L’utilizzo di un certificato di sicurezza TLS per rendere sicura la comunicazione, attraverso HTTPS, tra le nostre pagine web ed il server era, fino a pochi mesi fa, necessario solo per i siti ecommerce o che fornivano dei servizi con dati importanti dell’utente: proteggere le informazioni durante le comunicazioni era, ed è tuttora, fondamentale. Ma la situazione sta mutando velocemente.
I dati personali sono stati messi al centro del mondo digitale e tutti gli attori che ne fanno parte, da Google a Facebook ad esempio, e dai vari governi e organi dei vari stati fino ad arrivare alla Comunità Europea e al governo americano, hanno cominciato a prendere iniziative in tal senso.
Per proteggere i dati personali a Maggio 2018 entrerà in vigori il GDPR (General Data Protection Regulation- Regolamento UE 2016/67) che cambierà il modo di chiedere e detenere i dati da parte di tutti gli operatori digitali, grandi, piccoli e anche micro (approfondiremo nelle prossime settimane il tema).
Ma le grandi manovre per rendere più sicuro il web sono iniziate molto prima….tanto che già nel 2014 Google, nel suo evento Google I/O, dedicato agli sviluppatori, lanciò il suo programma HTTPS EVERYWHERE impegnandosi ad utilizzare HTTPS in ogni suo progetto e delineando quelle che sarebbe successo da allora ad oggi.
Ultimo passo di questa linea si è visto a Settembre 2017 dove ha iniziato a differenziare il peso che hanno le pagine coperte da HTTPS rispetto a quelle HTTP sul web.
Ma andiamo per ordine.
Che cosa è HTTPS
HTTPS è l’acronimo di HyperText Transfer Protocol over Secure Socket Layer e noto anche come HTTP over TLS. HTTPS consiste nella comunicazione tramite il protocollo HTTP utilizzando connessione criptata dal TLS (Transport Layer Security). Il TLS ha preso il posto di SSL (Secure Sockets Layer) utilizzato fino a pochi anni fa e non più adatto ad assicurare la sicurezza nelle comunicazioni.
Alla base dell’utilizzo di HTTPS, come riportato da ogni documento a riguardo, è quello di assicurare:
- un’autenticazione sicura al sito web visitato
- la protezione della privacy delle persone
- l’integrità dei dati scambiati tra le parti comunicanti.
Visti i costi da sostenere per l’adozione di un certificato TLS per rendere le nostre comunicazioni sicure sotto HTTPS, il numero di siti che hanno intrapreso questa strada è del 60% prendendo i 100.000 siti più visitati al mondo e di circa il 5% se si prende il totale dei domini italiani a settembre 2017.
Ma le cose sono destinate a cambiare velocemente.
CHROME mette in rilievo chi non ha HTTPS
Il browser Chrome è il primo strumento per comunicare al mondo il cambio di rotta deciso dal colosso di Mountain View. Dalla versione 58 qualora ci si ritrovi su un sito che ha delle form con inserimento dati che possono mettere “in pericolo l’utente vista la loro importanza”, si ha un avviso in alto a sinistra che riporta come il sito non sia sicuro.
Con chrome 62 (in fase di rilascio attualmente, l’avviso sarà esteso a qualunque sito web che abbia una form. A Maggio 2017 infatti agli sviluppatori, nel sito a loro dedicato Search Console, conosciuto ai più con il vecchio nome Google Webmaster tools, è arrivato il messaggio
Passwords and credit cards are not the only types of data that should be private. Any type of data that users type into websites should not be accessible to others on the network, so starting in version 62 Chrome will show the “Not secure” warning when users type data into HTTP sites.
Questo significa che anche un semplice input box per iscrizione alla newsletter porterà avvisi di sicurezza.
Chrome al momento è utilizzato dal 60% degli utenti per navigare nella sua totalità. Ma è anche il browser di default di Android….e la crescita del mobile è inarrestabile (siamo già oltre il 50% delle visiste totali fatte da uno smartphone)…non credo serva dire altro in proposito!
Ma una piccola frase rilasciata nei blog ufficiali mette la parola definitiva sulla questione:
I siti ospitati sotto protocollo HTTPS saranno ritenuti maggiormente affidabili agli occhi del motore di ricerca
Leggiamola in altro modo. I siti che non usano HTTPS saranno penalizzati rispetto a chi lo usa!
Come adottare correttamente HTTPS – HTTP OVER TLS
Quindi cosa fare? Acquistare e installare un certificato TLS ASAP (as soon as possible ovvero prima possibile!) e metterlo sul nostro sito web, anche se si tratta di un blog o una semplice vetrina dell’attività.
Per farlo seguire queste indicazioni
- Decidere il tipo di certificato di cui si ha bisogno: singolo, multidominio SAN o certificato wildcard…tutti con o senza EV
- Usare un certificato con chiave a 2048-bit
- Usare nel codice delle pagine web URLs relativi per le risorse nello stesso dominio sicuro
- Verificare di essere aperti al crawling di HTTPS da parte dei bot dei motori di ricerca usando robots.txt
- Permettere di indicizzare tutto il possibile ai bot e non mettere mai il metatag noindex.
- Qualora si passi un sito da HTTP a HTTPS mettere nella configurazione di apache, ngix o IIS la rewrite da HTTP a HTTPS con regola 301
- Creare in Search Console la proprietà per il sito in HTTPS e seguire i consigli proposti
- Utilizzare HSTS
- Verificare che non siano usciti aggiornamenti su cosa fare e non fare da parte di Google e Microsoft rispetto a quanto esposto qua 🙂
Questa guida non pretende di essere esaustiva…molte altre cose devono essere fatte come attività SEO e per rendere sicuro il nostro sito web. Per ogni cosa che non abbiamo scritto (e ci sarebbe molto ancora da scrivere) o domande contattateci.