Perchè comprare un certificato SSL per un sito?

Pubblicità

La necessità di attivare SSL potrebbe derivare da una serie di letture sull’argomento, o dalla sensazione che “a naso” sia opportuno farne uso: resta il fatto che questa tecnologia è ancora poco chiara (anche per moltissimi addetti ai lavori). SSL è diventato la prassi per il web soltanto da qualche anno, e prima era un incarico affidato a pochissimo personale specializzato; con l’arrivo di soluzioni HTTPS tipo Let’s Encrypt, per fortuna, questo mondo è diventato totalmente open source e relativamente agevole da configurare, visto che la maggioranza degli hosting web presentano automatismi in grado di configurarlo in modo molto semplice. Ma per SSL a pagamento come funziona, invece? Gli aspetti da considerare sono simili, per certi versi, ma serve sicuramente sapere qualche dettaglio in più. Visto che in molti di noi esiste una certa conoscenza piuttosto vaga sull’argomento, proviamo a fare chiarezza.

Se vuoi scoprire direttamente dove comprare un certificato, clicca qui.

Introduzione a SSL: a che serve?

Il certificato SSL per siti web, servizi di ogni genere (in particolare di pagamento o dove sia richiesta una privacy potenziata) nasce da un’esigenza di ordine pratico: serve a proteggere la connessione HTTP da occhi indiscreti e, al tempo stesso, a limitare la possibilità di incappare in un sito frode. I certificati e l’annesso HTTPS (HTTP con SSL) servono proprio a questo: aumentano la privacy della connessione e rendono meno probabili problemi di furto di identità di un sito, intercettazione delle nostre comunicazioni (in fase di acquisto di prodotti online, ad esempio) e via dicendo. Dal punto di vista di un proprietario di un e-commerce, ad esempio, avere anche solo un certificato SSL gratuito è una bella garanzia agli occhi dei clienti, soprattutto se difficilmente comprerebbero online per paura di essere truffati – HTTPS da’ un grado di sicurezza in più, insomma, tant’è che i browser hanno difficoltà ad aprire i siti web senza SSL, al giorno d’oggi.

Tutto questo “papello” introduttivo già questo basta, nella mia esperienza, a fare diventare vagamente paranoiche le persone, che tendono a spaventarsi senza motivo al pensiero di maneggiare un oggetto che sicuramente non è banale da prendere in considerazione.

Niente panico, comunque: SSL è tutto sommato più semplice di quello che potrebbe sembrare, per quanto la sua implementazione per alcuni servizi web non sia necessariamente roba da dilettanti.

Ma SSL serve per la SEO?

A deviare un pochino (parere personale) il discorso dalla realtà, poi, esiste un celebre comunicato (link) pubblicato da Google nel 2014, che afferma che SSL sia diventato un fattore di ranking lato SEO: questo ha portato molti siti, anche semplici blog che non ne avevano propriamente bisogno, ad utilizzare in massa HTTPS. La sostanza è che nessuno ha capito a cosa serve SSL, e molti addirittura credono che sia solo (cosa che più sbagliata non si può) un ranking factor. Quel comunicato, in cui secondo me si rischia di parlare della cosa sbagliata al momento sbagliato, rischia di degradare SSL ad un fattore SEO come tanti altri, ed alimentare speculazioni indebite senza far capire alle persone quello che davvero è.

SSL serve per la privacy e l’autenticazione del sito agli occhi dei visitatori e dei motori di ricerca, ed è anche (e non certo soprattutto) un fattore di posizionamento (ma molti siti si posizionano lo stesso anche senza SSL, per intenderci).

A cosa serve SSL?

Ricordatevi, quindi, che – a prescindere da quello che possa dire Google, che ne ha dette tante giuste ma ogni tanto sbaglia a porre le cose anche lui – SSL è un modo concreto per incrementare la sicurezza del proprio sito, in tutto il dominio o solo in alcune parti dello stesso.

SSL, ad esempio, serve tipicamente a proteggere la sezione di login di un sito: in questo modo evitiamo che qualcuno possa mettersi in ascolto e vedere la nostra password circolare in chiaro, rubandoci l’accesso. Sulle pagine in sola lettura di un blog, ad esempio, credo abbia molto meno senso attivare HTTPS: pero’ siccome l’ha detto Google si fa bella figura nel farlo, poi magari a breve scopriremo che avevamo capito male e via, tutti a disattivare SSL…

Insomma, SSL non è uno scherzo e va usata con cognizione di causa, non solo perchè ne parla Google o perchè lo dice il nostro SEO di fiducia.

Spiegazione tecnica di SSL

Ti interessa la SEO?

Ecco due strumenti da avere ad ogni costo!


