BLOG

Protocollo Https Nuova Normativa Google Chrome

Luca Mainieri | | Tempo di lettura: 9 minuti
Protocollo Https Nuova Normativa Google Chrome

Credo sia capitato a tutti, mentre si sta navigando su internet, di addentrarsi in un sito in http non sicuro come quello riportato qui sotto:

Siti_non_sicuri_in_http

Ecco. D’ora in poi, se navigate con Browser Chrome su Internet, nella barra superiore sinistra della URL di siti web senza protocollo Https comparirà questa icona, marchiandoli come siti non sicuri:

Siti_sicuri_Protocollo_Https

La nuova Normativa di Google Chrome

Ce lo dice la nuova Normativa di Google Chrome che, tempo fa, riportava la notizia che ci sarebbe stato un vero e proprio avvertimento agli utenti che, a partire da Gennaio 2017, utilizzavano il suo Browser, Chrome su un sito non sicuro in protocollo Http. Questo segnale sarebbe comparso nel momento in cui all’utente veniva richiesto l’inserimento di dati di login, come quelli relativi ai pagamenti, con protocollo di comunicazione non cifrato Http.
In questi giorni la novità è stata resa nota su “Google Search Console”, e, i cambiamenti relativi alla presenza del protocollo sicuro https, saranno inseriti nella “Release 56” e nelle seguenti di Chrome. L’introduzione del protocollo non è obbligatoria, ma potrebbe diventarlo se non si vuole rischiare che il proprio sito sia marchiato come non sicuro.
L‘annuncio ha un peso rilevante, poiché Chrome, con una percentuale pari al 53%, è sicuramente uno dei Browser più utilizzati, ed è responsabile di più della metà delle pagine web che vengono visualizzate sull’intero pianeta (considerando le visualizzazioni da desktop, tablet e mobile).

Protocollo_Https_Normativa

In realtà, già nel 2015, Google aveva comunicato la volontà di migliorare il posizionamento e la popolarità sui motori di ricerca dei siti web che fornivano una connessione protetta attraverso l’https, con l’obiettivo primario di incrementare la sicurezza e la privacy degli utenti che navigano sul web e, promuovendo l’utilizzo di connessioni sicure.

Il protocollo https, infatti, ha un grado di sicurezza maggiore rispetto al http. Con il primo, le comunicazioni tra pc dell’utente e server web sono salvaguardate da possibili attacchi, come il famoso “man in the middle”, un attacco consistente nel riprodurre o modificare la comunicazione tra due parti, convinte di comunicare direttamente tra di loro.
L’Https ti offre la cifratura bidirezionale delle divulgazioni tra client e server, offrendoti una tutela maggiore. Lo scopo di Google, è quello di portare gli sviluppatori di siti, dove è richiesta una password o altri dati sensibili, a migrare verso il protocollo https per la creazione di una connessione protetta.
La differenza nella connessione a una pagina https rispetto a una semplice http, sta nel fatto che qualsiasi informazione che viene diffusa mentre ci si collega, transita tramite il “Secure Sockets Layer” (SSL) o il suo successore, il “Transport Layer Security” (TLS).

Su Google Chrome, è possibile controllare la sicurezza di un sito in maniera semplice.  Sicuramente avrete notato quando navigate sul web, il lucchetto verde che compare a sinistra dell’URL di un sito. Il lucchetto segnala l’affidabilità del sito in riferimento alle informazioni dell’utente, ed è un segnale di riservatezza che incrementa molto la fiducia del cliente. In aggiunta, se clicchi sul lucchetto e vai su “Dettagli”, puoi avere informazioni aggiuntive utili, per esempio se l’identità del sito è stata accertata, ossia se il sito possiede la certificazione SSL.

Protocollo Https_esempio_Neting

Se il sito web ha una certificazione valida, il server del sito mostrerà il certificato a quel browser (una semplice lista di distributori di certificati attendibili) e non succederà nulla di peculiare. Avere un “Certificato valido” vuole dire che si è potuta verificare l’identità del server del sito su cui l’utente vorrebbe entrare.

