Il tuo sito raccoglie informazioni sensibili come password, carte di credito o altri dati personali? Se è così devi organizzarti al più presto perché Google Chrome ha iniziato ad etichettare come siti non sicuri tutti quelli non serviti mediante il protocollo HTTPS.
Chrome richiederà infatti l’HTTPS per i siti che raccolgono informazioni sensibili. Se non lo hai già fatto, proteggi il tuo sito web e i tuoi visitatori con un certificato SSL e passa al protocollo HTTPS.
Che cosa è il protocollo HTTPS?
HTTP (HyperText Transfer Protocol) e HTTPS (HyperText Transfer Protocol Secure) sono entrambi protocolli o, per semplificare, i linguaggi che servono per il passaggio di informazioni tra server e client. Al momento, tutto quello che devi sapere è che HTTPS è un collegamento sicuro mentre HTTP non lo è.
Con una connessione HTTP standard, è possibile che persone non autorizzate possano intercettare le “conversazioni” tra il dispositivo di elaborazione e il sito web.
Questa “conversazione” nella maggior parte dei casi è sufficiente a meno che non si stiano inserendo su un sito web informazioni riservate come password, dati della carta di credito, IBAN e così via.
Una connessione HTTPS aggiunge un ulteriore step di sicurezza su quel tipo di conversazione utilizzando i protocolli crittografici SSL (Secure Sockets Layer) o TLS (Transport Layer Security).
Questo tipo di connessioni cifrano i dati per evitare intercettazioni, proteggono l’integrità dei dati per prevenire la corruzione nel trasferimento e forniscono l’autenticazione per garantire la comunicazione solo con il sito web desiderato.
Gli utenti si aspettano un’esperienza online sicura e privata quando utilizzano un sito web e Google che ha tra i suoi obiettivi proprio quello di garantire una navigazione sicura a tutti i suoi utenti, sta prendendo misure per garantire tutto questo. In che modo? Semplice, utilizzando il suo browser, il più utilizzato al mondo, per penalizzare le connessioni HTTP.
Cosa cambierà con Google Chrome?
Attualmente, Chrome indica le connessioni HTTP solo con un “indicatore neutro”, contrassegnato da un simbolo di informazione. Facendo clic su di esso, si può leggere: “la connessione a questo sito non è sicura” pertanto “non si devono inserire informazioni sensibili (per esempio le password e i dati delle carte di credito) perché potrebbero essere rubate da hacker”.
Le connessioni HTTPS, al contrario, sono contrassegnate da un simbolo di un lucchetto accanto alla parola “Sicuro”. Facendo clic per maggiori informazioni, si leggerà che il sito è classificato come sicuro e le informazioni (ad esempio, le password e i numeri delle carte di credito) restano private quando vengono inviate al sito.
Secondo il Google Security Blog, questa classificazione “neutra” per HTTP non riflette la vera mancanza di sicurezza per le connessioni HTTP. Quando si carica un sito web su HTTP, qualcun altro sulla rete può guardare o modificare il sito prima che arrivi all’utente finale.
In un’epoca in cui le preoccupazioni circa la sicurezza delle informazioni sono in aumento e la necessità di proteggere i dati personali diventa fondamentale, queste nuove indicazioni di sicurezza consentiranno agli utenti di prendere una decisione informata su quali siti sono affidabili per le informazioni sensibili come password e credenziali di pagamento e quali no.
NOTA BENE: A partire dalla versione 56 di Chrome, Google segnalerà le pagine HTTP che contengono moduli con campi da riempire quali password o carte di credito come “non sicure”:
Questo cambiamento è solo un primo passo verso l’obiettivo di Google ossia quello di avere utenti più informati e un web più sicuro.
Google inoltre ha annunciato che le future versioni di Chrome indicheranno le pagine HTTP come “non sicure” anche durante la navigazione in modalità in incognito. Chrome contrassegnerà tutte le pagine HTTP con un triangolo rosso per attirare ulteriormente l’attenzione sulla natura non protetta della connessione.
