Forma Srl - Tecnologia per internet

HTTPS

COME FUNZIONA E PERCHÉ UTILIZZARE IL CERTIFICATO DI SICUREZZA

Importante: A partire da Settembre Google Chrome segnalerà come "Non sicuri" i siti che non utilizzano il certificato HTTPS.

Per non rischiare che questo accada anche al tuo sito web, contattaci subito!

Vi sarà capitato di accedere ad un sito che conoscete bene, di cui vi fidate e di rimanere sorpresi di fronte ad un messaggio che diceva che il sito non è sicuro o che un eventuale malintenzionato potrebbe intercettare i dati, come questo

messaggio di potenziale pericolo su browser Mozilla Firefox

A partire da gennaio 2017 Google ha iniziato a considerare inaffidabili i siti senza il certificato SSL (Secure Sockets Layer), mostrando un'etichetta con un triangolo rosso "SITO NON SICURO" per segnalarne il pericolo, invitando gli utenti a non proseguire la navigazione. Diventa necessario perciò, effettuare il passaggio da HTTP a HTTPS (la S sta per Sicurezza) “SITO SICURO“, il quale invece sarà contraddistinto da un lucchetto verde.

Questo sta già accadendo, rendendo difficile per l'utente comune distinguere se il messaggio di avvertimento viene generato per un pericolo reale o perché il sito non supporta l'HTTPS. Sicuramente un sito senza certificato SSL inizierà a perdere visitatori, scoraggiati dai messaggi di potenziale pericolo.

L’opera di sensibilizzazione Google è mirata a rafforzare la consapevolezza degli utenti.

Nel tentativo di creare un web più protetto, i browser di Google e Mozilla segnaleranno infatti come non sicuri i siti internet che usano il protocollo HTTP, invece che il protocollo HTTPS.

La funzione dell’SSL è criptare i dati in entrata e in uscita, rendendoli praticamente indecifrabili, creando un canale di comunicazione privato e bidirezionale, impedendo a terze parti di leggere, inserire o modificare i messaggi nel passaggio tra client e server.

Ciò che differenzia maggiormente i due protocolli è la crittografia, con l’HTTP tutte le comunicazioni avvengono in “chiaro”, perciò “leggibili” da chiunque riesca ad intercettarne lo scambio di dati. HTTPS invece, crea un canale di comunicazione sicuro.

Aggiorna subito il tuo sito a HTTPS!

Il Certificato SSL è, in concreto, una carta d’identità per il tuo sito web.

Il passaggio da HTTP a HTTPS diventa importante sopratutto per i rischi nei quali si può incorrere connettendosi utilizzando dati sensibili (Facebook, Gmail, pagamenti online, etc.), o semplicemente sfruttando reti wi-fi pubbliche.
Basta che una sola immagine faccia riferimento al protocollo HTTP perché i browser si astengano dall'indicare la pagina come sicura, seppur veicolata via HTTPS.

Oggi “TLS” prende il posto di “SSL” che è il nuovo nome del protocollo aggiornato. I termini sono l’acronimo in inglese di “Trasport Layer Security” e “Security Socket Layer”.

IL CERTIFICATO DIGITALE SSL

L'SSL, emesso da un'autorità di certificazione riconosciuta a livello internazionale, consente di garantire l'"identità" di un sito Internet.

Il Certificato può essere rilasciato solo tramite le “Certificate Authority” (CA), “Autorità Certificate”, determinati enti pubblici o privati che sono abilitati a concedere i certificati, utilizzando procedimenti uniformi alle direttive specifiche in materia.

Tra le diverse tipologie di certificati digitali, gli EV SSL (Extended Validation SSL) risultano essere quelli che offrono maggiori garanzie, perché il sito viene sottoposto ad un'attenta e minuziosa verifica, garantendone l'affidabilità . Si tratta dei certificati più costosi che vengono generalmente richiesti e rinnovati da tutte le aziende di più grandi dimensioni.

