Hosting HTTPS: tutto quello che devi sapere in 10 punti

Hosting HTTPS: tutto quello che devi sapere in 10 punti

L’esplosione del fenomeno HTTPS si sta notando parecchio: tutti ormai parlano di questa tecnologia, dai vari siti e riviste del settore ai forum ed ai gruppi Facebook, ed altrettanto si sta investendo in pubblicità, nelle mail e negli articoli tematici che si stanno pubblicando a raffica sull’argomento. HTTPS, piaccia o meno, sembra destinato a diventare presto uno standard del web come lo è stato HTTP, e prevedibilmente potrebbe rimpiazzarlo completamente nei prossimi anni.

Lo vedremo in 10, semplici punti.

Web Hosting

Che cos’è HTTPS?

HTTPS è il protocollo criptato di HTTP, lo standard usato dal web per inviare e ricevere dati sulle pagine web e su alcuni servizi web ed app per vari dispositivi; tramite un certificato ed una idonea crittografia, trasmette e riceve dati senza rischi e con la certezza che siano inviati al giusto destinatario.

Che vantaggi da’ HTTPS?

Senza scendere in complessi dettagli tecnologici, abbiamo che:

  1. i siti in HTTPS sono più sicuri per gli utenti, per i proprietari e per i clienti del sito stesso;
  2. HTTPS fornisce una protezione contro l’intercettazione dei dati inseriti nei form, nei pagamenti online e nelle transazioni riservate;
  3. HTTPS può anche fare in modo di garantire l’identità del sito che stiamo visitando, in modo da essere certi che stiamo comunicando con una certa azienda e non con un sito di phishing;
  4. se scritti adeguatamente lato frontend, possono sfruttare tecnologie come HTTP/2 e sono quindi più veloci a caricare
  5. in generale l’uso di HTTPS è considerato un fattore di posizionamento su Google abbastanza importante (per quanto, almeno apparentemente, non decisivo e non l’unico da prendere in considerazione)

A che serve HTTPS?

Il suo scopo è quello di aumentare il livello di sicurezza delle pagine web, e dare una maggiore garanzia (per quando indiretta e da verificare, in certi casi) dell’affidabilità di un sito web. Un sito che ne fa uso è decisamente più sicuro di uno che non lo fa: HTTPS ci mette al sicuro da possibilità di intercettazioni quando ad esempio digitiamo username e password di un sito, ma in generale serve ad evitare la possibilità che la pagina web a cui accediamo venga manipolata o sostituita con una di phishing, ad esempio. Google stessa, in termini SEO, tende a vederla come una discriminante per la sicurezza del sito web, ed è ovvio che questo è particolarmente importante nel caso in cui abbiate un sito di e-commerce – tipologia di siti per cui i certificati SSL dovrebbero, di fatto, essere comunque obbligatori. Ad ogni connessione HTTPS si accompagna un certificato che serve, appunto, a dare autenticità al sito a diversi livelli e con diverse “gradazioni”.

Cos’è un certificato?

La necessità di acquisire un certificato SSL emerge da due considerazioni fondamentali: la prima è legata al fatto di voler garantire l’identità del proprio sito web, la seconda è legata al voler ridurre il numero di possibili intercettazioni dei dati riservati che transitano sul proprio sito.

Hosting che danno HTTPS

Dal punto di vista degli hosting, per rispondere a questa rinnovata esigenza, negli ultimi tempi stanno uscendo fuori moltissimi servizi che supportano HTTPS, sia con certificati a pagamento che con soluzioni gratuite. Cliccando sul link che ho appena inserito sarà possibile visionare una lista aggiornata delle migliori offerte di hosting HTTPS, anche se c’è da specificare che la maggiorparte degli hosting, ad oggi, già dispone della possibilità di passare gratuitamente con i propri siti ad SSL: ad esempio, sfruttando certificati gratuiti come Let’s encrypt, cosa che molti web hosting stanno già mettendo a disposizione dai cPanel e dai Plesk degli utenti.

Hosting che danno HTTPS gratis: Let’s Encrypt

HTTPS si può avere (a volte) gratis. La prima cosa da sapere, per chi volesse resettare la propria conoscenza in merito e ripartire da zero, è che si può attivare HTTPS sul proprio sito senza costi aggiuntivi, il che sarà probabilmente uno dei modi più diffusi per configurare un certificato SSL come suggerito, del resto, da tempo da Google stessa. Se già utilizzate un servizio di hosting, in sostanza, come prima cosa se volete passare ad SSL / HTTPS – conviene chiedere direttamente a loro se dispongano della possibilità di fornire certificati ai propri clienti. C’è la possibilità che vi offrano un certificato SSL gratis, ma questo non è sempre vero e comunque dovreste prepararvi ad affrontare la spesa, in prospettiva, che può andare (a seconda dei casi e delle offerte) dalle 100 alle 300 euro in più all’anno. Ricordatevi, comunque, che non tutti i certificati sono uguali (i più costosi sono quelli che “si presentano meglio” ai visitatori) e che SSL è la tecnologia che fa muovere HTTPS, anche se i due termini SSL / HTTPS vengono spesso usati (impropriamente) come se volessero dire la stessa cosa.

