Il tuo sito protetto dagli attacchi: SSL per tutti

Il tuo sito protetto dagli attacchi: SSL per tutti
Tophost a 10,99

Se HTTPS e certificati SSL sono un mistero per te, questa guida cercherà di spiegarti cosa siano (e come funzionino) nel modo più semplice e pratico possibile. La maggiorparte dei siti web, fino a qualche tempo fa – e fino all’esplosione del fenomeno HTTPS everywhere (promosso da Google, tra gli altri) – utilizzava il normale protocollo HTTP per consentire la visualizzazione dei siti web. Ad oggi le cose non stanno più così, ed i siti web che stanno passando su protocollo criptato HTTPS, più veloce e più sicuro, sono sempre più numerosi.

Cos’è SSL?

Quando si parla di SSL, ad oggi, si fa riferimento in realtà alla tecnologia di protocollo crittografico Transport Layer Security (TLS), che è la sua versione più moderna: questo perchè è recentemente uscito fuori che le versioni di SSL (Secure Sockets Layer) v2 e v3 siano insicure ed inadatte per la maggioranza dei siti web.

TLS / SSL consentono una connessione sicure di tipo  mediante internet, offrendo servizi all’utente quali:

  • autenticazione dei dati (garantisce all’utente che l’host a cui siamo connessi sia davvero chi dice di essere, e non ad esempio un sito di phishing);
  • integrità dei dati (garantisce che i dati siano trasmessi correttamente: è fondamentale per le transazioni ed i pagamenti online in genere);
  • cifratura dei dati (fa in modo che le possibilità di intercettare le comunicazione o la transazione siano molto basse, se non nulle).

SSL / TLS viene attivamente utilizzata per sistemi di chat e messaggistica instantanea, browser, email e servizi come il voIP. Il più delle volte la sua applicazione pratica viene denominata HTTPS.

Quando devo adottare HTTPS sul mio sito?

In generale, secondo Google, sarebbe consigliabile far passare qualsiasi sito in HTTPS: ho discusso in più occasioni la mia perplessità in merito, perchè – secondo me, s’intende – la diffusione sconsiderata di HTTP rischia di fare più danni che altro, anche solo perchè è facile configurarla male e lasciarla così per molto tempo senza accorgersene.

Al tempo stesso, pero’, soluzioni gratuite come Let’s Encrypt mettono l’utente al riparo dalla maggioranza dei tipi di errore, e bisognerà solo fare attenzione che l’icona verde che notifica HTTPS nel browser sia effettivamente tale e non di altri colori.

In genere è altamente consigliabile che adottino HTTPS:

  • i siti che presentano una pagina di login o più in generale dei form di submit (modulo contatti, commenti eccetera);
  • i blog (pare che HTTPS sia un fattore SEO, ma non aspettatevi in generale miglioramenti sui ranking di Google solo per esserci passati);
  • i siti di e-commerce, per cui la presenza di HTTPS era obbligatoria anche prima; se non altro, usate gateway di pagamento come PayPal che supportino nativamente HTTPS, in modo che le transazioni siano protette da intrusioni;
  • i siti che trattano dati sensibili degli utenti, come quelli della pubblica amministrazione, dei medici o di chi faccia lead generation o raccolta anagrafiche.

Protocolli HTTP(S): cosa sono?

Un protocollo di internet serve a stabilire le modalità ed i parametri del sistema di comunicazione tra il browser ed il sito che visitiamo, e contiene vari generi di informazioni utili per visualizzare al meglio pagina, e nel minor tempo possibile. Molti siti, a parte quelli più famosi, utilizzavano la connessione di tipo HTTP (acronimo di HyperText Transfer Protocol, cioè protocollo per il trasferimento degli ipertesti) che ha la caratteristica di trasmettere e ricevere in chiaro. Tecnicamente, pertanto, i dati che girano su di essi sono intercettabili, per quanto si tratti di un caso ipotetico in molte circostanze. Tutto dipende dalla circostanza in cui ci troviamo, ma è chiaro che se un terzo riesce ad intercettare le nostre connessioni su HTTP, e visionare ad esempio le ricerche che facciamo, è un problema di privacy non da poco.

In genere, è bene sapere che il browser notifica la presenza di HTTPS su un sito accendendo un’icona con un lucchetto verde.

HTTPS è molto (…molto!) più veloce di HTTP

Vediamo di analizzare HTTPS da un duplice punto di vista: quello della velocità (che molti trascurano, ma che esiste) e quello della sicurezza (senza dubbio più noto, ma spesso frainteso). A livello di velocità, in molti tra i webmaster più avanzati sanno quanto sia importante ridurre il numero di connessioni HTTP sulla pagina, per evitare di rallentare troppo il tempo di caricamento della stessa.

Usando HTTPS semplicemente il problema non si pone più, visto che HTTPS è più veloce di HTTP fino all’85%, come visibile chiaramente sui test online del sito di confronto httpvshttps.com. A livello pratico, ad esempio, 360 chiamate HTTP su una pagina senza l’uso di cache per un totale di 0,62 MB di pagina richiedono fino a 10 secondi in HTTP e solo 1,2 secondi in HTTPS. Attenzione che nel test viene utilizzato il certificato gratuito Let’s Encrypt, per cui già l’uso di un certificato free per SSL / TLS velocizza notevolmente le prestazioni del vostro sito web. Principi analoghi servono a velocizzare il protocollo HTTP/2 proposto da Google, per la cronaca.

HTTPS è più sicuro (ovviamente) di HTTP

HTTP è un protocollo che può essere facilmente intercettato dall’esterno: certo non si tratta di una cosa troppo semplice da effettuare, ma una connessione in chiaro può essere spiata senza che ce ne rendiamo conto e questo, ovviamente, non è un bene. HTTPS cerca di risolvere questo problema fornendo una serie di specifiche di sicurezza apposite, di cui (senza scendere in dettagli troppo tecnici) due risaltano da subito all’occhio: la prima è legata alla “garanzia” (entro certi limiti, ovviamente) che il sito a cui siamo connessi sia davvero chi dice di essere – si vedano i vari tipi di certificati SSL – o che comunque esista una terza parte che garantisce l’autenticità, la seconda è legata all’estrema difficoltà di intercettare una comunicazione client-server non più in chiaro, ma criptata fino a 256 bit.

 

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Il tuo sito protetto dagli attacchi: SSL per tutti

Votato 10 / 10, da 1 utenti