Utilizzando questo sito accetti l’uso di cookie per analisi, contenuti personalizzati, pubblicità e funzionamento della piattaforma.

Chiudi Dettagli
indietro
< Torna alla lista

Come proteggere il tuo sito con il protocollo HTTPS

protocollo https

Si sente sempre più spesso parlare di protocollo HTTPS inerente la sicurezza dei dati online, specialmente a seguito della nuova normativa GDPR.
Ma cos’è e cosa comporta adattare il nostro sito web a questo protocollo? Abbiamo chiesto al nostro web developer di farci (e farvi) un po’ di chiarezza…

Un sito web, di per sé, NON è tenuto ad usare il protocollo HTTPS.
Mentre pare diventi necessario quando un sito “raccoglie dati sensibili”. Questa raccolta di dati sensibili, non avviene soltanto con siti eCommerce o con portali strutturati (come ad esempio nel caso di una banca), ma anche in siti più comuni che abbiano funzionalità basiche, come la richiesta di iscrizione alla Newsletter (tramite semplice inserimento della propria “email”), o addirittura quando si utilizzano le più comuni form per acquisire un semplice contatto. Va da sé quindi, che la maggior parte dei siti presenti sul web, anche quelli cosiddetti “vetrina” sono punti di raccolta dati e come tali necessitano di una opportuna protezione.

Questo perché, in linea teorica, un malintenzionato potrebbe intercettare il traffico tra browser e server, e captare i dati inseriti, per poi usarli senza autorizzazione.
Il protocollo HTTPS (tra altre cose) impedisce questa pratica.

Breve guida sul protocollo “HTTP" e “HTTPS”

Il protocollo “http” è quello grazie al quale il proprio browser riesce a comunicare con un server, per eseguire la navigazione su internet.

Il protocollo “httpS” è il medesimo, ma quel “S” aggiunge il “SECURE”: la connessione avviene in forma “criptata”, così che nessuno possa comprendere la comunicazione tra client e server (browser e server web). In questo modo diventa impossibile un attacco del tipo MITM (man in the middle). Questo attacco informatico si esegue captando il traffico generato e ricevuto da un computer, alla ricerca di informazioni importanti, come ad esempio indirizzi email, account, password, codici bancari, carte di credito, e così via.

Oggi il protocollo HTTPS è sempre più usato e sempre più spinto, perché Google sta adottando delle misure a favore dei siti che lo utilizzano, penalizzando i siti che ancora usano l’HTTP.
E nello specifico le azioni di Google sono:

  • Google premia i siti HTTPS con un migliore posizionamento;
  • Google Chrome presto evidenzierà i siti NON sicuri (http), scoraggiando gli utenti a proseguire nella navigazione mentre "smetterà di enfatizzare" la sicurezza dei siti sicuri (https) in quanto dovranno essere la norma.
  • Al momento di inserimento dati, Google Chrome mostra piccoli avvisi di alert se il sito utilizza l’http e non risulta sicuro.

Cosa comporta fare un sito in “HTTPS”

Un sito servito con protocollo “http” può essere convertito in “https”

Per attivare il protocollo HTTPS è necessario installare un “certificato” sul sito web. Questo certificato dev’essere generato da un “certificatore”.   
I diversi certificatori offrono varie soluzioni dalla più economica alla più evoluta. La differenza principale sta nel metodo con cui il certificatore esegue la verifica di autenticità della richiesta certificato per evitare che un malintenzionato possa creare un clone di un sito conosciuto (come di una banca) al fine di ottenere le credenziali di accesso degli utenti.

 L’iter si svolge più o meno così:

  • L’amministratore di un sito contatta un certificatore, chiedendo il certificato per il proprio sito, ad esempio per “mia-banca.com”.
  • In base al tipo di contratto richiesto dall’amministratore, il certificatore eseguirà controlli più o meno rigidi al fine di accertare che l’amministratore sia effettivamente il proprietario o un delegato di “mia-banca.com”.
  • Dopo qualche giorno/settimana, se il certificatore convalida la richiesta, invia all’amministratore il certificato digitale da installare sul web server.
  • Ora gli utenti del sito “mia-banca.com” vedranno sul browser che il nome-dominio è preceduto da un lucchetto verde, che garantisce che si sta navigando su un sito protetto e certificato. Cliccando su questa icona si potrà accedere al certificato, vedere a chi è stato rilasciato, il livello di certificazione ed il responsabile certificatore.

Se il certificato venisse installato su un sito diverso (ad esempio su un clone), il browser ne impedirebbe la navigazione, avvisando l’utente del pericolo che si sta correndo, perché riconoscerebbe la non corrispondenza del dominio.

Ora che abbiamo tutte queste informazioni, ci sembra proprio sia giunta l’ora di mettersi ai ripari e adattarsi al protocollo https. Noi lo stiamo già facendo sui siti vecchi e stiamo utilizzando il protocollo sicuro su quelli di nuova realizzazione.
Se comunque non ti fosse ancora chiaro il concetto o vuoi semplicemente capirne di più, contattaci e cercheremo di venire incontro alle tue esigenze di sicurezza ;-) 

info@extrografico.com

web

Ultimi post

{{item.name}}
{{item.name}}
{{item.subtitle}}

Ultimi progetti

{{item.name}}
{{item.name}}
{{item.subtitle}}

Facebook

Extro

Instagram

@extrografico