Come evitare che il tuo sito sia contrassegnato come “Non sicuro”: il passaggio da HTTP ad HTTPS

Come evitare che il tuo sito sia contrassegnato come “Non sicuro”: il passaggio da HTTP ad HTTPS cover

Il tuo sito web richiede agli utenti informazioni sensibili come password o carte di credito?

Se la risposta è SI, fai attenzione: da Gennaio 2017, Google Chrome, ha iniziato a contrassegnare i siti HTTP come “Non Sicuri”. In altre parole, Chrome richiede espressamente l’utilizzo del protocollo HTTPS, per i siti che raccolgono dati sensibili.
Perciò, se ancora non l’hai fatto, proteggi gli utenti e il tuo sito con un certificato SSL e passa a HTTPS.

Se un sito raccoglie dati sensibili, anche in una sola delle sue pagine, l’intero sito è contrassegnato come “non sicuro”. Perciò, il protocollo HTTPS è necessario perché il sito sia giudicato “sicuro”, anche se una sola pagina raccoglie dati personali.

“Enabling HTTPS on your whole site is important, but if your site collects passwords, payment info, or any other personal information, it’s critical to use HTTPS.”

Senza il protocollo HTTPS, i dati sensibili sono a rischio, anche per questo Google ha investito molto nel lanciare e promuovere la campagna: #NoHacked. E non ultimo, Google conferisce un ranking (posizionamento sui motori di ricerca) migliore ai siti HTTPS.

Dovrebbe essere un motivo di preoccupazione per il tuo sito? Dunque, considera il fatto che Chrome è il browser più utilizzato al mondo, detiene infatti il 55% degli accessi da desktop e mobile. Perciò, se non credi che questo sia un problema, ricordati che più della metà degli utenti vedrà contrassegnato il tuo sito come “non sicuro”.

Ma cosa c’entra la sicurezza di un sito con la dicitura HTTP / HTTPS? Come impatta tutto ciò con il tuo sito di e-commerce? E riguarda solo gli e-commerce o tutti i siti in generale?
Procediamo con ordine!
Partiamo dal capire un po’ meglio i termini stessi e di cosa si tratta, in parole semplici.

Il Protocollo HTTP in poche parole

Nel web esistono 2 tipi di protocolli: HTTP e HTTPS, che rappresentano le fondamenta dell’intera comunicazione/ trasmissione di dati all’interno del World Wide Web.

La sigla HTTP sta per Hypertext Transfer Protocol, ovvero protocollo di trasferimento degli ipertesti. Non è altro che un protocollo di richiesta-risposta: tra chi trasmette un’informazione (client) e chi la riceve (server), il client corrisponde al browser ed il server al sito web. Il linguaggio che permette di comunicare tra client e server è definito appunto protocollo.

Un protocollo è un insieme di regole che permettono di trovare uno standard di comunicazione tra diversi computer attraverso la rete, dove per rete si intende un insieme di due o più computer connessi tra di loro ed in grado di condividere informazioni.

Scopo del protocollo HTTP è quindi di permettere il trasferimento di file e di tutte le informazioni che formano il tuo sito.

L’HTTPS protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti

La sigla HTTPS è l’acronimo di HyperText Transfer Protocol over Secure Socket Layer, ovvero la comunicazione dei dati con una connessione criptata. In breve, l’HTTPS viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti.

Il protocollo HTTPS viene utilizzato per:

  • Garantire trasferimenti riservati di dati nel web
  • Impedire intercettazioni dei contenuti
  • Proteggere l’integrità e la riservatezza dei dati scambiati tra i computer e i siti (transazioni economiche e finanziarie telematiche, servizi di posta elettronica, informazioni sensibili)

Questo è possibile tramite l’utilizzo di un codice criptato tra client e server che solo il server conosce e può elaborare.

Perchè il semplice HTTP non è sicuro nella trasmissione di dati riservati?

Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato.

