Il certificato di sicurezza

Tempo di lettura stimato: 4 minuti

Nella tua esperienza sul web avrai sicuramente avuto modo di scontrarti con termini come HTTP, HTTPS, SSL e TLS.
Probabilmente qualcuno ti ha anche messo in guardia sull’importanza dell’avere un sito web dotato di un certificato di sicurezza.

Ma in questo universo fatto di termini, acronimi, crittografia e altre robacce informatiche magari tu fatichi ad orientarti e per questo voglio aiutarti a fare un po’ di chiarezza, senza scendere troppo nel tecnico.

Prima di iniziare voglio però essere sicuro tu abbia chiara una cosa: se il tuo sito non è dotato di un certificato di sicurezza e non fornisce una connessione attraverso protocollo HTTPS, hai un grosso problema che richiede la tua attenzione.

Il protocollo HTTP

Alla base del funzionamento di Internet c’è un protocollo: si chiama HTTP (HyperText Transfer Protocol) e consente la comunicazione tra client e server su internet attraverso lo scambio continuo di richieste (Request) e risposte (Response).

In questo momento il tuo browser (CLIENT) ha appena fatto richiesta (REQUEST) al SERVER su cui è ospitato il mio sito, che ha risposto (RESPONSE) con i contenuti che caratterizzano l’articolo che stai leggendo.

Esattamente come quando, pianificando un viaggio all’estero, inserisci le date, il paese di destinazione e il numero di passeggeri e il sito web in questione ti risponde con i voli plausibili.

Tutte le richieste che fai e le risposte che ottieni navigando su internet sono quindi possibili grazie al protocollo HTTP e grazie ad un server capace di interpretare le tue richieste e fornirti le risposte che stai cercando.

404: Not Found

Sono certo che una volta almeno ti sarà capitato di imbatterti nel notissimo errore 404, navigando su Internet.

404, infatti, è il codice di stato assegnato alla RESPONSE di un SERVER che indica al CLIENT che la risorsa che sta cercando non esiste.

In sostanza tu stai chiedendo una risorsa al server (www.andreacanepa.it/pagina-che-non-esiste) e lui ti sta rispondendo che non esiste, grazie ad un codice di stato 404.

Tipicamente nei siti web si progetta la pagina 404 (quella che appunto si visualizza ogni qualvolta che viene restituito dal server un errore 404), arricchendola di contenuti e possibili strade che possano riportare il visitatore sulla retta via, permettendogli di trovare ciò che sta cercando.

La “sicurezza” del protocollo HTTP

Abbiamo cercato di comprendere – in modo estremamente semplice – il ruolo cruciale del protocollo HTTP all’interno dell’ecosistema Internet.

Senza questo protocollo, infatti, non potresti nemmeno leggere questo articolo (e probabilmente sarebbe il male minore).

Devi sapere però, che nonostante la sua importanza, questo protocollo presenta diversi problemi ed è stato di fatto “superato e sostituito”.

Lo scambio di informazioni attraverso HTTP, infatti, avviene “in chiaro”, ovvero in modo non criptato.

Facendo ad esempio una richiesta all’interno di un sito e-commerce, dove vuoi acquistare un paio di scarpe, i tuoi dati di pagamento viaggiano all’interno del tunnel HTTP tali e quali a come li hai inseriti, fino a raggiungere il server.

richiesta http al server

Questa è una situazione molto pericolosa: se un malintenzionato avesse modo di intercettare richieste e risposte – e questo è più facile di quanto pensi (i famosi attacchi “man-in-the-middle”) – avrebbe modo di violare la tua privacy.

Cosa potrebbe fare il malintenzionato intercettandoti?

Nel “migliore” dei casi sottrarti le informazioni della tua carta di credito, nei peggiori risponderti fingendosi il server o alterare le tue richieste: una situazione non piacevole, credimi.

Per fortuna a questo c’è una soluzione: il protocollo HTTPS.

