Transfer Protocol Secure) anche noto come HTTP over TLS (Transport Layer Security) , o HTTP over SSL (Secure Sockets Layer) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti.
Consiste nella comunicazione tramite il protocollo HTTP all’interno di una connessione criptata, tramite crittografia asimmetrica. I dati inviati tramite HTTPS vengono protetti tramite il protocollo TLS, che fornisce tre livelli di protezione fondamentali:
- Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
- Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
- Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti.
Protocollo TLS
Il protocollo TLS (Transport Layer Security) e il suo predecessore SSL (Secure Sockets Layer) sono protocolli crittografici di presentazione usati nel campo delle telecomunicazioni e dell’informatica che permettono una comunicazione sicura dalla sorgente al destinatario (end-to-end) su reti TCP/IP fornendo autenticazione, integrità dei dati e confidenzialità operando al di sopra del livello di trasporto.
Diverse versioni del protocollo sono ampiamente utilizzate in applicazioni come i browser, l’e-mail, la messaggistica istantanea e il voice over IP. Un esempio di applicazione di SSL/TLS è proprio nel protocollo HTTPS utilizzato per le connessioni a siti.
Come proteggere un sito
Per proteggere un sito Web da problemi di sicurezza è indispensabile attivare il protocollo sicuro HTTPS con le attività di configuazione descritte di seguito.
Attivazione certicato SSL
La prima attività da eseguire per proteggere un sito non sicuro è attivare il certificato SSL dal tuo Hosting Provider, il servizio che colloca su un server i dati relativi alle pagine di un sito web. La maggior parte dei Provider oggi forniscono questa funzionalità in modo gratuito.
In figura 2 un esempio dell’opzione Let’s Encrypt del provider SiteGround:
Configurazioni CMS
La seconda attività indispensabile è attivare correttamente le impostazioni del protocollo HTTPS sul tuo sito dal tuo CMS (Content Management System).
Sotto un esempio delle impostazioni su WordPress nel menù Impostazioni Generali: Occorre aggiungere “https” all’ “Indirizzo WordPress (URL)” e “Indirizzo sito (URL)” HTTPS come indicato in figura3 :
A questo punto se tutti i passi sono stati eseguiti correttamente il tuo browser confermerà l’operazione visualizzando un lucchetto chiuso e avrai la certezza quindi di aver messo in sicurezza tutti i contenuti del tuo sito.
Errori comuni da evitare
La tabella 1 contiene la lista degli errori più comuni sui certificati di sicurezza e la corrispondente azione da intraprendere per risolverli.
Tabella 1 Errori comuni sui certificati di sicurezza nei siti Web
| Problema | Azione |
| Certificati scaduti | Assicurati che il tuo certificato sia sempre aggiornato. |
| Certificato registrato per il nome sbagliato del sito web | Verifica di avere ottenuto un certificato per tutti i nomi host su cui viene pubblicato il tuo sito. Ad esempio, se il certificato riguarda soltanto un visitatore che carica il tuo sito usando l’indirizzo senza il prefisso “www.” verrà bloccato per un errore dovuto al nome del certificato che non corrisponde. |
| Supporto della funzione Indicazione nome server (SNI) mancante | Assicurati che il tuo server web supporti SNI e che il tuo pubblico utilizzi browser supportati. La funzione SNI è supportata da tutti i browser moderni, ma ti servirà un IP dedicato se devi supportare browser meno recenti. |
| Problemi di scansione | Non impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt. |
| Problemi di indicizzazione | Se possibile, consenti l’indicizzazione delle pagine da parte dei motori di ricerca. Evita di utilizzare il meta tag noindex. |
| Versioni precedenti del protocollo | Le versioni precedenti del protocollo sono vulnerabili; assicurati di avere le versioni più recenti delle librerie TLS e di implementare le ultime versioni del protocollo. |
| Elementi di sicurezza misti | Incorpora soltanto contenuti HTTPS nelle pagine HTTPS. |
| Contenuti diversi su HTTP e HTTPS | Assicurati che i contenuti sul tuo sito HTTP e sul sito HTTPS corrispondano. |
| Errori di codice di stato HTTP su HTTPS | Verifica che il tuo sito web restituisca il codice di stato HTTP corretto. Ad esempio, 200 OK per le pagine accessibili, oppure 404 o 410 per le pagine che non esistono. |
La tua configurazione richiede un approfondimento mirato o ti occorrono maggiori informazioni? clicca su Contattami e descrivimi le tue esigenze, sarà un piacere conoscerti e fornirti il supporto necessario per configurare il tuo sito con gli standard di sicurezza più elevati.
Se vuoi saperne come avere un account di posta davvero sicuro e protetto potresti leggere questo articolo di sicurezza informatica: A cosa servono i protocolli SPF, DKIM e DMARC.
Pubblicato da: Nicola Lapenta
Credits: Info by Google Support, SiteGround, WordPress