Il protocollo HTTP non è sicuro quando l’utente deve inserire password, carte di credito o dati personali perché le comunicazione tra browser e server avvengono in modo chiaro e quindi leggibile da chiunque riesca ad intercettare il flusso di dati. La connessione è pertanto vulnerabile ad attacchi “man-in-the-middle”: tipologia di attacco hacker nella quale una terza entità si inserisce nella linea di comunicazione tra client e server ed intercetta tutti gli scambi informativi tra i due nodi.

Google Chrome chiede di garantire una navigazione sicura

Al grido di «Moving towards a more secure web», Google Chrome ha introdotto a Gennaio 2017 Chrome 56.
Tanti sono stati i cambiamenti grafici, ma il cambiamento significativo riguarda proprio i protocolli dei siti web. L’aggiornamento, mira a rafforzare la navigazione internet sicura, segnalando le pagine HTTP che raccolgono password o numeri di carte di credito come non sicure.

 

Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito.

 

Infatti i siti web HTTP che prevedono login o campi per l’inserimento di metodi di pagamento, sono particolarmente sensibili in quanto il man-in-the-middle può facilmente intercettare le informazioni ed ottenere i dati della carta di credito.

Gli utenti infatti, non percependo la mancanza di un’icona di sicurezza come un campanello d’allarme, sono portati a inserire informazioni sensibili anche in siti web non sicuri. Per questo il piano di Chrome iniziale è quello di etichettare i protocolli HTTP come “non sicuri”, per poi attuare politiche di navigazione sicura più stringenti.

«Ah beh, a me non interessa, uso Firefox!»
E se ti stai convincendo che la soluzione sia utilizzare altri browser, dovrai chiederti però quale usano i tuoi utenti quando visitano il tuo sito. Una recente statistica di NetMarketShare ha infatti evidenziato che Chrome è oggi il browser più utilizzato al mondo, sia da desktop sia da mobile, e di gran lunga: è infatti utilizzato dal 55% dei naviganti, contro circa un 20% di Internet Explorer e l’11% di Mozilla Firefox.

Come Chrome 56 identifica i siti: le etichette da “Sicuro” a “Pericoloso”

Chrome utilizza delle icone a sinistra dell’indirizzo web per definire se un sito web è Sicuro, Non Sicuro o Pericoloso:

Cliccando sull’icona, Chrome fornisce ulteriori dettagli del sito che stai visitando.

Come funziona il passaggio ad HTTPS

Per rendere il tuo sito sicuro, passando da HTTP ad HTTPS è importante:

  • Richiedere un certificato SSL (è la tecnologia di criptazione e autenticazione) per il tuo dominio
  • Impostare il reindirizzamento da http ad https di tutte le pagine
  • Verificare che tutti i reindirizzamenti funzionino correttamente
  • Verificare il sito in https sulla Google Search Console, su Google Analytics e su Bing Webmaster Tool
  • Aggiornare la sitemap

HTTPS e SEO: la sicurezza è un punto a favore nell’indicizzazione

Google, sostenendo la navigazione web sicura, ha cominciato a dare priorità di indicizzazione ai siti HTTPS con certificato, a beneficio della SEO. Infatti ha annunciato che HTTPS è un segnale importante per la posizione dei siti web nei motori di ricerca: le pagine “sicure” beneficerebbero di una indicizzazione migliore rispetto alle pagine “non sicure”.
Il passaggio dal protocollo HTTP a HTTPS ti permetterebbe :

  1. Aumentare la sicurezza del sito web e di conseguenza dell’utente
  2. Diminuire il rischio di furto e di abuso di dati
  3. Migliorare la tua posizione nel ranking di Google

L’acquisizione del protocollo HTTPS aiuterà la visibilità e il posizionamento del tuo sito web nei risultati di ricerca e renderà più sicura la navigazione dei tuoi utenti, soprattutto in caso di transazioni online (siti e-commerce).