TIPOLOGIE DI CERTIFICATI DIGITALI

  • Certificato SSL Domain Validated (DV):

    E’ la tipologia di certificati con il livello di autenticazione più basso. Il controllo da parte della CA verifica solo che la persona a cui ci si rivolge abbia effettivamente il dominio corrispettivo per il quale vorrebbe avere il certificato adatto. In questo caso rimane comunque un rischio parziale perché, durante il processo di verifica, i dati aziendali non vengono esaminati. E’ il più consigliato e anche il più veloce da ottenere. Vengono normalmente consigliati a siti web in cui non emerge alcuna possibilità di raggiro, di conseguenza l’affidabilità passa in secondo piano.
  • Certificato SSL Organization Validated (OV):

    Questa seconda tipologia è più sicura rispetto alla prima. Aumenta la sua sicurezza perché la CA, oltre ad appurare l’appartenenza esatta del dominio, verifica anche i dati dell’azienda e le informazioni constatate sono visibili dagli utenti sul sito, aumentandone l’affidabilità. Fornendo un livello di protezione maggiore, questo secondo tipo di certificato, è più caro del primo, tuttavia non viene usato per siti web dove si effettuano transazioni con informazioni rilevanti.
  • Certificato SSL Extended Validation (EV):

    E’ il certificato con il livello di protezione maggiore, che utilizza regole severe per analizzare, con scrupolosità, i vari dati aziendali. Assicurando un livello di tutela più elevato, rinforzando l’attendibilità del sito web. Noteremo subito se un sito è provvisto di questa tipologia di certificato, infatti, la barra degli indirizzi sarà di colore verde, la “green bar”. Questo significa che il sito è convalidato con l’estensione del processo di validazione. Oggi, i browser a elevata sicurezza sono tanti, tra cui, Microsoft Internet Explorer 7+, Opera 9.5+, Firefox 3+, Google Chrome, Apple Safari 3.2+ e iPhone Safari 3.0+. Questa certificazione ha il costo più elevato tra i certificati ed è sicuramente adatto a siti che necessitano l’utilizzo di pagamenti e carte di credito.

VANTAGGI NELL’UTILIZZO DI HTTPS E DEL PROTOCOLLO SSL

Innanzitutto, poter avere una protezione elevata dei propri dati e, in generale, assicurare una buona tutela anche ai propri clienti; in questo modo si ottiene una drastica diminuzione del pericolo di furto o abuso di dati sensibili. Infine, acquisire priorità nel venire indicizzati rispetto alle equivalenti che usano il protocollo HTTP, garantendo così, un aumento della visibilità.

Una maggiore Sicurezza dei dati suscita nei clienti maggiore fiducia, che fa ottenere al sito un incremento della reputazione e dell’autorevolezza.

Avere un Sito Certificato è una Sicurezza che si traduce in vantaggi commerciali.


Considerando che Google Chrome è il browser più usato (oltre il 53%), quindi responsabile di oltre la metà delle pagine web viste al mondo (sia su desktop che tablet/mobile); il fatto che permetta di guadagnare posizioni nella ricerca all’interno del suo motore, con un conseguente aumento della visibilità e degli accessi, a quei siti che utilizzano il protocollo HTTPS (SSL), è una notizia dal peso rilevante perché diventa un ottimo motivo per effettuare il passaggio da HTTP a HTTPS.

COME CAPIRE SE UN SITO È PROVVISTO DI UN CERTIFICATO SICURO?

  • Un sito web con un certificato SSL evidenzierà “https://” anziché “http://” prima dell’indirizzo Internet e questo significa “Secure http”.
  • Comparirà inoltre il simbolo di un lucchetto su una delle barre del browser, la sua posizione cambia dal browser che si sta utilizzando.
  • Cliccando sul simbolo del lucchetto verranno mostrate le informazioni dettagliate sul certificato SSL.

La maggior parte dei browser, come Google Chrome, Mozilla Firefox, tra i più usati, ma anche Internet Explorer, Safari, etc., per segnalare che un sito è sicuro, nella barra dell’indirizzo web sarà possibile notare la presenza della dicitura HTTPS e anche la presenza di un lucchetto. Cliccando sul lucchetto appare un pannello a discesa, vengono fornite ulteriori informazioni sulla connessione, se è sicura e a quale livello. Facendo clic sulla freccia a destra si saprà anche da chi è gestito il certificato e, in ulteriori informazioni, si possono leggere generale, media, permessi e sicurezza. Sicurezza descrive identità del sito web, privacy e cronologia, dettagli tecnici.