Il protocollo HTTPS

HTTPS (HyperText Transfer Protocolo Secure) è la versione del protocollo di trasferimento HTTP che funziona attraverso comunicazioni crittografate.

richest tramite protocol https

La crittografia che sta alla base del suo funzionamento, quindi, assolve due principali funzioni:

  1. Impedisce a malintenzionati di intercettare le comunicazioni e violare la privacy degli utenti, rendendo incomprensibili – grazie all’utilizzo della crittografia – i dati che viaggiano nel tunnel tra client e server

  2. Permette l’autenticazione del server che, all’inizio della comunicazione, invia un certificato al client che certifica l’attendibilità del dominio, impedendo possibili frodi

È quindi fondamentale che il tuo sito web sia servito attraverso il protocollo HTTPS.

TLS/SSL

HTTPS non è altro che l’unione tra HTTP e TLS (Transport Layer Security), una tecnologia standard – evoluzione di SSL (Secure Sockets Layer) – che garantisce la sicurezza di una connessione a Internet e protegge i dati sensibili scambiati fra due sistemi.

E’ facile riconoscere i siti che utilizzano TLS (e che sono quindi serviti attraverso HTTPS) grazie alla presenza della stringa https:// e di un lucchetto grigio o verde, affianco all’indirizzo in questione.

lucchetto che indica https

I certificati di sicurezza SSL

Abbiamo capito l’importanza di utilizzare il protocollo HTTPS, caratterizzato dalla presenza della tecnologia TLS (precedentemente chiamata SSL).

È quindi il momento di capire come utilizzare il protocollo HTTPS sul proprio sito, risultato raggiungibile solamente installando un certificato SSL sul proprio web server.

I certificati SSL non sono altro che file abbastanza leggeri che contengono una chiave di sicurezza associata ai dettagli di una specifica autorità di certificazione (Certification Authority).

Per non scendere nei dettagli, immaginiamo la CA come un’autorità di certificazione affidabile (“trusted”), in grado di riconoscere e qualificare se un sito sia autentico o meno.

Esistono diversi tipi di certificato di sicurezza, ognuno adatto ad un certo grado di garanzie e specifico per determinati scopi.

Abbiamo inoltre certificati a pagamento e certificati gratuiti, che vanno rinnovati di anno in anno.

Google e il protocollo HTTP

Ad Agosto 2014 Google ha rilasciato un importante aggiornamento, definendo la presenza di un nuovo fattore di ranking.

I fattori di ranking sono proprio quelli sulla base dei quali il tuo sito viene valutato dal motore di ricerca, al fine di valutarne il posizionamento per determinate parole chiave.

Da quel giorno per Google la presenza di HTTPS è divenuta una di questi fattori: questo significa che, se ne sei sprovvisto, difficilmente riuscirai a lavorare in ottica SEO.

Un altro ottimo motivo per non farti trovare sprovvisto del tuo certificato SSL.

Conclusioni

È inutile girarci intorno: servire il tuo sito web senza utilizzare il protocollo HTTPS è un errore che non puoi permetterti, non volendo di certo mettere in pericolo la tua sicurezza e quella dei tuoi visitatori e volendo concorrere all’interno della pagina dei risultati del motore di ricerca.

Non c’è infatti ragione alcuna per cui, nel 2021, tu stia continuando ad utilizzare HTTP.

Hai bisogno di aiuto?

Se è tua intenzione garantire un’esperienza adeguata e sicura ai visitatori del tuo sito web, installando un certificato di sicurezza sul tuo server web ed iniziando ad utilizzare il protocollo HTTPS, contattami.

Ti chiederò di compilare un brevissimo questionario che mi permetterà di arrivare adeguatamente preparato alla chiamata conoscitiva che avrai la possibilità di schedulare in piena autonomia una volta risposto a tutte le domande.

Sto caricando il tuo questionario..

Torna su