Il tuo sito è sicuro?

Sempre più spesso succederà di vedere siti con la scritta “questo sito non è sicuro”.

Perché è importante adeguarsi alla normativa e non farsi cogliere impreparati.

Dall’inizio dell’anno Google Chrome (il browser di Google) adotterà una nuova normativa sulla sicurezza e segnalerà come ‘non sicuri’ quei siti che non hanno il certificato SSL/TSL ma prevedono una registrazione da parte degli utenti e l’inserimento di dati sensibili.
Google Chrome è il browser più diffuso ma anche Firefox si sta adeguando a questa normativa.

* dati NetMarketShare:Utilizzo web browser in ambiente desktop – gennaio 2017.

I siti internet normalmente utilizzano un protocollo http*, che permette il trasferimento dei dati sulla rete.
Il protocollo https*, invece, garantisce che il trasferimento avvenga in sicurezza, senza incorrere in furti o corruzione dei dati sensibili*.

Vi state chiedendo come passare dal protocollo http ad https?
È semplice devi avere un certificato SSL/TLS*.
Tutti i siti devono avere il certificato SSL?
La risposta è NO.

Un sito http dovrebbe diventare https quando agli utenti viene offerta la possibilità di registrarsi e lasciare i propri dati.
Molti pensano che sia solo una questione che riguarda i siti e-commerce, ma non è così.
Saranno considerati “non sicuri” tutti quei siti che prevedono uno scambio di dati personali e tutti i siti che richiedono login e password.
Riassumendo, oltre agli e-commerce, anche i siti con area riservata, i blog, etc. saranno etichettati come “non sicuri”.

Di fronte a questo “alert” il rischio che l’utente abbandoni la navigazione è molto alto.

Qual è la procedura da seguire per avere un sito sicuro?

Occorre criptare i dati del sito http tramite un certificato SSL o TLS.

  • Richiedere il certificato SSL/TLS.
    Il certificato SSL è una sorta di carta di identità di un sito web. L’ente ufficiale che lo rilascia (Certificate Authority – CA), verifica l’identità ed è responsabile della correttezza dei dati. Quando l’utente visita un sito web con https, i certificati SSL vengono depositati sul server e ogni volta richiamati.
  • Installare e configurare.
  • Correggere errori e problemi durante la migrazione.
    Durante la migrazione si possono verificare alcuni errori che potrebbero compromettere il posizionamento del sito ma anche il raggiungimento delle pagine stesse.
    È buona norma verificare e correggere gli errori che si presentano nella migrazione soprattutto sui link esterni ed interni.
  • Rinnovare il certificato SSL o TLS prima della scadenza.
    Il certificato ha una validità di 12 mesi. Occorre ricordarsi di rinnovarlo prima della scadenza.

GLOSSARIO (per far chiarezza sulla terminologia usata)

*Dati sensibili, protetti con il protocollo SSL, sono ad esempio:

  • nome, indirizzo, indirizzo e-mail, numero di telefono;
  • indirizzo e-mail e password;
  • numero della carta di credito, coordinate bancarie;
  • Moduli di registrazione;
  • Documenti caricati dai clienti;

*HTTP (Hypertext Transfer Protocol): protocollo di trasferimento di un ipertesto e quindi delle pagine web in internet.
*HTTPS (Hypertext Transfer Protocol Secure): protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra computer e siti.
I dati inviati tramite protocollo HTTPS vengono prodotti tramite il certificato SSL/TLS che fornisce tre livelli di protezione fondamentali:

  • Autenticazione: dimostra che gli utenti comunicano con il sito web, prevede autenticazione soltanto dal server verso il client e protegge da attacchi informatici.
  • Protezione dell’integrità dei dati: durante il trasferimento i dati non possono essere danneggiati o modificati;
  • Confidenzialità: i dati scambiati per essere protetti dalle intercettazioni vengono criptati;

*SSL (Secure Sockets Layer)/ TLS (Transport Layer Security). Le applicazioni che utilizzano questi certificati di sicurezza sono in grado di gestire l’invio e la ricezione di chiavi di protezione e di criptare/decriptare le informazioni trasmesse utilizzando le stesse chiavi.


Riferimenti:
*https://it.wikiversity.org/wiki/Servizi_di_sicurezza_nelle_reti_IP:_IPSec,_SSL,_TLS
*https://support.google.com/webmasters/answer/6073543?hl=it
*https://www.google.com/transparencyreport/https/?hl=it
*https://support.google.com/chrome/answer/95617?hl=it