Perchè dovrei comprare un certificato SSL per il mio sito?

Perchè dovrei comprare un certificato SSL per il mio sito?

La necessità di attivare SSL potrebbe derivare da una serie di letture sull’argomento, o dalla sensazione che “a naso” sia opportuno farne uso: resta il fatto che questa tecnologia è poco chiara anche per moltissimi addetti ai lavori. Visto che in molti di noi esiste una certa conoscenza piuttosto vaga sull’argomento, proviamo a fare chiarezza.

Se vuoi scoprire direttamente dove comprare un certificato, clicca qui.

Introduzione a SSL

Il certificato SSL per siti web, servizi di ogni genere (in particolare di pagamento o dove sia richiesta una privacy potenziata) nasce da un’esigenza di ordine pratico: serve a proteggere la connessione HTTP da occhi indiscreti e, al tempo stesso, a limitare la possibilità di incappare in un sito frode. I certificati e l’annesso HTTPS (HTTP con SSL) servono a questo, in breve: aumentano la privacy della connessione e rendono meno probabili problemi di furto di identità di un sito, intercettazione delle nostre comunicazioni (in fase di acquisto di prodotti online, ad esempio) e via dicendo.

Ma già questo basta, nella mia esperienza, a fare diventare paranoiche le persone, che tendono a spaventarsi senza motivo oppure a reagire come nel celebre film “Predator“.

Niente panico, quindi: SSL è tutto sommato più semplice di quello che potrebbe sembrare, per quanto la sua implementazione per alcuni servizi web non sia necessariamente una roba da dilettanti. A deviare ulteriormente il discorso dalla realtà, poi, esiste un celebre comunicato (link) pubblicato da Google nel 2014, che afferma che SSL sia diventato un fattore di ranking lato SEO: questo ha portato molti siti, anche semplici blog che non ne avevano propriamente bisogno, ad utilizzare in massa HTTPS. La sostanza è che nessuno ha capito a cosa serve SSL, e molti addirittura credono che sia solo (cosa che più sbagliata non si può) un ranking factor. Quel comunicato, in cui secondo me si rischia di parlare della cosa sbagliata al momento sbagliato (beninteso che non c’è nulla di male a fare article marketing indiretto, come credo abbia fatto Google in quell’occasione), rischia di degradare SSL ad un banale fattore SEO come tanti altri, ed alimentare speculazioni indebite senza far capire alle persone quello che davvero è.

A cosa serve SSL?

Ricordatevi, quindi, che – a prescindere da quello che possa dire Google, che ne ha dette tante giuste ma ogni tanto sbaglia a porre le cose anche lui – SSL è un modo concreto per incrementare la sicurezza del proprio sito, al limite anche solo su alcune pagine mirate, e non è una fesseria astratta come potrebbe essere un title in corrispondenza con la chiave di ricerca. SSL, infatti, serve tipicamente a proteggere la sezione di login di un sito: in questo modo evitiamo che qualcuno possa mettersi in ascolto e vedere la nostra password circolare in chiaro, rubandoci l’accesso. Sulle pagine in sola lettura di un blog, ad esempio, credo abbia molto meno senso attivare HTTPS: pero’ siccome l’ha detto Google si fa bella figura nel farlo, poi magari a breve scopriremo che avevamo capito male e via, tutti a disattivare SSL… Insomma, SSL non è uno scherzo e va usata con cognizione di causa, non solo perchè ne parla Google o perchè lo dice il nostro SEO di fiducia.

Spiegazione tecnica di SSL

Schematicamente, potremmo vederla in questo modo (immagine di awardspace).

img_ssl_how_it_works_1

Il cliente, cioè noi oppure i visitatori del nostro sito, sono il customer: anzitutto viene stabilita (1) una connessione SSL sicura, nel senso che invece di connettersi direttamente al sito e richiedere i dati della pagina (come avviene con HTTP in chiaro, modello client server). A questo punto il server sicuro del nostro sito risponderà (2) fornendo un certificato SSL; di norma il browser, o più genericamente uno user-agent (un’app, ecc.) controlla se il certificato è valido, e se è firmato da un terzo di fiducia. Questo è un aspetto tecnicamente fondamentale perchè i certificati SSL più di alto livello (e più costosi) sono quelli in cui c’è un’autorità di fiducia a firmarli. A questo punto il nostro client è pronto (3) a generare una chiave di criptazione, in maniera automatica e senza richiedere l’intervento del client stesso, e da qui in poi (4) client e server potranno comunicare in maniera sicura, senza interferenze dall’esterno, senza rischio che i dati vengano intercettati e con la certezza per il client di stare comunicando davvero con il sito che voleva.

