Sempre più spesso succederà di vedere siti con la scritta “questo sito non è sicuro”.
Perché è importante adeguarsi alla normativa e non farsi cogliere impreparati.
Dall’inizio dell’anno Google Chrome (il browser di Google) adotterà una nuova normativa sulla sicurezza e segnalerà come ‘non sicuri’ quei siti che non hanno il certificato SSL/TSL ma prevedono una registrazione da parte degli utenti e l’inserimento di dati sensibili.
Google Chrome è il browser più diffuso ma anche Firefox si sta adeguando a questa normativa.
* dati NetMarketShare:Utilizzo web browser in ambiente desktop – gennaio 2017.
I siti internet normalmente utilizzano un protocollo http*, che permette il trasferimento dei dati sulla rete.
Il protocollo https*, invece, garantisce che il trasferimento avvenga in sicurezza, senza incorrere in furti o corruzione dei dati sensibili*.
Vi state chiedendo come passare dal protocollo http ad https?
È semplice devi avere un certificato SSL/TLS*.
Tutti i siti devono avere il certificato SSL?
La risposta è NO.
Un sito http dovrebbe diventare https quando agli utenti viene offerta la possibilità di registrarsi e lasciare i propri dati.
Molti pensano che sia solo una questione che riguarda i siti e-commerce, ma non è così.
Saranno considerati “non sicuri” tutti quei siti che prevedono uno scambio di dati personali e tutti i siti che richiedono login e password.
Riassumendo, oltre agli e-commerce, anche i siti con area riservata, i blog, etc. saranno etichettati come “non sicuri”.
Di fronte a questo “alert” il rischio che l’utente abbandoni la navigazione è molto alto.
Qual è la procedura da seguire per avere un sito sicuro?
Occorre criptare i dati del sito http tramite un certificato SSL o TLS.
- Richiedere il certificato SSL/TLS.
Il certificato SSL è una sorta di carta di identità di un sito web. L’ente ufficiale che lo rilascia (Certificate Authority – CA), verifica l’identità ed è responsabile della correttezza dei dati. Quando l’utente visita un sito web con https, i certificati SSL vengono depositati sul server e ogni volta richiamati. - Installare e configurare.
- Correggere errori e problemi durante la migrazione.
Durante la migrazione si possono verificare alcuni errori che potrebbero compromettere il posizionamento del sito ma anche il raggiungimento delle pagine stesse.
È buona norma verificare e correggere gli errori che si presentano nella migrazione soprattutto sui link esterni ed interni. - Rinnovare il certificato SSL o TLS prima della scadenza.
Il certificato ha una validità di 12 mesi. Occorre ricordarsi di rinnovarlo prima della scadenza.
GLOSSARIO (per far chiarezza sulla terminologia usata)
*Dati sensibili, protetti con il protocollo SSL, sono ad esempio:
- nome, indirizzo, indirizzo e-mail, numero di telefono;
- indirizzo e-mail e password;
- numero della carta di credito, coordinate bancarie;
- Moduli di registrazione;
- Documenti caricati dai clienti;
*HTTP (Hypertext Transfer Protocol): protocollo di trasferimento di un ipertesto e quindi delle pagine web in internet.
*HTTPS (Hypertext Transfer Protocol Secure): protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra computer e siti.
I dati inviati tramite protocollo HTTPS vengono prodotti tramite il certificato SSL/TLS che fornisce tre livelli di protezione fondamentali:
- Autenticazione: dimostra che gli utenti comunicano con il sito web, prevede autenticazione soltanto dal server verso il client e protegge da attacchi informatici.
- Protezione dell’integrità dei dati: durante il trasferimento i dati non possono essere danneggiati o modificati;
- Confidenzialità: i dati scambiati per essere protetti dalle intercettazioni vengono criptati;
*SSL (Secure Sockets Layer)/ TLS (Transport Layer Security). Le applicazioni che utilizzano questi certificati di sicurezza sono in grado di gestire l’invio e la ricezione di chiavi di protezione e di criptare/decriptare le informazioni trasmesse utilizzando le stesse chiavi.
Riferimenti:
*https://it.wikiversity.org/wiki/Servizi_di_sicurezza_nelle_reti_IP:_IPSec,_SSL,_TLS
*https://support.google.com/webmasters/answer/6073543?hl=it
*https://www.google.com/transparencyreport/https/?hl=it
*https://support.google.com/chrome/answer/95617?hl=it