HTTPS HyperText Transfer Protocol over Secure Socket Layer

Come funziona e perché utilizzare il certificato di sicurezza

Vi sarà capitato di accedere ad un sito che conoscete bene, di cui vi fidate e di rimanere sorpresi di fronte ad un messaggio, che diceva che il sito non è sicuro o che un eventuale malintenzionato potrebbe intercettare i dati, come questo:

"Questa connessione non è sicura", messaggio di potenziale pericolo su browser Mozilla Firefox

I siti senza il certificato SSL (Secure Sockets Layer) sono ormai considerati inaffidabili dal punto di vista della sicurezza. Gli utenti potrebbero vedere un'etichetta con un triangolo rosso "SITO NON SICURO" per segnalare il pericolo. È necessario perciò effettuare il passaggio da HTTP a HTTPS (la S sta per Sicurezza) per il proprio sito web.

Contattaci per una consulenza gratuita

Infatti, i browser moderni segnalano come insicuri i siti internet che usano il protocollo HTTP, invece del protocollo HTTPS.

La funzione dell’SSL è criptare i dati in entrata e in uscita, rendendoli praticamente indecifrabili, creando un canale di comunicazione privato e bidirezionale, impedendo a terze parti di leggere, inserire o modificare i messaggi nel passaggio tra client e server.

Ciò che differenzia maggiormente i due protocolli è la crittografia, con HTTP tutte le comunicazioni avvengono in chiaro, perciò intercettabili da chiunque riesca ad inserirsi nel mezzo dello scambio di dati. HTTPS invece, crea un canale di comunicazione sicuro.

Il Certificato SSL è, in concreto, una carta d’identità per il tuo sito web.

Il passaggio da HTTP a HTTPS diventa importante soprattutto per i rischi nei quali si può incorrere connettendosi tramite dati sensibili (Facebook, Gmail, pagamenti online, etc.), o collegandosi a reti wi-fi pubbliche.

IL CERTIFICATO DIGITALE SSL

L'SSL, emesso da un'autorità di certificazione riconosciuta a livello internazionale, consente di garantire l'"identità" di un sito Internet.

Il Certificato può essere rilasciato solo tramite le “Certificate Authority” (CA), “Autorità Certificate”, determinati enti pubblici o privati che sono abilitati a concedere i certificati, utilizzando procedimenti uniformi alle direttive specifiche in materia.

Tra le diverse tipologie di certificati digitali, gli EV SSL (Extended Validation SSL) risultano essere quelli che offrono maggiori garanzie, perché il sito viene sottoposto ad un'attenta e minuziosa verifica, garantendone l'affidabilità . Si tratta dei certificati più costosi che vengono generalmente richiesti e rinnovati da tutte le aziende di più grandi dimensioni.

TIPOLOGIE DI CERTIFICATI DIGITALI

Certificato SSL Domain Validated (DV):
E’ la tipologia di certificati con il livello di autenticazione più basso. Il controllo da parte della CA verifica solo che la persona a cui ci si rivolge abbia effettivamente il dominio corrispettivo per il quale vorrebbe avere il certificato adatto. In questo caso rimane comunque un rischio parziale perché, durante il processo di verifica, i dati aziendali non vengono esaminati. E’ il più consigliato e anche il più veloce da ottenere. Vengono normalmente consigliati a siti web in cui non emerge alcuna possibilità di raggiro, di conseguenza l’affidabilità passa in secondo piano.
Certificato SSL Organization Validated (OV):
Questa seconda tipologia è più sicura rispetto alla prima ed ha un livello di protezione intermedio. Aumenta la sua sicurezza perché la CA, oltre ad appurare l’appartenenza esatta del dominio, verifica anche i dati dell’azienda e le informazioni constatate siano visibili dagli utenti sul sito, aumentandone l’affidabilità. Fornendo un livello di protezione maggiore, questo secondo tipo di certificato, è più costoso del primo, tuttavia non viene comunque usato per i siti web dove si effettuano transazioni con informazioni rilevanti.
Certificato SSL Extended Validation (EV):
E’ il certificato con il livello di protezione maggiore, che utilizza regole severe per analizzare, con scrupolosità, i vari dati aziendali. Assicurando un livello di tutela più elevato, rinforzando l’attendibilità del sito web. Noteremo subito se un sito è provvisto di questa tipologia di certificato, infatti, la barra degli indirizzi sarà di colore verde, la “green bar”. Questo significa che il sito è convalidato con l’estensione del processo di validazione. Oggi, i browser a elevata sicurezza sono tanti, tra cui, Microsoft Internet Explorer 7+, Opera 9.5+, Firefox 3+, Google Chrome, Apple Safari 3.2+ e iPhone Safari 3.0+. Questa certificazione è la più costosa tra i certificati ed è la più adatta per quei siti web in cui avvengono transazioni con carte di credito.

VANTAGGI NELL’UTILIZZO DI HTTPS E DEL PROTOCOLLO SSL

Sicurezza dei dati e SEO per una migliore indicizzazione sui motori di ricerca

Innanzitutto, poter avere una protezione elevata dei propri dati e, in generale, assicurare una buona tutela anche ai propri clienti e utenti; in questo modo si ottiene una drastica diminuzione del pericolo di furto o abuso di dati sensibili. Infine, acquisire priorità nel venire indicizzati rispetto alle equivalenti che usano il protocollo HTTP, garantendo così, un aumento della visibilità.

Una maggiore Sicurezza dei dati suscita nei clienti maggiore fiducia, che fa ottenere al sito un incremento della reputazione e dell’autorevolezza. Si tratta quindi di un vantaggio in termini di SEO e quindi un migliore posizionamento e una maggiore visibilità nei motori di ricerca.