Il Certificato Elettronico

Il Certificato di cui stiamo parlando è un vero e proprio documento sottoscritto elettronicamente, e rappresenta l’impegno tra una pagina web e un certo distributore che ha riconosciuto la sua identità. Il Certificato riporta la firma algoritmica, il periodo di validità e tutte le informazioni del distributore di quel certificato.
Il rilascio del Certificato può avvenire solo tramite le “Certificate Authority”(CA), “Autorità Certificate”, particolari enti pubblici o privati che sono abilitati a rilasciare i certificati digitali utilizzando procedimenti uniformi a direttive specifiche in materia.

Processo_Certificazione_SSL

Cosa significa Https?

Partiamo da principio.
Il termine “http” significa, in inglese, “HyperText Transfer Protocol”, ed è un semplice protocollo di trasferimento di dati tra server, utilizzato come strumento per il trasferimento di informazioni sul web.
Il termine “https” invece, letteralmente “HyperText Transfer Protocol over Secure Socket Layer”, indica un sito web a cui hanno unito un “SSL”, infatti “http” definisce il sito web, mentre la “S” alla fine, indica che il sito possiede un certificato SSL.

Vi chiederete cosa significano SSL e TLS?

Sono entrambi protocolli crittografici utilizzati nel campo delle telecomunicazioni per sviluppare una trasmissione protetta tra la sorgente e il suo destinatario.
Oggi “TLS” prende il posto di “SSL” che è il nuovo nome del protocollo aggiornato. I termini sono l’acronimo in inglese di “Trasport Layer Security” e “Security Socket Layer”, e si riferiscono a un protocollo che ha il compito di salvaguardare le divulgazioni che avvengono tra un certo browser e un server, ad esempio codificando le informazioni scambiate dagli utenti.
A volte, infatti, i dati sensibili all’interno del server possono essere intercettati da veri e propri hacker, nel trasferimento che avviene tra browser e server.
Il protocollo SSL riesce a criptare le informazioni prima del fatidico trasferimento, e li rende interpretabili solo da parte di un server che ha installato il giusto protocollo SSL.
E’ necessario sottolineare che il “Certificato Digitale” di cui abbiamo parlato prima non coincide con il “Protocollo Crittografico SSL”. Il “Certificato Digitale” utilizza il “Certificato SSL” ma, di fatto, non sono la stessa cosa.

E’ quindi ovvio che tutti i siti che richiedono informazioni sensibili agli utenti, come per esempio, i siti E-commerce, dove si necessitano dati personali per compiere pagamenti, debbano avere il protocollo sicuro https.

Dati che rientrano in questa tipologia, tutelati con protocollo SSL sono ad esempio:

  • Moduli per la registrazione
  • qualsiasi informazione sensibile utile per il pagamento: coordinate bancarie o numero di carta di credito
  • dati di registrazione: nomi, indirizzi, numeri di telefono, e-mail
  • dati di accesso e login: nome utente, indirizzo e-mail, password
  • documenti privati caricati dai clienti

I vantaggi nell’utilizzo di https e del protocollo SLL sono svariati.
Prima di tutto, la possibilità di avere una protezione elevata dei propri dati, e, in generale, assicurare una buona tutela ai propri clienti. Inoltre, una diminuzione drastica del pericolo di furto o abuso di dati sensibili, che si potrebbe correre con l’http. Infine, un miglioramento a livello di ranking del sito, essendo un fattore SEO che influenza il posizionamento del sito web sui motori di ricerca.

HTTPS come Fattore SEO di Ranking

Parlando di protezione di dati sensibili, nel 2015, Matt Cutts, CEO di Google, aveva annunciato che si stavano prendendo provvedimenti per includere il protocollo SLL all’interno dell’algoritmo di Google che definisce il posizionamento dei siti web.
Con questo, intendeva dire che, se il tuo sito avesse un protocollo https, sicuramente Google lo noterebbe e potrebbe anche migliorare la posizione del sito sul web, incidendo sul Ranking SEO.
Questo discorso risaliva a due anni fa, quando il Comunicato di Google riportava:

“..Stiamo operando affinché  Internet sia più tutelato su vasta scala. In base a questo ragionamento, vogliamo essere sicuri che tutti coloro che accedono a siti internet attraverso Google siano al sicuro.”

