Come configurare i siti con il protocollo sicuro https

Come configurare i siti con il protocollo sicuro https 1280 816 Nicola Lapenta
Tempo di lettura medio: 4 minuti

Solitamente i diversi browser segnalano i problemi con i certificati prima della URL con messaggi simili a quelli in figura sotto. Se vedi anche tu l’indirizzo del tuo sito con questa segnalazione significa che non ha il protocollo HTTPS attivo. Quindi non risulta protetto da protocolli crittografici che permettono una comunicazione sicura della sorgente.

Un sito in questa condizione è soggetto a questi problemi:

  • Possibili furto di dati
  • Esposizione degli utenti a possibili attacchi informatici
  • Possibili manipolazione dei dati presenti nel sito
  • Possibili manipolazione delle comunicazioni con i tuoi clienti
  • Minore autorevolezza del sito
  • Penalità nel posizionamento SEO da parte di Google

Prima di mostrati le configurazioni indispensabili per proteggerlo condivido con te alcune definizioni utili.

Che cos’è il protocollo HTTPS?

Il protocollo HTTPS (Hypertext Transfer Protocol Secure) anche noto come HTTP over TLS (Transport Layer Security) , o HTTP over SSL (Secure Sockets Layer)  è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti.

Consiste nella comunicazione tramite il protocollo HTTP  all’interno di una connessione criptata, tramite crittografia asimmetrica. I dati inviati tramite HTTPS vengono protetti tramite il protocollo TLS, che fornisce tre livelli di protezione fondamentali:

  1. Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
  2. Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
  3. Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti.

E il protocollo TLS?

Il protocollo TLS (Transport Layer Security) e il suo predecessore SSL (Secure Sockets Layer) sono protocolli crittografici di presentazione usati nel campo delle telecomunicazioni e dell’informatica che permettono una comunicazione sicura dalla sorgente al destinatario (end-to-end) su reti TCP/IP fornendo autenticazione, integrità dei dati e confidenzialità operando al di sopra del livello di trasporto.

Diverse versioni del protocollo sono ampiamente utilizzate in applicazioni come i browser, l’e-mail, la messaggistica istantanea e il voice over IP. Un esempio di applicazione di SSL/TLS è proprio nel protocollo HTTPS utilizzato per le connessioni a siti.

Proteggere i dati del proprio sito oggi è un requisito irrinunciabile.

Come attivare il protocollo HTTPS sul tuo sito e proteggerlo in 2 passi.

Passo 1

La prima attività da eseguire per proteggere un sito non sicuro è attivare il certificato SSL dal tuo Hosting Provider, il servizio che colloca su un server i dati relativi alle pagine di un sito web. La maggior parte dei Provider oggi forniscono questa funzionalità in modo gratuito. 

Sotto un esempio dell’opzione “Let’s Encrypt” da selezionare in cPanel con il provider SiteGround:

Passo 2

La seconda attività indispensabile è attivare correttamente le impostazioni del protocollo HTTPS sul tuo sito dal tuo CMS (Content Management System).

Sotto un esempio delle impostazioni su WordPress nel menù Impostazioni Generali: Occorre aggiungere  “https” all’ “Indirizzo WordPress (URL)” e “Indirizzo sito (URL)” HTTPS come indicato in figura:

Nota importante sulla configurazione di  Google Search Console

Contattami e ti aiuterò ad configurare il tuo sito con gli standard di sicurezza più elevati.


CONTATTAMI

Se ti è piaciuto questo articolo condividilo con i tasti social, potrebbe essere utile ad altre persone. Grazie
Concludo riportando di seguito la lista degli errori più comuni sui certificati di sicurezza e la corrispondente azione da intraprendere.

ProblemaAzione
Certificati scadutiAssicurati che il tuo certificato sia sempre aggiornato.
Certificato registrato per il nome sbagliato del sito webVerifica di avere ottenuto un certificato per tutti i nomi host su cui viene pubblicato il tuo sito. Ad esempio, se il certificato riguarda soltanto www.example.com, un visitatore che carica il tuo sito usando soltanto example.com (senza il prefisso “www.”) verrà bloccato per un errore dovuto al nome del certificato che non corrisponde.
Supporto della funzione Indicazione nome server (SNI) mancanteAssicurati che il tuo server web supporti SNI e che il tuo pubblico utilizzi browser supportati. La funzione SNI è supportata da tutti i browser moderni, ma ti servirà un IP dedicato se devi supportare browser meno recenti.
Problemi di scansioneNon impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt.
Problemi di indicizzazioneSe possibile, consenti l’indicizzazione delle pagine da parte dei motori di ricerca. Evita di utilizzare il meta tag noindex.
Versioni precedenti del protocolloLe versioni precedenti del protocollo sono vulnerabili; assicurati di avere le versioni più recenti delle librerie TLS e di implementare le ultime versioni del protocollo.
Elementi di sicurezza mistiIncorpora soltanto contenuti HTTPS nelle pagine HTTPS.
Contenuti diversi su HTTP e HTTPSAssicurati che i contenuti sul tuo sito HTTP e sul sito HTTPS corrispondano.
Errori di codice di stato HTTP su HTTPSVerifica che il tuo sito web restituisca il codice di stato HTTP corretto. Ad esempio, 200 OK per le pagine accessibili, oppure 404 o 410 per le pagine che non esistono.

Credits: Info by Google Support – Photo by Jon Moore on Unsplash