Sito non sicuro: cosa significa e come risolvere

Sito non sicuro: cosa significa e come risolvere

Sito non sicuro: spiegazione semplice

Se stavi navigando sul web e ti compare l’avviso “sito non sicuro“, è probabile che ci sia un problema a livello di certificato sul sito web che stavi visitando, e per questo il sito non funziona o non può apparire in modo corretto. Questo significa che tu non potrai fare nulla dall’esterno: dovrai agire direttamente sul sito per installare o rinnovare il certificato, a seconda dei casi, oppure dovresti avvisare il webmaster del sito che esiste questo problema. Puoi anche decidere di ignorare il problema, per quanto non sia una cosa in genere consigliabile: ma se ad esempio è un sito di prova o in una intranet o comunque sotto il tuo controllo, puoi accedere facilmente a questa opzione cliccando sul bottone presente nella pagina di errore, e selezionando un’opzione come “prosegui comunque” (varia leggermente da browser a browser).

Cosa fare se appare “sito non sicuro”

Dall’esterno, se non sei il proprietario del sito, non puoi purtroppo fare nulla: puoi eventualmente avvisare il proprietario del sito perchè risolva il problema, ad esempio mandandogli una mail per avvisarlo, oppure puoi più semplicemente riprovare in seguito ad accedere al sito. Prima di riprovarci ricordati di cancellare la cronologia del tuo browser, per evitare di continuare a vedere la vecchia versione del sito.

Ovviamente questo è un problema per i proprietari dei siti, perchè sulla maggioranza dei browser il sito non sarà visibile per nulla. Se sei il proprietario del sito e ricevi la notifica “Questa connessione non è sicura“, devi prendere dei provvedimenti diversi a seconda del tipo di errore che riscontri. Di seguito ho elencato gli errori più comuni, e come risolverli.

Pubblicità

Errore sito non sicuro

L’errore in questo caso è uno dei seguenti, in alcune varianti:

Il certificato non proviene da una fonte attendibile. Codice di errore: MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED (su Firefox)

“La connessione non è privata”, “ERR_CERT_SYMANTEC_LEGACY”, “NET::ERR_CERT_AUTHORITY_INVALID”, “ERR_CERT_COMMON_NAME_INVALID”, “NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM”, “ERR_CERTIFICATE_TRANSPARENCY_REQUIRED” oppure “Errore certificato SSL” (su Chrome)

Questo errore indica che c’è un errore sulla configurazione HTTPS del sito web: a livello pratico questo comporta che le informazioni che comunicate al sito e che il sito vi permette di vedere non sono sicure, per cui il browser (per le proprie politiche di sicurezza interne) impedisce all’utente di vedere il contenuto del sito.

LEGGI ANCHE:  Frequenza di rimbalzo? Ecco tutto quello che devi conoscere

Altro errore comune è il seguente:

Il certificato è scaduto il (data) (…)

Codice di errore: SEC_ERROR_EXPIRED_CERTIFICATE

Questo errore indica che il certificato è scaduto, era valido in precedenza ma nel frattempo è scaduto.

Altro errore ulteriore:

Il certificato non è attendibile in quanto l’autorità emittente è sconosciuta.
Il server potrebbe non aver inviato i certificati intermedi richiesti.
Potrebbe essere necessario importare un certificato radice aggiuntivo.Codice di errore: SEC_ERROR_UNKNOWN_ISSUER

Questo errore indica invece che il certificato è stato firmato in modo scorretto o da un’ente non affidabile. Mentre state testando un sito, potrebbe inoltre capitare questo errore seguente:

Il certificato non è affidabile in quanto auto-firmato.

Codice di errore: ERROR_SELF_SIGNED_CERT

Se il certificato è auto-firmato ed il sito è pubblicamente accessibile sul web, è un problema da risolvere.

Se il certificato è auto-firmato ed il sito è privato o non accessibile sul web (ad esempio si trova in una intranet), è un problema secondario da risolvere e si può anche decidere di ignorarlo.

Altro errore piuttosto comune di cattiva configurazione di HTTPS è questo:

example.com utilizza un certificato di sicurezza non valido.

Il certificato è valido solo per i seguenti nomi: www.example.com, *.example.com

Codice di errore: SSL_ERROR_BAD_CERT_DOMAIN

In questo caso il certificato è stato configurato soltanto in parte, per cui ad esempio sarebbe valido per sito.com ma non per un sottodominio che state visitando come ad esempio blog.sito.com.

Come risolvere il problema del rinnovo o dell’installazione di HTTPS

Su questo sito trovate due guide specifiche per l’argomento con l’uso di Let’s Encrypt:

  1. come installare HTTPS con certificato Let’s Encrypt
  2. come rinnovare HTTPS con certificato Let’s Encrypt

Sito non sicuro: spiegazione più tecnica

Quando con Firefox ci si collega a un sito web sicuro (cioè il cui URL inizia con “https://”), il browser deve verificare che il certificato presentato dal sito sia valido e che la crittografia sia sufficientemente forte per proteggere adeguatamente la privacy dell’utente. Se il certificato non può essere convalidato o se la crittografia non è abbastanza forte, la connessione al sito viene interrotta e viene mostrata una pagina di errore con il messaggio Questa connessione non è sicura:.

LEGGI ANCHE:  Come dimensionare l'hosting per il proprio sito

Un esempio potrebbe essere una schermata del genere.

Storia di questo avviso

Da qualche tempo se il tuo sito non usa HTTPS, Google Chrome lo etichetta come “insicuro”: molti altri browser (quasi tutti) fanno la stessa cosa. Stando ad un post pubblicato sul blog ufficiale di Google Webmaster, a partire da fine gennaio 2017 tutti i siti web che utilizzino form oppure memorizzino password o numeri di carte di credito (pagine di pagamento con inserzione manuale di numero, scadenza e CVC della carta) e non facciano uso HTTPS saranno tutti etichettati come “insicuri”.

Questo si notava fin dall’inizio da un’icona con un lucchetto grigio, a volte barrato, ed una schermata del genere.

Google afferma a riguardo che abilitare HTTPS su tutto il sito sarebbe fondamentale per la sua sicurezza, e diventa un fattore critico nel caso in cui sia richiesto accesso ad informazioni riservate o pagine di login. HTTPS, infatti, riduce le possibilità di subire spoofing o che diversamente i dati in transito sul sito possano essere intercettati da terzi. Al tempo stesso, il certificato permette di stabilire una garanzia “firmata” per i visitatori che il sito è realmente quello che dice di essere, e non un sito truffa o un caso di phishing.

Quanto riportato fa riferimento, in sostanza, ad un passaggio di considerazione di HTTP in chiaro in qualche modo epocale: da fine mese HTTPS (ovvero HTTP criptato e con certificato di autenticazione SSL) sarà considerato in modo preferenziale rispetto ad HTTP in chiaro, in qualche modo “demonizzato” come insicuro. La maggiorparte degli hosting web moderni dispone, per la cronaca, di certificati SSL attivabili su richiesta: a fine mese, per molti siti potrebbe essere opportuno valutare di acquistarli (ad esempio Keliweb e GoDaddy).

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Sito non sicuro: cosa significa e come risolvere

Votato 10 / 10, da 1 utenti