E continuava:

“Abbiamo iniziato a usare HTTPS come fattore di ranking. Per ora è solo un segnale basso, che influenza meno dell’1% delle ricerche globali…Ma più avanti, potremmo decidere di rafforzarlo, perché ci piacerebbe incoraggiare tutti i proprietari di siti web a passare da http a https per aumentare la sicurezza sul web”.

Sembra che questo momento sia ormai giunto, in base alla nuova normativa che Chrome ha presentato proprio a Gennaio 2017.

Come passare a Https e SSL: i passi fondamentali

In base al motto di Google, “Https Everywhere”, è necessario definire i punti fondamentali per compiere questo passaggio fondamentale.
Se il tuo sito è già in https, e hai fatto i compiti a casa, ti offriamo uno strumento interessante per ispezionare la configurazione e il livello di sicurezza del tuo sito. Qualitys SSL Labs ti permette di fare una profonda analisi della configurazione del tuo server web SSL su Internet.

Qualys_SSL_Labs

Altrimenti, se sei ancora in http, e devi compiere questa migrazione, ti consigliamo una Guida SEO e checklist operativa per il passaggio da HTTP ad HTTPS da effettuare.

Acquistare una Certificazione SSL

Sicuramente, prima di tutto, devi acquistare un Certificato SSL, necessario per la sicurezza del tuo sito.

Il Certificato SSL è, in concreto, una carta d’identità per il tuo sito web. Come già detto, la “Certificate Authority”, è l’ente ufficiale predisposto per il rilascio del certificato. I certificati sono posti sul server, e, ogni volta che l’utente entra in un sito web in Https sono richiamati.
Possono esistere diverse classificazioni di certificati, differenti per tipologia:

  • Certificato SSL Domain Validated (DV): Tipologia di certificati con livello di autenticazione più basso. In questo caso, la CA controlla solo che la persona interpellata abbia effettivamente il dominio corrispettivo per il quale vorrebbe avere il certificato apposito. I dati aziendali non sono controllati durante il processo di verifica, quindi, in realtà, rimane comunque un rischio parziale. E’ il più veloce da ottenere e anche il più consigliato. Solitamente sono certificati consigliati per siti web in cui l’affidabilità passa in secondo piano e non compare nessuna possibilità di raggiro.
  • Certificato SSL Organization Validated (OV):
    Questa seconda tipologia è più sicura rispetto alla prima. La sicurezza sta nel fatto che la CA non controlla solo l’appartenenza esatta del dominio, ma anche i dati dell’azienda, e le informazioni accertate sono visibili dagli utenti sul sito, aumentandone l’attendibilità.  L’”Organization Validated” è più caro del primo, ma ha un livello di protezione maggiore, solitamente, però, non viene utilizzato per siti web dove si fanno transazioni con informazioni rilevanti
  • Certificato SSL Extended Validation (EV): Sicuramente, il certificato con il livello di protezione maggiore. I vari dati aziendali sono analizzati in maniera minuziosa con regole severe. Questo controllo assicura all’azienda in questione il livello di tutela più elevato, fortificando l’attendibilità del sito web.  Noteremo subito se un sito sta adoperando questa tipologia di certificato, infatti, osserveremo la barra degli indirizzi di colore verde, la “green bar”. Se la barra sarà di colore verde, il sito è convalidato con l’estensione del processo di validazione. Oggi, i browser a elevata sicurezza sono tanti, tra cui, Microsoft Internet Explorer 7+, Opera 9.5+, Firefox 3+, Google Chrome, Apple Safari 3.2+ e iPhone Safari 3.0+. Questa certificazione ha il costo più elevato tra i certificati ed è sicuramente adatto a siti che necessitano l’utilizzo di pagamenti e carte di credito.
Certificato_SSL_Extended_Validation
Certificato_SSL_Extended_Validation

