Crittografare il sito web con certificato SSL: istruzioni e consigli
7 min

Crittografate il vostro sito web!

Crittografare il proprio sito web è un must. Non sono in gioco solo fiducia e sicurezza, ma anche il posizionamento su Google. E da questo autunno i siti web che non sono contrassegnati come sicuri dal browser potrebbero non funzionare più. Consigli e liste di controllo per la configurazione.

Prima la buona notizia: secondo Google, gli utenti del browser Chrome navigano per il 90% su pagine con una connessione crittografata. Questa è riconoscibile grazie al piccolo lucchetto a sinistra dell’URL. Significa che la connessione tra il browser e il sito web è crittografata, quindi i dati non possono essere letti da terzi. Le pagine sicure si riconoscono dal fatto che il loro indirizzo inizia con «https». Per l’articolo che state leggendo in questo momento è https://www.swisscom.ch/…

Perché dovreste crittografare il vostro sito web

Se il vostro sito web non è crittografato, dovete intervenire subito. Lo potete riconoscere dal fatto che il browser web (sia esso Chrome, Firefox, Edge o Safari) contrassegna l’indirizzo come «non sicuro». Nell’URL l’indirizzo inizia con «http» (senza «S» per «secure»).

Ci sono buone ragioni per avere una connessione sicura:

  • Sin dal 2004 Google predilige i siti web crittografati nei risultati della ricerca. In alcuni casi, un sito web non crittografato significa che nessuno vi potrà trovare.
  • Da luglio 2018 e dalla versione 68 di Chrome tutti i siti web non crittografati sono contrassegnati come non sicuri. Questo può scoraggiare i visitatori.
  • I criminali informatici possono intercettare le connessioni non crittografate, rubare dati dai moduli di contatto e persino introdurre un software dannoso che infetta il computer dell’ignaro visitatore.
  • Da settembre 2020, Google si spingerà ancora più in là con la versione 85 di Chrome: le immagini che non sono caricate attraverso una connessione crittografata non verranno più visualizzate. Questo può far sì che il vostro sito web non funzioni più. Il problema si chiama «Mixed Content», ovvero «contenuto misto», ed è spiegato nel seguente riquadro.

Mixed Content e sicurezza su internet

La maggior parte dei siti web è composta da vari elementi: la pagina stessa (il codice HTML), immagini, video, regole di formattazione (CSS) e programmi JavaScript. Tutti questi elementi sono integrati tramite un collegamento. Ad esempio, se presentate il team dell’azienda sul vostro sito web (cosa che dovreste fare), probabilmente ci sarà una pagina con l’indirizzo (sicuro) https://www.nomeazienda.ch/team.html. Nella pagina sono integrate le foto del team. Ed è qui che iniziano i problemi con il Mixed Content, ovvero con il contenuto misto. È quello che accade, ad esempio, se la vostra foto si trova all’indirizzo http://immagini.nomeazienda.ch/capo.jpg. Si tratta di una connessione non sicura, quindi il vostro sito web mescola contenuti provenienti da connessioni sicure (la pagina stessa) con contenuti provenienti da connessioni non sicure (l’immagine).

Dal momento in cui Chrome (e altri browser) non visualizzeranno più queste immagini, sarà un disastro. Potete facilmente immaginare cosa succederà se improvvisamente i visitatori non vedranno più alcuna immagine sulle pagine dei vostri prodotti o nel vostro negozio online.

La soluzione consiste nel rendere tutti gli elementi del vostro sito web accessibili attraverso una connessione sicura e crittografata. Queste misure da parte di Google e di altri fornitori di browser non sono angherie, ma un modo per rendere il web più sicuro. Anche voi e i vostri clienti ne trarrete vantaggio.

Come crittografare il vostro sito web

Oggi i nuovi siti web dovrebbero essere crittografati sin dall’inizio, ovvero accessibili solo tramite HTTPS. Gli attuali siti web non crittografati devono invece essere aggiornati. In entrambi i casi, il primo passo è ottenere un certificato SSL, una sorta di documento d’identità digitale. La maggior parte dei fornitori di web hosting offre certificati, alcuni dei quali includono l’installazione automatica e regolari aggiornamenti. Infatti i certificati SSL sono validi solo per un periodo limitato ed è necessario rinnovarli alla scadenza.

Molti web host hanno automatizzato questa operazione. Vale a dire che non dovete eseguire manualmente la configurazione. Basta ordinare nell’area di gestione del vostro sito web un certificato che viene impostato automaticamente. Per ulteriori operazioni e requisiti tecnici vi sarà d’aiuto la lista di controllo sottostante.