A quest’ultimo proposito, infatti, si pensi a quanto sarebbe problematico che un truffatore riuscisse a farsi passare per un sito come Ebay: attacchi del genere succedono davvero, ed ecco perchè SSL è importante soprattutto per i siti di e-commerce che abbiano un elevato numero di visitatori, che siano molto popolari e che vogliano garantire massima tranquillità e sicurezza ai visitatori.

Quando mi serve usare un certificato SSL?

Tanto per capirci ancora meglio: i certificati hanno senso (di solito) in due circostanze, ovvero quando è necessario certificare, appunto, l’identità di un sito web (Ebay o altro e-commerce: vogliamo essere sicuri di stare comprando o di stare pagando un qualcuno che è davvero chi dice di essere!) e quando ci siano di mezzo pagine di login o autenticazione particolarmente riservate. Possono esistere casi ulteriori, ovviamente (pensate ad un medico che scarica documenti sullo stato di salute dei propri pazienti, ad esempio), ma per gli scopi di questo articolo – far capire di cosa parliamo ad un principiante – va benissimo pensare solo a questi due.

Dopo tanti anni nel settore, in cui peraltro i certificati SSL poche volte personalmente mi sono stati richiesti da qualche cliente, a riprova del fatto tutt’altro che ovvio che se non capisci una tecnologia, resterai sempre indifferente e non sarà facile farti cambiare idea. I siti su cui lavoravo non la richiedevano, eppure secondo me servirebbe davvero capirci qualcosa in più, perché avere un certificato per un sito è importante: lo è in particolare quando vogliamo essere sicuri dell’identità di un sito web.

Pensate al vostro conto in banca, che gestite quasi certamente online: ovvio che non vi farebbe piacere connettervi ad un sito clone, che si presenta in tutto e per tutto come quello della vostra banca, e che invece è solo un portale di truffatori che vi ruba le credenziali (ci sono truffe online realmente basate su quest’idea, per inciso). Un certificato SSL ha tra l’altro la nobile funzione di “accreditare” ufficialmente l’identità di un sito, o di un’entità generica su internet: ovvio che l’ente accreditante deve essere a sua volta autorevole, altrimenti se “Pinco Pallo” emette certificati e li mette in giro non potranno mai avere la stessa sicurezza di, per dire, enti famosi accreditati un po’ da tutti. Al tempo stesso, di norma i certificati digitali sono venduti per proteggere le transazioni delle vostre pagine web, ma vengono utilizzati ad esempio anche dalla posta certificata, dai meccanismi di firma digitale e via dicendo: le applicazioni sono davvero sconfinate.

All’atto pratico, acquistare un certificato SSL può essere necessario per garantire una riservatezza alla comunicazione (mediante protezione HTTPS) ed al tempo stesso dare la certezza, nel senso specificato poc’anzi, ai vostri visitatori che il vostro sito è davvero chi dice di essere: ovviamente questo ha senso solo in determinati scenari, e dovrebbero essere dei consulenti esperti a capire quando servono e quando invece rischino di essere solo superflui.

Come procurarsi e comprare un certificato SSL?

Se pensate di aver bisogno di SSL o che sia necessario al vostro sito o alla vostra azienda, potete prendere in considerazione sia l’italiana Keliweb (azienda di hosting web che offre anche certificati nelle loro offerte) che GoDaddy , entrambe a vari livelli (DV, OV ed EV) che possono proteggere uno o più siti web a scelta, ma molti altri hosting offrono un servizio altrettanto valido.

Ovvio che il certificato digitale non è la certezza assoluta in fatto di riservatezza (la sicurezza informatica assoluta non credo esisterà mai), quindi non dovremmo mai cullarci sull’idea di sicurezza che trasmette, ed anch’esso – potrebbe essere utilizzato in modo fraudolento (come si spiega su firmadigitalefacile.it, ad esempio). Resta il fatto che un certificato SSL è indispensabile per un sito al fine di instaurare una sorta di rapporto di fiducia, oltre che essere necessario nella trasmissione e ricezione di dati bancari, carte di credito e così via.

(L’immagine è tratta da Pixabay, mentre il video è tratto dal film Predator)

 


Ti piace questo articolo?

4 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Perchè dovrei comprare un certificato SSL per il mio sito?

Votato 8 / 10, da 4 utenti