Avere un Sito Certificato è una Sicurezza che si traduce in vantaggi commerciali.

Considerando che Google Chrome è il browser più usato (oltre il 53%), quindi responsabile di oltre la metà delle pagine web viste al mondo (sia su desktop che tablet/mobile); il fatto che permetta di guadagnare posizioni nella ricerca all’interno del suo motore, con un conseguente aumento della visibilità e degli accessi, a quei siti che utilizzano il protocollo HTTPS (SSL), è una notizia dal peso rilevante perché diventa un ottimo motivo per effettuare il passaggio da HTTP a HTTPS.

COME CAPIRE SE UN SITO È PROVVISTO DI UN CERTIFICATO SICURO?

Un sito web con un certificato SSL evidenzierà “https://” anziché “http://” prima dell’indirizzo Internet e questo significa “Secure http”.
Comparirà inoltre il simbolo di un lucchetto su una delle barre del browser, la sua posizione cambia dal browser che si sta utilizzando.
Cliccando sul simbolo del lucchetto verranno mostrate le informazioni dettagliate sul certificato SSL.

La maggior parte dei browser, come Google Chrome, Mozilla Firefox, tra i più usati, ma anche Internet Explorer, Safari, etc., per segnalare che un sito è sicuro, nella barra dell’indirizzo web sarà possibile notare la presenza della dicitura HTTPS e anche la presenza di un lucchetto. Cliccando sul lucchetto appare un pannello a discesa, vengono fornite ulteriori informazioni sulla connessione, se è sicura e a quale livello. Facendo clic sulla freccia a destra si accede alle informazioni aggiuntive sul gestore del certificato. Nella sezione "Ulteriori informazioni > Sicurezza" sono disponibili informazioni aggiuntive tra cui l'identità del sito web, la privacy e la cronologia e i dettagli tecnici.

Quando un certificato Extended Validation (EV) è installato su un sito web, la barra degli indirizzi diventa verde.

COME DISTINGUERE I SITI CON PROTOCOLLO HTTPS (SSL) CON I BROWSER PIÙ USATI

Mozilla Firefox

Per segnalare il livello di sicurezza di un sito web, Firefox mostra l'icona di un lucchetto che in caso di protocollo https sarà un lucchetto grigio. Nel caso il sito sia invece dotato di un protocollo http non sicuro il lucchetto apparirà grigio attraversato da una barra rossa.

Il lucchetto grigio attraversato dalla barra rossa indica che la connessione tra Firefox è solo parzialmente cifrata e pertanto non è da considerarsi sicura contro possibili tentativi di intercettazione o attacchi di tipo man in the middle ("uomo nel mezzo", è un attacco informatico in cui qualcuno intercetta segretamente le informazioni trasmesse tra due utenti, per leggerle o modificarle e quindi ritrasmetterle).

Pagina di supporto di Mozilla Firefox

Google Chrome

Se un sito web è sicuro da visitare, Google Chrome mostrerà un lucchetto grigio prima del nome del sito. Viceversa, nel caso di un sito con protocollo non sicuro http, Chrome avviserà l'utente tramite un avviso in rosso contenente un triangolo di pericolo e la scritta "Non sicuro" prima del nome del sito.

Pagina di supporto di Google Chrome

Perché Chrome e Firefox considerino Sicuro un determinato sito, è indispensabile che tutti i contenuti inseriti nella pagina web (fare riferimento al suo codice HTML), siano forniti attraverso il protocollo HTTPS.

Internet Explorer

Internet Explorer, invece, non mostra alcun tipo di messaggio o simbolo, sia navigando su un sito sicuro con protocollo https che navigando su un sito non sicuro con protocollo http.

Microsoft Edge

Microsoft Edge mostra un lucchetto grigio prima del nome del sito, nel caso di navigazione all'interno di un sito sicuro con https. Nel caso in cui la navigazione avvenga in un sito non sicuro con http compare un avviso in grigio con un triangolo di pericolo e la dicitura "Non sicuro".

Safari

Nel browser Safari, per indicare che è un sito sicuro, troviamo un lucchetto grigio prima del nome del sito. Cliccando su di esso si apre una finestra con la descrizione del livello di protezione. Per ulteriori informazioni cliccate su “Show Certificate” in basso a sinistra nella medesima finestra. Nel caso di un sito non sicuro appare la scritta "Non sicuro" prima del nome del sito.

APPROFONDIMENTI TECNICI

Il rapporto stilato da Symantec (una delle software house leader nel settore della cyber sicurezza) per il 2019 mostra un aumento costante delle violazioni informatiche negli ultimi anni, con un incremento anche delle tipologie di virus rilevate.

Un altro rapporto, questa volta italiano, creato dal Research Center of Cyber Intelligence and Information Security e dal Laboratorio Nazionale CINI di Cybersecurity evidenzia come uno dei fattori principali della mancanza di sicurezza nelle infrastrutture informatiche italiane sia la poca consapevolezza degli utenti.

"La grande assente delle politiche di cybersecurity finora è stata l’educazione degli utenti"

Questo ci aiuta a capire che la sicurezza online non è da sottovalutare, ma diventa un tema importante soprattutto per quelle realtà che si trovano a gestire quantità di dati non indifferenti. Anche solo un login ad un sito web può finire nel mirino di un attacco hacker.

Per ulteriori informazioni puoi consultare i seguenti link:

Leggi l'annuncio di Google sul posizionamento dei siti HTTPS
Leggi il rapporto completo Internet Security Threat Report di Symantec
Leggi il rapporto 2019 "Italian Cybersecurity Report" dell'Università "La Sapienza" di Roma e del Laboratorio Nazionale CINI