Secondo i dati di Google oltre il 50% di tutti i siti web utilizzano connessioni HTTPS e questo è sicuramente un buon risultato. Significa che gran parte dei siti in tutto il mondo viene servito in totale sicurezza tra cui i maggiori siti di ecommerce come Amazon, i più importanti social network come Facebook e Twitter ma anche portali come Wikipedia e ovviamente tutti i siti di Google.
Ce ne sono però molti altri, anche ad alto traffico, che non si sono ancora adeguati, tra cui (almeno ad oggi) il più grande sito di aste online: eBay. È possibile trovare un elenco aggiornato di questi siti nel rapporto sulla trasparenza di Google. Ecco un estratto dei principali siti non sicuri:
Come proteggere un sito web con HTTPS
Per abilitare il protocollo HTTPS sul tuo sito web, è necessario ottenere un certificato SSL da un’autorità di certificazione (CA) o tramite un hosting provider come HostingVirtuale.
Questo certificato fa essenzialmente due cose:
- permette al sito di comunicare con gli utenti utilizzando dati crittografati e non corruttibili;
- agisce come un timbro di approvazione attendibile che afferma che il sito web è legittimo e sicuro.
Una volta ottenuto il certificato SSL, ci sono alcuni passaggi da seguire per procedere con la configurazione ottimale del sito web e per migrare tutto verso HTTPS.
Prima di iniziare qualsiasi attività ricordati sempre di eseguire un backup completo del sito web, successivamente puoi iniziare cambiando tutti i link interni, controllando gli URL delle librerie utilizzate, aggiornando eventuali collegamenti esterni su cui hai il controllo e soprattutto, creando i redirect 301 dalle vecchie pagine HTTP alle nuove HTTPS.
Inoltre bisognerà aggiornare gli URL sui servizi per webmaster di Google (Search Console, Analytics, AdWords), qualsiasi altro sito che consente la pubblicazione di annunci a pagamento e infine su tutti i profili social.
I vantaggi del protocollo HTTPS
La protezione dei dati è di gran lunga il più grande vantaggio dell’HTTPS, ma non è l’unico. Bisogna considerare che i siti web in HTTPS sono anche molto più veloci. Inoltre consente l’attivazione di HTTP/2, la nuova versione del protocollo di rete HTTP su cui è basato tutto il World Wide Web che introduce un miglioramento enorme circa la velocità di caricamento delle pagine.
Già nel 2014, Google aveva cercato di convincere i webmaster ad effettuare il passaggio ad HTTPS in modo da ottenere oltre alla sicurezza, un posizionamento migliore in SERP. Da quel momento, i siti crittografati hanno guadagnato infatti una spinta nel ranking di Google rispetto alle controparti non protette.
Dal momento però che “l’incentivo” del posizionamento non ha fornito sufficiente incoraggiamento per tutti, ora Google sta facendo l’opposto, invece di incentivare HTTPS, penalizza i siti HTTP grazie all’uso del suo browser.
Conclusioni
L’HTTPS è l’attuale protocollo standard leader per la sicurezza dei siti e ogni webmaster dovrebbe pensare a migrare verso questo sistema per non compromettere la fiducia dei propri utenti.
Chrome contrassegnerà i siti HTTP come non protetti e questo sarà solo il primo passo di un lungo percorso di modifiche destinate a proteggere la privacy e la sicurezza delle informazioni sensibili. Non sarà immediato ma la direzione è questa: immagina di entrare nel tuo sito web e visualizzare una cosa di questo genere:
Come reagiresti e di conseguenza come pensi che reagirebbero i tuoi visitatori? Organizzati in tempo e programma il passaggio del tuo sito web ad HTTPS iniziando con l’acquisto di un certificato SSL.
Walter Selvo dice
Assolutamente d’accordo. Ritengo che sia necessario estendere l’HTTPS anche ai server webmail. Già molti clienti mi chiedono come mai l’accesso alla webmail viene segnalato come non sicuro.
Massimo dice
Certamente, presto verrà attivato anche sui server di posta in modo da consentire un accesso sicuro.