La foto mostra una recinzione con molti lucchetti attacati

Come configurare i siti con il protocollo sicuro https

Come configurare i siti con il protocollo sicuro https 700 460 Nicola Lapenta

Sicurezza informatica: Il protocollo HTTPS

Indice dei contenuti

Introduzione

Solitamente i diversi browser segnalano problemi con i certificati di sicurezza prima della URL con messaggi simili a quelli visualizzati nella figura 1 sotto.

Immagine degli errori https visualizzati dai Browser
Figura 1 Visualizzazioni di problemi con i certificati di sicurezza da diversi browser

Se vedi anche tu l’indirizzo del tuo sito con questa segnalazione significa che non ha il protocollo HTTPS attivo. Quindi non risulta protetto da protocolli crittografici che permettono una comunicazione sicura della sorgente.

Un sito in questa condizione è soggetto a questi problemi:

  • Possibili furto di dati
  • Esposizione degli utenti a possibili attacchi informatici
  • Possibili manipolazione dei dati presenti nel sito
  • Possibili manipolazione delle comunicazioni con i tuoi clienti
  • Minore autorevolezza del sito
  • Penalità nel posizionamento SEO da parte di Google

I problemi possibili sono davvero critici sia per un semplice sito vetrina che per un sofisticato ecommerce. Prima di mostrati le configurazioni indispensabili per proteggere un sito condivido alcune definizioni utili.

Proteggere i dati del proprio sito oggi è un requisito irrinunciabile.

Protocollo HTTPS

Il protocollo HTTPS (Hypertext Transfer Protocol Secure) anche noto come HTTP over TLS (Transport Layer Security) , o HTTP over SSL (Secure Sockets Layer)  è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti.

Consiste nella comunicazione tramite il protocollo HTTP  all’interno di una connessione criptata, tramite crittografia asimmetrica. I dati inviati tramite HTTPS vengono protetti tramite il protocollo TLS, che fornisce tre livelli di protezione fondamentali:

  1. Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
  2. Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
  3. Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti.

Protocollo TLS

Il protocollo TLS (Transport Layer Security) e il suo predecessore SSL (Secure Sockets Layer) sono protocolli crittografici di presentazione usati nel campo delle telecomunicazioni e dell’informatica che permettono una comunicazione sicura dalla sorgente al destinatario (end-to-end) su reti TCP/IP fornendo autenticazione, integrità dei dati e confidenzialità operando al di sopra del livello di trasporto.

Diverse versioni del protocollo sono ampiamente utilizzate in applicazioni come i browser, l’e-mail, la messaggistica istantanea e il voice over IP. Un esempio di applicazione di SSL/TLS è proprio nel protocollo HTTPS utilizzato per le connessioni a siti.

Come proteggere un sito

Per proteggere un sito Web da problemi di sicurezza è indispensabile attivare il protocollo sicuro HTTPS con le attività di configuazione descritte di seguito.

Attivazione certicato SSL

La prima attività da eseguire per proteggere un sito non sicuro è attivare il certificato SSL dal tuo Hosting Provider, il servizio che colloca su un server i dati relativi alle pagine di un sito web. La maggior parte dei Provider oggi forniscono questa funzionalità in modo gratuito. 

In figura 2 un esempio dell’opzione Let’s Encrypt del provider SiteGround:

Immagine certificato ssl
Figura 2 Opzione Let’s Encrypt del provider SiteGround

Configurazioni CMS

La seconda attività indispensabile è attivare correttamente le impostazioni del protocollo HTTPS sul tuo sito dal tuo CMS (Content Management System).

Sotto un esempio delle impostazioni su WordPress nel menù Impostazioni Generali: Occorre aggiungere  “https” all’ “Indirizzo WordPress (URL)” e “Indirizzo sito (URL)” HTTPS come indicato in figura3 :

Immagine di attivazione https
Figura 3 Configurazioni WordPress

A questo punto se tutti i passi sono stati eseguiti correttamente il tuo browser confermerà l’operazione visualizzando un lucchetto chiuso e avrai la certezza quindi di aver messo in sicurezza tutti i contenuti del tuo sito.

Immagine dell'icona https

Errori comuni da evitare

La tabella 1 contiene la lista degli errori più comuni sui certificati di sicurezza e la corrispondente azione da intraprendere per risolverli.

Tabella 1 Errori comuni sui certificati di sicurezza nei siti Web

ProblemaAzione
Certificati scadutiAssicurati che il tuo certificato sia sempre aggiornato.
Certificato registrato per il nome sbagliato del sito webVerifica di avere ottenuto un certificato per tutti i nomi host su cui viene pubblicato il tuo sito. Ad esempio, se il certificato riguarda soltanto un visitatore che carica il tuo sito usando l’indirizzo senza il prefisso “www.” verrà bloccato per un errore dovuto al nome del certificato che non corrisponde.
Supporto della funzione Indicazione nome server (SNI) mancanteAssicurati che il tuo server web supporti SNI e che il tuo pubblico utilizzi browser supportati. La funzione SNI è supportata da tutti i browser moderni, ma ti servirà un IP dedicato se devi supportare browser meno recenti.
Problemi di scansioneNon impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt.
Problemi di indicizzazioneSe possibile, consenti l’indicizzazione delle pagine da parte dei motori di ricerca. Evita di utilizzare il meta tag noindex.
Versioni precedenti del protocolloLe versioni precedenti del protocollo sono vulnerabili; assicurati di avere le versioni più recenti delle librerie TLS e di implementare le ultime versioni del protocollo.
Elementi di sicurezza mistiIncorpora soltanto contenuti HTTPS nelle pagine HTTPS.
Contenuti diversi su HTTP e HTTPSAssicurati che i contenuti sul tuo sito HTTP e sul sito HTTPS corrispondano.
Errori di codice di stato HTTP su HTTPSVerifica che il tuo sito web restituisca il codice di stato HTTP corretto. Ad esempio, 200 OK per le pagine accessibili, oppure 404 o 410 per le pagine che non esistono.

La tua configurazione richiede un approfondimento mirato o ti occorrono maggiori informazioni? clicca su Contattami e descrivimi le tue esigenze, sarà un piacere conoscerti e fornirti il supporto necessario per configurare il tuo sito con gli standard di sicurezza più elevati.

Se vuoi saperne come avere un account di posta davvero sicuro e protetto potresti leggere questo articolo di sicurezza informatica: A cosa servono i protocolli SPF, DKIM e DMARC.

Pubblicato da: Nicola Lapenta

Credits: Info by Google Support, SiteGround, WordPress

Photo by Jon Moore on Unsplash