SEMRush SEOZoom

Schematicamente, potremmo vederla in questo modo (immagine di awardspace).

img_ssl_how_it_works_1

Il cliente, cioè noi oppure i visitatori del nostro sito, sono il customer (il computer sulla sinistra): anzitutto viene stabilita

  1. una connessione SSL sicura, nel senso che invece di connettersi direttamente al sito e richiedere i dati della pagina (come avviene con HTTP in chiaro, modello client server). A questo punto il server sicuro del nostro sito risponderà
  2. fornendo un certificato SSL; di norma il browser, o più genericamente uno user-agent (un’app, ecc.) controlla se il certificato è valido, e se è firmato da un terzo di fiducia. Questo è un aspetto tecnicamente fondamentale perchè i certificati SSL più di alto livello (e più costosi) sono quelli in cui c’è un’autorità di fiducia a firmarli. A questo punto il nostro client è pronto
  3. a generare una chiave di criptazione, in maniera automatica e senza richiedere l’intervento del client stesso, e da qui in poi
  4. client e server potranno comunicare in maniera sicura, senza interferenze dall’esterno, senza rischio che i dati vengano intercettati e con la certezza per il client di stare comunicando davvero con il sito che voleva.

A quest’ultimo proposito, infatti, si pensi a quanto sarebbe problematico che un truffatore riuscisse a farsi passare per un sito come Ebay: attacchi del genere succedono davvero, ed ecco perchè SSL è importante soprattutto per i siti di e-commerce che abbiano un elevato numero di visitatori, che siano molto popolari e che vogliano garantire massima tranquillità e sicurezza ai visitatori.

Quando mi serve usare un certificato SSL?

Tanto per capirci ancora meglio: i certificati hanno senso (di solito) in due circostanze, ovvero quando è necessario certificare, appunto, l’identità di un sito web (Ebay o altro e-commerce: vogliamo essere sicuri di stare comprando o di stare pagando un qualcuno che è davvero chi dice di essere!) e quando ci siano di mezzo pagine di login o autenticazione particolarmente critiche. Possono esistere casi ulteriori, ovviamente (pensate ad un medico che scarica documenti sullo stato di salute dei propri pazienti, ad esempio), ma per gli scopi di questo articolo – far capire di cosa parliamo ad un principiante – va benissimo pensare solo a questi due.

Dopo tanti anni nel settore, in cui peraltro i certificato SSL poche volte personalmente mi sono stati richiesti da qualche cliente, a riprova del fatto tutt’altro che ovvio che se non capisci una tecnologia, resterai sempre indifferente e non sarà facile farti cambiare idea. I siti su cui lavoravo non la richiedevano, eppure secondo me servirebbe davvero capirci qualcosa in più, perché avere un certificato per un sito è importante: lo è in particolare quando vogliamo essere sicuri dell’identità di un sito web.

Pensate al vostro conto in banca, che gestite quasi certamente online: ovvio che non vi farebbe piacere connettervi ad un sito clone, che si presenta in tutto e per tutto come quello della vostra banca, e che invece è solo un portale di truffatori che vi ruba le credenziali (ci sono truffe online realmente basate su quest’idea, per inciso). Un certificato SSL ha tra l’altro la nobile funzione di “accreditare” ufficialmente l’identità di un sito, o di un’entità generica su internet: ovvio che l’ente accreditante deve essere a sua volta autorevole, altrimenti se “Pinco Pallo” emette certificati e li mette in giro non potranno mai avere la stessa sicurezza di, per dire, enti famosi accreditati un po’ da tutti. Al tempo stesso, di norma i certificati digitali sono venduti per proteggere le transazioni delle vostre pagine web, ma vengono utilizzati ad esempio anche dalla posta certificata, dai meccanismi di firma digitale e via dicendo: le applicazioni sono davvero sconfinate.

All’atto pratico, acquistare un certificato SSL può essere necessario per garantire una riservatezza alla comunicazione (mediante protezione HTTPS) ed al tempo stesso dare la certezza, nel senso specificato poc’anzi, ai vostri visitatori che il vostro sito è davvero chi dice di essere: ovviamente questo ha senso solo in determinati scenari, e dovrebbero essere dei consulenti esperti a capire quando servono e quando invece rischino di essere solo superflui.

Ovvio che il certificato digitale non è la certezza assoluta in fatto di riservatezza (la sicurezza informatica assoluta non credo esisterà mai), quindi non dovremmo mai cullarci sull’idea di sicurezza che trasmette, ed anch’esso – potrebbe essere utilizzato in modo fraudolento (come si spiega su firmadigitalefacile.it, ad esempio). Resta il fatto che un certificato SSL è indispensabile per un sito al fine di instaurare una sorta di rapporto di fiducia, oltre che essere necessario nella trasmissione e ricezione di dati bancari, carte di credito e così via.

Come procurarsi e comprare un certificato SSL?


Andiamo al sodo, finalmente: se pensate di aver bisogno di SSL o che sia necessario al vostro sito o alla vostra azienda, potete prendere in considerazione sia l’italiana Keliweb (azienda di hosting web che offre anche certificati SSL, oltre ad hosting e domini) che GoDaddy , entrambe a vari livelli (ad esempio DV, OV ed EV: scopri qui che sono e in cosa differiscono) che possono proteggere uno o più siti web a scelta, ma molti altri hosting offrono un servizio altrettanto valido.

(L’immagine è tratta da Pixabay, mentre il video è tratto dal film Predator)

 

0 voti