Invia:
Condividi:

Come evitare che il tuo sito sia indicato come «Non sicuro»: il passaggio all’HTTPS

29 Agosto 2017

Il tuo sito ha un modulo di contatto? Oppure hai un E-commerce?
Se la risposta ad una delle domande è SÌ, fai attenzione: effettua al più presto il passaggio da HTTP ad HTTPS.

Se ne parla da tempo ma ora c'è un'importante novità

Fin da Gennaio 2017 Chrome aveva iniziato a chiedere espressamente l’utilizzo del protocollo HTTPS per i siti che raccolgono dati sensibili (come le carte di credito) ma entro le prossime settimane sarà richiesto per tutti i siti che contengono anche un solo campo da compilare. Quindi riguarda anche te se hai ad esempio:

  • uno o più moduli di contatto
  • il form di iscrizione alla Newsletter
  • il modulo per l'invio di candidature o cv
  • un'area riservata o con login

...per citare i più comuni.

Per rafforzare il messaggio e sottolineare a tutti noi l’urgenza, Google stesso ha iniziato in questi giorni ad inviare delle notifiche e-mail a tutti i proprietari o gestori di siti web che dispongono di moduli di contatto su pagine in HTTP. Questi siti verranno a breve interamente contrassegnati come «Non Sicuri» se non si effettua il passaggio ad HTTPS.

Nel comunicato ufficiale, Google ci fa sapere che:

A partire da Ottobre 2017, Chrome mostrerà l’avviso «Non sicuro» in due occasioni: sia quando gli utenti inseriscono dei dati su una pagina HTTP, che su tutte le pagine HTTP visitate con la modalità Incognito.

Dovrebbe essere un motivo di preoccupazione per il tuo sito? Certo che sì, considera il fatto che Chrome è il browser più utilizzato al mondo per navigare in internet, detiene infatti il 55% degli accessi da desktop e mobile. Perciò più della metà degli utenti vedrebbe contrassegnato il tuo sito come «Non sicuro» ‒ e non è un buon biglietto da visita.

Senza il protocollo HTTPS i dati degli utenti sono a rischio

Per questo motivo Google ha investito molto nel lanciare e promuovere la campagna #NoHacked. E non ultimo, Google conferisce un ranking (posizionamento sui motori di ricerca) migliore ai siti HTTPS.

Il messaggio di allerta per visitatori e clienti se il sito è «Non sicuro»

Nel caso di sito o e-commerce senza HTTPS, Google Chrome avvisa l’utente consigliando esplicitamente di non inserire informazioni private o personali in quella pagina e se possibile, di non utilizzare il sito.
Nello specifico, ecco i messaggi:

Non sicuro.
Procedi con cautela. Sono presenti seri problemi con la privacy della connessione a questo sito. Qualcuno potrebbe riuscire a visualizzare le informazioni inviate o ricevute tramite il sito.

Pericoloso.
Non visitare questo sito. Se viene visualizzata una schermata di avviso rossa a pagina intera, significa che il sito è stato contrassegnato come non sicuro dalla funzione Navigazione sicura. Visitare questo sito metterebbe a rischio le tue informazioni private.

Un messaggio esplicito e diretto, senza filtri

In poche parole, invita l’utente ad abbandonare rapidamente il sito. Tutt’altra storia in caso di sito con navigazione protetta, dove viene invece visualizzato il messaggio «Le informazioni inviate o ricevute tramite il sito saranno private».

Ci sono inoltre delle icone-semaforo a sinistra dell’indirizzo web che avvisano se un sito web è Sicuro (verde), Non Sicuro o Pericoloso (rosso).

L'HTTPS a cosa serve? Protegge l’integrità e la riservatezza dei dati scambiati tra i computer degli utenti e il tuo sito

La sigla HTTPS è l’acronimo di HyperText Transfer Protocol over Secure Socket Layer, ovvero la comunicazione dei dati con una connessione criptata.

In parole semplici, il protocollo HTTPS viene utilizzato per:

  • Garantire trasferimenti riservati di dati
  • Impedire intercettazioni dei contenuti
  • Proteggere l’integrità e la riservatezza dei dati scambiati tra computer e siti (transazioni economiche e finanziarie telematiche, servizi di posta elettronica, informazioni sensibili, dati in genere)

Questo è possibile tramite l’utilizzo di un codice criptato tra client e server che solo il server conosce e può elaborare.

Hai un E-commerce? Il semplice HTTP non garantisce riservatezza

Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato.

