Perché ogni sito ha bisogno di HTTPS

Innanzitutto, cosa significa per un sito usare HTTPS anziché il buon vecchio HTTP? In sostanza ci dice che i dati tra noi e il server viaggiano protetti da SSL (Secure Socket Layer) o dal più recente e affidabile TLS (Transport Layer Security). Se non conoscete o state approfondendo l’argomento, diamo uno sguardo al perché usare HTTPS è così importante.

Quando un utente visita un sito ed usa la versione HTTPS, il vostro browser sta chiedendo al server la versione sicura di quel sito. Detto brevemente, il browser sta controllando l’esistenza di un certificato SSL/TLS per quella connessione. Questo certificato viene garantito da un ente terzo, chiamato Certificate Authority (CA) che fa appunto da garante, dicendo “questo sito è verificato, ed è sicuro”. Solo a questo punto la connessione viene stabilita con successo. La connessione è criptata: nessuno può intercettarla o decodificarla. Anche il vostro ISP, il fornitore della vostra connessione non può: in poche parole può vedere lo scambio di dati tra voi e il server dove risiede il sito, ma non può decifrare il contenuto dei pacchetti dati.

Se il sito accetta connessioni HTTPS, ma non c’è un certificato con un CA a fare da garante, il browser vi avvertirà con un messaggio come questo:

[immagine connessione non sicura]

(Sono sicuro che l’abbiate già visto!) Il browser vi sta dicendo proprio questo: c’è una connessione su protocollo HTTPS ma il certificato non c’è oppure non è garantito da nessuno (o magari è self-signed, cioè auto-generato). Per questo motivo vi invita a non continuare, anche se potreste scegliere di andarecomunque nell’area non sicura.

Adesso che abbiamo un’idea più precisa di cosa accade, andiamo a capire l’importanza di avere un sito protetto da HTTPS. Dovremmo sempre proteggere i nostri siti con HTTPS, anche se non si occupano della gestione di dati sensibili – come per un ecommerce, ad esempio – per diversi motivi.

Posizionamento nei risultati (SEO)

Nel 2014 Google lanciò la campagna HTTPS everywhere con la quale affermò chiaramente che la presenza del protocollo influenza positivamente la posizione del nostro sito fra i risultati di ricerca. Parliamo di qualche anno fa, ma oggi, col senno di poi, possiamo affermare che Google ci è riuscita, dato che l’uso di HTTPS è notevolmente aumentato. Ovviamente non sapremo mai come e quanto ciò incide, non guarderemo mai nell’algoritmo di Google, ma sappiamo che è un indicatore e non vale più la pena essere penalizzati per così poco, non trovate?

Gli utenti si sentono al sicuro

Anche questo motivo ricade nel regno di Google. Secondo un post recente, il browser Chrome a partire dalla versione 56  segnalerà ogni pagina che colleziona dati sensibili (login, registrazione, carte di credito) come non sicura se non è protetta da HTTPS.

Cosa succederà alla confidenza che gli utenti hanno nel nostro sito? Nelle future release probabilmente Chrome segnerà con “Non sicuro” qualsiasi sito non fosse protetto da protocollo HTTPS, così come annunciato anche da Firefox, che segnalerà anche gli stessi campi dei form come non insicuri.

Così, anche se il sito non raccoglie dati sensibili o privati, è una buona scelta installare un certificato SSL per guadagnare la fiducia di nuovi e vecchi utenti.

Gli utenti sono (davvero) al sicuro

Ma l’HTTPS fa molto di più, perché rende realmente sicura la connessione per i nostri utenti. Come abbiamo citato all’inizio di questo articolo, i dati che viaggiano tra utente e server sono protetti e irriconoscibili. Questo vale soprattutto per i form, come quello di registrazione o login, tutto criptato per la massima sicurezza. Una bella garanzia di fiducia che offriamo a chi usa i nostri servizi.

Come iniziare con l’HTTPS

La cosa più semplice ed immediata è acquistare un certificato SSL da installare sul nostro hosting condiviso o dedicato contattando direttamente una compagnia di hosting, come ad esempio il nostro partner b27. Se avete un grosso sito la migrazione può essere un po’ più complesso della semplice installazione, ma non difficile come può sembrare!

Se invece siete utenti esperti e sapete come installare e configurare in autonomia un certificato SSL, Let’s Encrypt può fare al caso vostro: non offre assistenza diretta m vi fornirà gratuitamente un certificato da rinnovare ogni 90 giorni. Per iniziare può andare più bene.