I siti in generale ed i blog possono utilizzare Let’s Encrypt senza troppe esitazioni; i siti autorevoli e di grosse aziende dovrebbero, inoltre, fare uso di HTTPS a livello di certificati più costosi, al fine di garantire come specificato all’inizio sia autorevolezza e garanzia di autenticità che sicurezza nella connessione.

Quando e perchè usare SSL

Da un punto di vista prettamente tecnico HTTPS sarebbe necessario solo sulle pagine in cui transitano dati riservati (ad esempio, le pagine di pagamento) ed è tuttora aperta la discussione sul fatto che debba essere utilizzato per i siti in WordPress in “sola lettura”, come spiegato per esteso in questo articolo che ho pubblicato giorni fa. In linea di massima il problema si riconduce alla scarsa perizia con cui la maggiorparte delle persone sta attivando HTTPS, mettendo potenzialmente a rischio il proprio sito o pensandoci esclusivamente in termini di “vantaggi SEO” (salvo poi ritrovarsi con un certificato mal configurato). Da qualche tempo poi si aggiunge un dato importante: è un dato di fatto che Google Chrome stia notificando ai visitatori quando un sito non disponga di HTTPS e certificato, come potrete notare anche su questo stesso sito. La notifica è “neutra”, in realtà, cioè viene vista come una mancanza che non compromette la navigabilità o l’utilizzo del sito web, ma è comunque una notifica che denota una certa trascuratezza (per non dire peggio)  del sito in questione.

Cosa bisogna fare tecnicamente per HTTPS

Il passaggio da HTTP ad HTTPS non è indolore (spiace dirlo, ma è così) e, anzi, richiede più di una competenza tecnica da mettere in gioco: in un sito web medio che utilizza già di suo redirect 301/302, ad esempio, sarà necessario prevedere un ulteriore redirect da HTTP a HTTPS: se non lo facciamo, le pagine non saranno più reperibili, potrebbero dare errori lato server, non essere visibili sui browser e così via. In genere comunque ci sono ottimi plugin per utilizzarlo in modo indolore su WordPress e Joomla! (ad esempio l’ottimo Really Simple SSL), ma è necessario comunque che a monte ne sia stato attivato uno dal vostro hosting (o che comunque ne supporti uno).

Passaggio da HTTP ad HTTPS: esempio pratico

Un possibile scenario, abbastanza semplice, potrebbe quindi essere il seguente:

http://miosito.it/pagina.html —-> https://miosito.it/pagina.html

per tutte le pagine del nostro sito, ma anche cose ancora più complesse quali, ad esempio, un multi-redirect: il primo da una pagina obsoleta ad una aggiornata, il secondo da quella aggiornata a quella con protocollo HTTPS!

http://miosito.it/pagina.html —redirect 301—> http://miosito.it/pagina_aggiornata.html —> https://miosito.it/pagina_aggiornata.html

Una delle tecniche più utilizzate nel passaggio indolore da HTTP ad HTTPS per tutte o parte delle nostre pagine web, dunque, sarà quella di effettuare un redirect da HTTP a HTTPS per garantire la reperibilità del proprio sito per Google e per i visitatori che non sanno che siamo passati in SSL. In questo articolo (Come effettuare un redirect da HTTP a HTTPS), per la cronaca, ho spiegato in modo piuttosto semplice ed accessibile a tutti come fare.

Accortezze nel passaggio ad HTTPS

Attenzione, quindi, a valutare bene caso per caso. Lo stesso vale nel caso in cui si configuri male un certificato SSL, oppure si utilizzi un certificato scaduto o non riconosciuto come autorevole dai browser (ad esempio un certificato auto-firmato spesso usato in fase di sviluppo): la pagina di errore o warning è in agguato, e potrebbe (almeno in teoria) ridurre l’impatto dei visitatori sulle proprie pagine.

Bisogna documentarsi un po’, in sostanza, prima di decidere a passare ad HTTPS, a meno che non abbiate un tecnico già preparato sull’argomento a vostra disposizione; è anche necessario valutare bene che tipo di certificato usare, in base al sito ed alla tipologia dello stesso. Sono da sempre promotore di un uso consapevole delle tecnologie, e c’è il forte rischio, in questo caso, che la maggiorparte di noi finisca per passare ad SSL per lo scopo o con modi sbagliati.

Un caso particolare di cattivo utilizzo di HTTPS è legato al cosiddetto mixed content, che è un improprio mix di HTTP e HTTPS spesso dovuto alla cattiva configurazione di plugin, a theme obsoleti e via dicendo. Se il sito è in HTTPS deve essere interamente in HTTPS, per ogni pagina, script, immagine ed inclusione di frame, altrimenti sarà inutile aver fatto il passaggio ed il lucchetto dei browser non sarà comunque verde. Bisogna fare comunque molta attenzione a come si configura, ed è opportuno farsi aiutare da un esperto a farlo, se non vi si riesce.

Se hai ulteriori curiosità da soddisfare su SSL / HTTPS, ho preparato una FAQ molto nutrita con molte delle risposte alle domande più frequenti.

Ti piace questo articolo?

7 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Hosting HTTPS: tutto quello che devi sapere in 10 punti

Votato 10 / 10, da 7 utenti