Il protocollo HTTP non è sicuro quando l’utente deve inserire anagrafiche, password, carte di credito o dati personali perché le comunicazione tra browser e server avvengono in modo chiaro e quindi leggibile da chiunque riesca ad intercettare il flusso di dati. La connessione è pertanto vulnerabile ad attacchi “man-in-the-middle” ‒ tipologia di attacco hacker nella quale una terza entità si inserisce nella linea di comunicazione tra client e server ed intercetta tutti gli scambi informativi tra i due nodi.

La messa in sicurezza del sito ‒ con il passaggio ad HTTPS ‒ è richiesto su tutti i siti e in modo ancora più stringente ed urgente quindi quando si tratta di e-shop.

Google chiede a gran voce di garantire una navigazione sicura

L’intenzione da parte di Google di voler rafforzare la sicurezza dei siti è ormai nota. Al grido di «Moving towards a more secure web», Google Chrome aveva introdotto a Gennaio 2017 Chrome 56, il cui cambiamento più significativo riguardava proprio i protocolli dei siti web.

Questo primo aggiornamento (che mirava a segnalare le pagine HTTP che raccolgono password o numeri di carte di credito come non sicure) ha ottenuto in soli 6 mesi una diminuzione del 23% della navigazione in queste pagine. Il tutto fa quindi parte di un disegno e un piano ben più ampio, che sarà portato a compimento proprio con Chrome 62 ad Ottobre 2017.

Questa necessità di maggiore sicurezza deriva dal fatto che i siti web HTTP che prevedono login o campi per l’inserimento di dati sono particolarmente sensibili. Gli utenti non percependo la mancanza di un’icona di sicurezza come un campanello d’allarme sono portati a inserire informazioni sensibili anche in siti web non sicuri. Mentre qualsiasi tipo di dato scambiato sui siti dovrebbe essere inaccessibile a terze parti in rete.

Indietro non si torna, anzi, il piano di Google è quello di attuare via via politiche di navigazione sicura ancora più stringenti. Per questo motivo, la migrazione ad HTTPS a breve non solo sarà caldamente consigliata, ma diventerà indispensabile per non essere penalizzati. Non è dunque una procedura temporanea o reversibile, la Sicurezza è ormai una condizione fondamentale che caratterizza sempre di più il web di oggi e di domani.

Anche Firefox comunica ai visitatori se il sito è «Non Sicuro»

E se stai pensando che la soluzione veloce sia utilizzare altri browser, attenzione eh! Le misure prese da Chrome infatti sono sempre più condivise dagli altri browser: un esempio lampante è rappresentato proprio da Firefox, che da quest’anno mostra agli utenti un lucchetto rosso accanto all’URL del sito se questo è in HTTP.

Ad ogni modo, secondo una recente statistica di NetMarketShare Chrome è ad oggi il browser più utilizzato al mondo, sia da desktop sia da mobile, e di gran lunga ‒ è infatti utilizzato dal 55% dei naviganti, contro circa un 20% di Internet Explorer e l’11% di Firefox.

Come funziona il passaggio ad HTTPS

Per rendere il tuo sito sicuro, passando da HTTP ad HTTPS è importante:

  1. Richiedere un certificato SSL (è la tecnologia di criptazione e autenticazione) per il tuo dominio
  2. Impostare il reindirizzamento da http ad https di tutte le pagine
  3. Verificare che tutti i reindirizzamenti funzionino correttamente
  4. Verificare il sito in https sulla Google Search Console, su Google Analytics e su Bing Webmaster Tool
  5. Aggiornare la sitemap

HTTPS e SEO: la sicurezza è un punto a favore nell’indicizzazione

Google, sostenendo la navigazione web sicura, ha cominciato a dare priorità di indicizzazione ai siti HTTPS con certificato, a beneficio della SEO. Infatti, secondo Google HTTPS è un segnale importante per la posizione dei siti web nei motori di ricerca: le pagine “sicure” beneficerebbero di una indicizzazione migliore rispetto alle pagine “non sicure”.

Il passaggio dal protocollo HTTP ad HTTPS ti permetterebbe quindi di:

  1. Aumentare la sicurezza del sito web e di conseguenza dell’utente
  2. Diminuire il rischio di furto e di abuso di dati
  3. Diminuire la frequenza di rimbalzo del sito
  4. Migliorare la tua posizione nel ranking di Google

L’acquisizione del protocollo HTTPS aiuterà la visibilità e il posizionamento del tuo sito web nei risultati di ricerca e renderà più sicura la navigazione dei tuoi utenti, soprattutto in caso di transazioni online (siti e-commerce).