Installazione del Certificato sul Server

Ora non rimane che installare il certificato SSL sul server. Esistono molti fornitori di servizi di hosting che possono compiere questo lavoro. E’ possibile, senza problemi, attraverso l’”Area Clienti” allargare il pacchetto hosting disponibile inserendo un certificato SSL, in alcuni pacchetti addirittura è compreso. Per l’installazione, sono necessarie le procedure che di solito ti vengono date dal fornitore. Per sviluppare una buona installazione è necessario tenere conto di possedere i certificati corretti, la cifratura corretta e la configurazione giusta del server.

Se non sei pratico del settore sarebbe consigliabile rivolgersi ad un’ Agenzia SEO adeguata, altrimenti, se sei autonomo, ti consiglio di consultare la guida Google che può esserti d’aiuto per questa pratica. A coloro che vogliono migrare da http a protocollo sicuro https, è necessario che ricordino alcuni passaggi importanti.

Evitare certificati scaduti

Un certificato SSL scaduto, può comportare una notifica spiacevole nella finestra del browser e quindi l’obiettivo (comunicare al cliente una certa fiducia) scompare del tutto.

Immettere un reindirizzamento valido

Per sottrarsi da un contenuto duplicato, è necessario che lo sviluppatore faccia un reindirizzamento attraverso il Redirect 301, così da evitare la possibilità che Google o altri motori di ricerca possano stimare la pagina in http e quella in https come due contenuti differenti.

Adattare gli Account Pubblicitari

Se vengono introdotti contenuti non cifrati come script o foto, in un sito con protocollo https, nel momento in cui la pagina viene aperta, viene mostrato un messaggio di notifica irritante da cui l’utente appare disorientato. Questo è importante specialmente negli annunci pubblicitari poiché spesso la pubblicità è trasmessa in gran parte non cifrata. Per questo gli account pubblicitari devono essere sistemati.

Configurare Webmaster Tools e Google Analytics

Dobbiamo considerare l’Http e l’Https come due siti diversi, quindi è necessario che l’opzione Https sia riportata dopo la migrazione anche su Search Console.

Aggiornare la Sitemap XML

Oltre alla registrazione, anche la Sitemap del sito dev’essere aggiornata e collocata su Google Search Console.

Aggiornare il file robots.txt

La sitemap è sicuramente catalogata sul file robots.txt. Controlla, quindi, che il file robots sia puntato alla tua Sitemap aggiornata al sito in https.

Controllare i link interni ed esterni

E’ importante che dopo la migrazione a https, sia fatta una modifica a tutti i link esterni e interni. Potrebbe essere richiesto anche un inserimento manuale. Nei link esterni bisognerebbe correggere i link più importanti in https.

Controlla il processo per la proroga alla scadenza

Solitamente un certificato ha una validità annuale o pluriennale, ed è necessario rinnovarlo prima della scadenza, seguendo un processo simile a quello dell’implementazione iniziale. Alcuni certificati hanno una validità di qualche mese e sono gratuiti, solitamente presentano sistemi automatici di riconferma da attivare all’interno della propria rete.

Bene. Il nostro articolo è terminato. Non vi rimane che compiere il passaggio verso il protocollo sicuro https per una buona connessione, a meno che non l’abbiate già fatto, nel caso state tranquilli. Se vi trovate in difficoltà nel farlo, contattateci!Vi aiuteremo ad effettuarlo nel minor tempo possibile! Intanto…buona migrazione efficace a tutti!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

CHIEDI AGLI ESPERTI

Contatta un Consulente

Giovani, dinamici e preparati. I consulenti di Neting sono a disposizione per una consulenza gratuita. Contatta ora il Team e inizia a svliuppare la tua strategia online.

contatta il team

Potrebbe interessarti: