Website mit SSL verschlüsseln und Zertifikat erwerben
8 min

Crittografate il vostro sito web!

Crittografare il proprio sito web è un must. Non sono in gioco solo fiducia e sicurezza, ma anche il ranking su Google. Consigli per la configurazione.

Lo conoscono tutti: il lucchetto verde nel browser accanto all’indirizzo web (URL) indica che il sito è sicuro. In concreto segnala che il traffico di dati tra il browser e il server è crittografato e quindi non è intercettabile. In tal modo diventa pressoché impossibile rubare i dati. Senza un’adeguata crittografia, i cyber-criminali potrebbero intercettare facilmente i dati immessi nei moduli online come indirizzi o numeri di carte di credito e farne un uso indebito.

Per un web sicuro

Swisscom impiega da sempre il certificato SSL

Con un web hosting di Swisscom siete al sicuro: il certificato SSL è incluso in tutte le varianti S, M e L. Per il pacchetto L potete persino scegliere tra certificato OV o EV.

Maggiori informazioni

Un sito web crittografato aumenta la sicurezza. Maggiore è il numero degli indirizzi crittografati, tanto più sicuro è lo scambio di dati nel web. È proprio ciò che vorrebbe il motore di ricerca Google. Il colosso informatico aspira infatti a una rete in cui possibilmente tutti i siti web siano raggiungibili solo in modo crittografato. Perché una rete sicura diventa anche più attraente come piattaforma pubblicitaria. Per incoraggiare i titolari di siti web a crittografare le loro pagine, Google ha pensato a diverse misure incentivanti.

  • Sin dal 2004, Google predilige i siti web crittografati nei risultati della ricerca. Con la crittografia, la posizione nei risultati della ricerca migliora fino al 5 percento.
  • Dall’inizio del 2017, il browser Google Chrome segnala i siti web non crittografati con campi di immissione di password come siti non sicuri e sconsiglia di inserirvi dei dati riservati.
  • A ottobre 2017, con il lancio della versione Chrome 62, Google si è spinto ancora più in là: ora segnala come non sicure tutti i siti web non crittografati, a prescindere dal tipo di modulo di immissione dati presente.

A farne le spese sono soprattutto i siti web di imprese di tutti i tipi, in quanto la maggior parte dei siti aziendali contiene un modulo di contatto. E proporre ai clienti un sito web non sicuro non fa certo una buona impressione: la fiducia del cliente si incrina, i visitatori sono perplessi e magari preferiscono rivolgersi alla concorrenza. Pertanto fareste meglio a crittografare oggi stesso il vostro sito web.

Ecco come si fa concretamente

Obiettivo non ancora centrato

L’impegno di Google per un web sicuro ha dato senz’altro i suoi frutti. Il suo «rapporto sulla trasparenza» rivela che gli utenti di Chrome tendono ad aprire sempre più pagine tramite collegamenti crittografati: a seconda della piattaforma di sistema c’è stato un incremento da circa il 30 percento nel 2015 al 75 percento a luglio 2017. A questo riguardo, a fare la parte del leone sono i siti di grandi aziende, quelli delle autorità ufficiali nonché i social network come Facebook. Tutti hanno già adottato da tempo appositi sistemi di crittografia.

Un quadro diverso emerge invece dalle «SSL by Default Statistics» di builtwith.com. Se si considera l’intero mondo di internet, su poco meno di 375 milioni di siti web solo circa 370’000 sono raggiungibili esclusivamente tramite crittografia, una cifra che corrisponde a un misero 0,1%. E chi ha voglia di passare al setaccio i siti web delle PMI svizzere si imbatterà solo raramente nel lucchetto verde. Insomma, la strada da percorrere è ancora lunga.

Oggi i nuovi siti web dovrebbero risultare crittografati sin dall’inizio, adottando quindi i protocolli SSL e HTTPS. Gli attuali siti web non crittografati devono invece essere aggiornati. A questo scopo la lista di controllo può tornare molto utile. In entrambi i casi, il primo passo è ottenere un certificato SSL. La maggior parte dei fornitori di web hosting offre certificati, alcuni dei quali includono l’installazione automatica e regolari aggiornamenti. Infatti i certificati SSL sono validi solo per un periodo limitato ed è necessario rinnovarli alla scadenza. Potrete trovare le relative impostazioni dopo aver effettuato il log-in nell’area di gestione del vostro sito web.

Molti web host mettono a disposizione gratuitamente i semplici certificati DV. Invece i certificati OV ed EV vanno pagati a scadenze fisse: i prezzi vanno da 100 a circa 900 franchi all’anno, a seconda del tipo. Il ritorno in termini di fiducia giustifica senz’altro l’investimento non appena si effettuano transazioni commerciali sul sito web, per esempio in uno shop online. Oggi la crittografia SSL è irrinunciabile per tutti i siti web aziendali. Non si tratta di un sopruso, bensì di un’operazione che offre un vantaggio diretto in termini di miglioramento del ranking su Google e di consolidamento della fiducia da parte della clientela. Per i siti web semplici è sufficiente un certificato DV. È questo il caso di numerose e rinomate aziende svizzere che hanno già adottato il protocollo SSL. Ai gestori di shop online di una certa grandezza e di siti web che richiedono ai visitatori l’invio di dati riservati si consiglia di acquisire quantomeno un certificato OV.

Lista di controllo: ecco come passare con successo alla crittografia

Attenzione, ora ci inoltriamo in dettagli tecnici! Niente paura però: il vostro webmaster capirà di che cosa trattano i seguenti punti.

  1. Backup: salvate l’attuale sito web, incluse tutte le immagini e le banche dati. In tal modo, se qualcosa dovesse andare storto, potrete ripristinare lo stato precedente.
  2. Installate e attivate il certificato SSL. Tale operazione può essere effettuata dall’area di gestione del vostro sito presso il vostro web host. A questo punto verificate che il sito sia raggiungibile tramite https://.
  3. Deviate tutti gli indirizzi HTTP esistenti sulle relative versioni HTTPS. A questo scopo si consiglia di implementare il reindirizzamento «301 redirect» sul server. Anche in questo caso, spesso se ne occupa direttamente il web host. Fate attenzione alle opzioni per reindirizzare automaticamente tutte le richieste su HTTPS:// o per forzare il protocollo SSL.
  4. Aggiornamento dei link interni: i link ad altre pagine e contenuti del vostro sito web devono essere aggiornati: «http://…» diventa «https://…». Per i siti web statici (documenti HTML) l’aggiornamento può essere eseguito in un text editor mediante le funzioni Cerca e Sostituisci. Se utilizzate un sistema di content management, verificate che i link siano convertiti automaticamente nella versione crittografata. In caso contrario apportate le necessarie modifiche.
  5. Aggiornamento dei link esterni: informate del reindirizzamento i partner che hanno collocato un link sul vostro sito web. Anche se i richiami non crittografati vengono reindirizzati automaticamente, è comunque meglio che tutti i link siano collocati direttamente sulla pagina crittografata.
  6. Esaminate il codice sorgente dei vostri siti web: se l’header contiene elementi come tag Canonical o HREFLANG, tag Open Graph o base URL, è necessario allinearli con gli indirizzi crittografati.
  7. Attenzione: per i motori di ricerca l’adozione della crittografia equivale a un trasferimento di dominio. Pertanto sarà necessario aggiornare la vostra mappa del sito con i nuovi indirizzi HTTPS e inserire il nuovo documento XML nei motori di ricerca, ad esempio tramite Google Search Console. In questo modo la nuova mappa del sito sarà immessa più rapidamente nell’indice di ricerca.
  8. Avete incluso contenuti esterni quali immagini, annunci pubblicitari, web font, moduli o librerie JavaScript? Anche tali elementi dovrebbero essere fruibili solo attraverso una connessione crittografata, per evitare che il browser visualizzi un’avvertenza dissuasiva dovuta a «contenuti misti». Chiedete ai fornitori di tali contenuti se sono accessibili anche in modo crittografato. In caso contrario, valutate se è possibile ospitare i contenuti direttamente sul vostro server.

SSL, HTTPS e certificati: il lato tecnico della crittografia

Per il trasferimento crittografato dei dati si utilizzano i protocolli di rete e web SSL (Secure Sockets Layer) e HTTPS (Hypertext Transfer Protocol Secure). O, per essere più precisi: TLS (Transport Layer Security) e HTTPS, perché in senso stretto l’SSL è il predecessore ormai superato di TLS. Ciononostante, generalmente si parla ancora di «crittografia SSL» e di «certificati SSL».

Le pagine rese sicure mediante SSL/TLS vengono richiamate tramite il protocollo HTTPS, mentre il tradizionale protocollo HTTP consente esclusivamente un traffico di dati non sicuro. Un dettaglio en passant: le pagine HTTPS vengono caricate molto più rapidamente rispetto a pagine identiche lanciate tramite HTTP. È possibile verificarlo sul sito https://www.httpvshttps.com.

Affinché la crittografia funzioni è necessario installare un certificato SSL sul server web. Il certificato deve essere rilasciato da un’autorità affidabile, ossia da una cosiddetta Certificate Authority (CA). Note società di certificazione sono ad esempio Symantec, Comodo e Geotrust. I certificati SSL sono disponibili in tre varianti:

  • Un certificato di convalida del dominio (DV) attesta che il traffico di dati è crittografato e che il dominio indicato (ad esempio unserefirma.com) corrisponde effettivamente a quello richiamato. Sulle pagine con certificato di convalida DV appare il noto lucchetto verde. I certificati DV sono disponibili pressoché immediatamente.
  • Nel caso dei certificati con convalida dell’organizzazione (OV), la CA verifica anche che il dominio appartenga veramente all’azienda indicata e non a un altro proprietario. La procedura di convalida può richiedere da due a tre giorni. Con il certificato OV i clienti hanno la certezza di trovarsi effettivamente sul legittimo sito dell’azienda da loro cercata. Un chiaro vantaggio specialmente per gli shop online.
  • Per ottenere un certificato Extended Validation (EV), il titolare del dominio deve sottoporsi a ulteriori verifiche. Questo processo dura fino a una settimana. In caso di convalida EV, in tutti i browser più diffusi oltre al lucchetto viene visualizzato in verde anche il nome dell’azienda. Le convalide EV sono indicate in tutti i casi in cui vengano trasmessi dati sensibili, come estremi bancari e informazioni mediche.

In termini di sicurezza queste tre varianti si equivalgono. Anche la semplice convalida DV prevede un traffico di dati crittografato con metodi altrettanto sicuri. In ogni caso rivolgetevi sempre a un professionista del settore e fate attenzione che la lunghezza di chiave sia sufficiente: i certificati con una crittografia a 256 bit sono ormai superati; oggi dovrebbero avere almeno 2048 bit. Inoltre,

i certificati OV ed EV garantiscono l’autenticità del dominio (OV) e quella dell’azienda (EV), infondendo più fiducia ai visitatori. A seconda della variante, all’occorrenza i certificati SSL sono disponibili anche per più domini (multi-dominio) o per un numero indefinito di sottodomini (wildcard, ad esempio per www.unserefirma.ch, blog.unserefirma.ch e kundenportal.unserefirma.ch).

Foto del titolo: Keystone

Lascia un commento

Il suo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati.*

Read now