Con molti web host, i semplici certificati per un singolo indirizzo (www.nomeazienda.ch) non costano nulla o sono inclusi fin dall’inizio, come ad esempio con l’HomepageTool di Swisscom.

Lista di controllo: ecco come passare con successo alla crittografia

Attenzione, ora ci inoltriamo in dettagli tecnici! Niente paura però: il vostro webmaster capirà di che cosa tratta la seguente lista di controllo.

  1. Backup: salvate l’attuale sito web, incluse tutte le immagini e le banche dati. In tal modo, se qualcosa dovesse andare storto, potrete ripristinare lo stato precedente.
  2. Installate e attivate il certificato SSL. Tale operazione può essere effettuata dall’area di gestione del vostro sito dal vostro web host. A questo punto verificate che il sito sia raggiungibile tramite https://.
  3. Deviate tutti gli indirizzi HTTP esistenti sulle relative versioni HTTPS. A questo scopo si consiglia di implementare il reindirizzamento «301 redirect» sul server. Anche in questo caso, spesso se ne occupa direttamente il web host. Fate attenzione alle opzioni per reindirizzare automaticamente tutte le richieste su HTTPS:// o per forzare il protocollo SSL.
  4. Aggiornamento dei link interni: i link ad altre pagine e contenuti del vostro sito web devono essere aggiornati: «http://…» diventa «https://…». Per i siti web statici (documenti HTML) l’aggiornamento può essere eseguito in un text editor mediante le funzioni Cerca e Sostituisci. Se utilizzate un sistema di content management, verificate che i link siano convertiti automaticamente nella versione crittografata. In caso contrario apportate le necessarie modifiche.
  5. Aggiornamento dei link esterni: informate del reindirizzamento i partner che hanno collocato un link sul vostro sito web. Anche se i richiami non crittografati vengono reindirizzati automaticamente, è comunque meglio che tutti i link siano collocati direttamente sulla pagina crittografata.
  6. Esaminate il codice sorgente dei vostri siti web: se l’header contiene elementi come tag Canonical o HREFLANG, tag Open Graph o base URL, è necessario allinearli con gli indirizzi crittografati.
  7. Attenzione: per i motori di ricerca l’adozione della crittografia equivale a un trasferimento di dominio. Pertanto sarà necessario aggiornare la vostra mappa del sito con i nuovi indirizzi HTTPS e inserire il nuovo documento XML nei motori di ricerca, ad esempio tramite Google Search Console. In questo modo la nuova mappa del sito sarà immessa più rapidamente nell’indice di ricerca.
  8. Avete incluso contenuti esterni quali immagini, annunci pubblicitari, web font, moduli o librerie JavaScript? Anche tali elementi dovrebbero essere fruibili solo attraverso una connessione crittografata, per evitare problemi dovuti ai contenuti misti. Chiedete ai fornitori di tali contenuti se sono accessibili anche in modo crittografato. In caso contrario, valutate se è possibile ospitare i contenuti direttamente sul vostro web hosting.

Glossario: i termini più importanti spiegati brevemente

HTTP, HTTPS (HyperText Transfer Protocol)

HTTP è in un certo senso la lingua in cui il browser web comunica con il vostro sito web. La «S» in HTTPS sta per «secure», cioè sicuro. Ciò significa che la connessione è crittografata e non può essere visualizzata da terzi, come i criminali informatici.

SSL (Secure Socket Layer), TLS (Transport Layer Security)

Si tratta di metodi per crittografare i dati in una connessione HTTPS. TLS è il successore di SSL. Tuttavia, nell’uso comune la parola è stata mantenuta e spesso si parla di «connessione crittografata SSL».

Certificato (certificato SSL)

Un certificato non è altro che una carta d’identità digitale che conferma al browser l’identità dell’indirizzo consultato, cioè il sito web. Tale certificato è un prerequisito affinché il browser accetti una connessione crittografata come affidabile e quindi sicura. Questi certificati sono emessi da autorità riconosciute, denominate «Certificate Authority» (CA). La CA più conosciuta è probabilmente «Let’s Encrypt», che offre certificati gratuiti. La maggior parte dei fornitori di hosting offre la possibilità di acquisire un certificato in modo semplice. Ciò vale anche per il webhosting di Swisscom.

Crittografia

In una connessione crittografata, il contenuto viene codificato attraverso un processo crittografico in modo tale da risultare incomprensibile per gli estranei. Solo chi possiede la chiave giusta può decifrare di nuovo il contenuto. I processi di codificazione come il TLS sono la base delle connessioni sicure su internet.

Versione aggiornata di un articolo di novembre 2017.

Lascia un commento

Il suo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati.*

Leggete ora