Hosting HTTPS: tutto quello che dovresti conoscere

Hosting HTTPS: tutto quello che dovresti conoscere

L'esplosione del fenomeno HTTPS si sta notando eccome: tutti stanno parlando di questa tecnologia, sui vari siti e riviste del settore, e molto si sta investendo in pubblicità, nelle mail e negli articoli tematici che si stanno pubblicando a raffica sull'argomento. HTTPS, piaccia o meno, sembra destinato a diventare presto uno standard del web come lo è stato HTTP, e prevedibilmente potrebbe rimpiazzarlo completamente nei prossimi anni. Il suo scopo è quello di aumentare il livello di sicurezza delle pagine web, e dare una maggiore garanzia (per quando indiretta e da verificare, in certi casi) dell'affidabilità di un sito web. Google tende a vederla come una discriminante per la sicurezza del sito web, ed è ovvio che questo è particolarmente valido nel caso in cui abbiate un sito di e-commerce - tipologia di siti per cui i certificati SSL dovrebbero, di fatto, essere comunque obbligatori.

La necessità di acquisire un certificato SSL emerge da due considerazioni fondamentali: la prima è legata al fatto di voler garantire l'identità del proprio sito web, la seconda è legata al voler ridurre il numero di possibili intercettazioni dei dati riservati che transitano sul proprio sito. Dal punto di vista degli hosting, per rispondere a questa rinnovata esigenza, negli ultimi tempi stanno uscendo fuori moltissimi servizi che supportano HTTPS, sia con certificati a pagamento che con soluzioni gratuite. Cliccando sul link che ho appena inserito sarà possibile visionare una lista aggiornata delle migliori offerte di hosting HTTPS, anche se c'è da specificare che la maggiorparte degli hosting già dispone della possibilità di passare gratuitamente con i propri siti ad SSL: ad esempio, sfruttando certificati gratuiti come Let's encrypt, cosa che molti web hosting stanno già mettendo a disposizione dai cPanel e dai Plesk degli utenti.

HTTPS si può avere (a volte) gratis. La prima cosa da sapere, per chi volesse resettare la propria conoscenza in merito e ripartire da zero, è che si può attivare HTTPS sul proprio sito senza costi aggiuntivi, il che sarà probabilmente uno dei modi più diffusi per configurare un certificato SSL come suggerito, del resto, da tempo da Google stessa. Se già utilizzate un servizio di hosting, in sostanza, come prima cosa se volete passare ad SSL / HTTPS - conviene chiedere direttamente a loro se dispongano della possibilità di fornire certificati ai propri clienti. C'è la possibilità che vi offrano un certificato SSL gratis, ma questo non è sempre vero e comunque dovreste prepararvi ad affrontare la spesa, in prospettiva, che può andare (a seconda dei casi e delle offerte) dalle 100 alle 300 euro in più all'anno. Ricordatevi, comunque, che non tutti i certificati sono uguali (i più costosi sono quelli che "si presentano meglio" ai visitatori) e che SSL è la tecnologia che fa muovere HTTPS, anche se i due termini SSL / HTTPS vengono spesso usati (impropriamente) come se volessero dire la stessa cosa.

Quando e perchè usare SSL. Da un punto di vista prettamente tecnico HTTPS sarebbe necessario solo sulle pagine in cui transitano dati riservati (ad esempio, le pagine di pagamento) ed è tuttora aperta la discussione sul fatto che debba essere utilizzato per i siti in WordPress in "sola lettura", come spiegato per esteso in questo articolo che ho pubblicato giorni fa. Comunque stiano le cose, è un dato di fatto che Google Chrome stia notificando ai visitatori quando un sito non disponga di HTTPS e certificato, come potrete notare anche su questo stesso sito (la notifica è "neutra", in realtà, cioè viene vista come una mancanza che non compromette la navigabilità o l'utilizzo del sito web).

Cosa bisognerà fare tecnicamente. Il passaggio ad HTTPS non è indolore (spiace dirlo, ma è così) e, anzi, richiede più di una competenza tecnica da mettere in gioco: in un sito web medio che utilizza già di suo redirect 301/302, ad esempio, sarà necessario prevedere un ulteriore redirect da HTTP a HTTPS: se non lo facciamo, le pagine non saranno più reperibili, potrebbero dare errori lato server, non essere visibili sui browser e così via.

Un possibile scenario, abbastanza semplice, potrebbe quindi essere il seguente:

http://miosito.it/pagina.html ----> https://miosito.it/pagina.html

ma anche cose più complesse quali, ad esempio, un doppio redirect: il primo da una pagina obsoleta ad una aggiornata, il secondo da quella aggiornata a quella con protocollo HTTPS!

http://miosito.it/pagina.html ---redirect 301---> http://miosito.it/pagina_aggiornata.html ---> https://miosito.it/pagina_aggiornata.html

Attenzione, quindi, a valutare bene caso per caso. Lo stesso vale nel caso in cui si configuri male un certificato SSL, oppure si utilizzi un certificato scaduto o non riconosciuto come autorevole dai browser (ad esempio un certificato auto-firmato): la pagina di errore o warning è in agguato, e potrebbe (almeno in teoria) ridurre l'impatto dei visitatori sulle proprie pagine. Bisogna documentarsi un po', in sostanza, prima di decidere a passare ad HTTPS, a meno che non abbiate un tecnico già preparato sull'argomento a vostra disposizione. Sono da sempre promotore di un uso consapevole delle tecnologie, e c'è il forte rischio, in questo caso, che la maggiorparte di noi finisca per passare ad SSL per lo scopo o con modi sbagliati.

Una delle tecniche più utilizzate nel passaggio indolore da HTTP ad HTTPS per tutte o parte delle nostre pagine web, dunque, sarà quella di effettuare un redirect da HTTP a HTTPS per garantire la reperibilità del proprio sito per Google e per i visitatori che non sanno che siamo passati in SSL. In questo articolo (Come effettuare un redirect da HTTP a HTTPS), per la cronaca, ho spiegato in modo piuttosto semplice ed accessibile a tutti come fare.

Se hai ulteriori curiosità da soddisfare su SSL / HTTPS, ho preparato una FAQ molto nutrita con molte delle risposte alle domande più frequenti.

Ti piace questo articolo?

7 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Hosting HTTPS: tutto quello che dovresti conoscere

Votato 10 / 10, da 7 utenti