Quando un certificato Extended Validation (EV) è installato su un sito web, la barra degli indirizzi diventa verde.

COME DISTINGUERE I SITI CON PROTOCOLLO HTTPS (SSL) CON I BROWSER PIÙ USATI

Mozilla Firefox

Per segnalare il livello di sicurezza, in alcune occasioni Firefox può visualizzare l'icona di un lucchetto verde con un segnale triangolare grigio di avvertimento, un lucchetto grigio con un segnale triangolare giallo di avvertimento o un lucchetto grigio con una barra rossa.

Un lucchetto verde con un segnale triangolare grigio di avvertimento indica che il sito visitato è sicuro, ma anche che esso presenta anche contenuti non sicuri al momento bloccati: per questo motivo esiste la possibilità che il sito non sia visualizzato o non funzioni correttamente.

Un lucchetto grigio con segnale triangolare giallo di avvertimento indica che la connessione tra Firefox e il sito web è solo parzialmente cifrata e non è protetta da eventuali tentativi di intercettazione.

Un lucchetto grigio attraversato da una barra rossa indica che la connessione tra Firefox è solo parzialmente cifrata e pertanto non è da considerarsi sicura contro possibili tentativi di intercettazione o attacchi di tipo man in the middle ( "uomo nel mezzo", è un attacco informatico in cui qualcuno intercetta segretamente le informazioni trasmesse tra due utenti, per leggerle o modificarle e quindi ritrasmetterle).

Pagina di supporto di Mozilla Firefox

Google Chrome

Per verificare se un sito web è sicuro da visitare, puoi controllare le informazioni sulla sua sicurezza. Chrome ti avviserà se stai per visitare un sito in modo sicuro e privato.

  1. Apri una pagina in Chrome sul tuo computer.
  2. Per verificare la sicurezza di un sito, a sinistra dell'indirizzo web, troverai lo stato di protezione:
    • Sicuro
    • Info o Non sicuro
    • Non sicuro o pericoloso
  3. Per visualizzare i dettagli e le autorizzazioni del sito, fai clic sull'icona. Nella parte superiore del pannello, verrà visualizzato un riepilogo di come Chrome pensa che sia la connessione.

Pagina di supporto di Google Chrome


Perché Chrome e Firefox considerino Sicuro un determinato sito, è indispensabile che tutti i contenuti inseriti nella pagina web (fare riferimento al suo codice HTML), siano forniti attraverso il protocollo HTTPS.

Internet Explorer

Internet Explorer, invece, mostra l'intera barra degli indirizzi in verde e sulla destra della stessa barra mostra il classico lucchetto con il nome del possessore del certificato; anche qui, cliccando sull'area vengono visualizzati i dettagli identificativi del sito.

Microsoft Edge

Qui viene mostrato un lucchetto grigio prima del nome del sito, sia il lucchetto che il nome diventano verdi nel caso di un certificato Extended Validation (EV).

Safari

Nel browser Safari, per indicare che è un sito sicuro, troviamo un lucchetto grigio prima del nome del sito, che diventa verde in caso di un certificato Extended Validation (EV). Cliccando su di esso si apre una finestra con la descrizione del livello di protezione. Per ulteriori informazioni cliccare su “Show Certificate” in basso a sinistra nella medesima finestra.

APPROFONDIMENTI TECNICI

Il rapporto stilato da Symantec (una delle software house leader nel settore della cyber sicurezza) per il 2016 mostra un aumento costante delle violazioni informatiche negli ultimi anni, con un incremento anche delle tipologie di virus rilevate.

Un altro rapporto, questa volta italiano, creato dal Research Center of Cyber Intelligence and Information Security e dal Laboratorio Nazionale CINI di Cybersecurity evidenzia come uno dei fattori principali della mancanza di sicurezza nelle infrastrutture informatiche italiane sia la poca consapevolezza degli utenti.

"La grande assente delle politiche di cybersecurity finora è stata l’educazione degli utenti"

Questo ci aiuta a capire che la sicurezza online non è da sottovalutare, ma diventa un tema importante soprattutto per quelle realtà che si trovano a gestire quantità di dati non indifferenti. Anche solo un login ad un sito web può finire nel mirino di un attacco hacker.

Per ulteriori informazioni puoi consultare i seguenti link: