Blog

Sito web, Google e certificati SSL/TLS per i siti

La rete si è evoluta e la richiesta in termini di sicurezza è aumentata non solo da parte dell’utente ma da parte degli stessi colossi del mondo IT.

La scelta di Google in termini di sicurezza

La prima mossa di Google, in atto da inizio 2017, è stata quella di penalizzare il ranking dei siti che non adottano un certificato SSL e un protocollo HTTPS. Ma negli ultimi tempi, oltre a penalizzare il Ranking, Google mostra agli utilizzatori del browser Chrome una notifica che indica il sito come non sicuro per la navigazione da parte dell’utente.

Tale modifica ha portato gli altri browser concorrenti (Safari, Microsoft Edge e Mozilla Firefox, solo per citare i più famosi) ad adeguarsi e progressivamente a mostrare il medesimo avviso.
Inoltre, notizie degli ultimi giorni, mostrano come Google sia intenzionato a rincarare la dose bloccando a partire dal 2018 la connessione a siti web contenenti form di iscrizione e non protetti da protocollo Https.

Perchè Google considera un sito non sicuro?

Quando un utente consulta un sito web, dal suo computer invia delle informazioni ad un server remoto: queste informazioni viaggiano nella rete in chiaro e potrebbero essere soggette a manomissioni o intercettazioni.

Fino a che si richiede l’apertura di una pagina web contenente informazioni il tutto è abbastanza irrilevante. I problemi sorgono quando in queste pagine sono presenti form con dati personali e sensibili dell’utente, a partire dai dati anagrafici, fino a dati come credenziali di accesso o sistemi di pagamento.
Ovviamente, uno sniffing, di questi dati non è gradito né da parte dell’utente che naviga ne da parte del titolare del sito.

Cosa fa un certificato SSL?

Come già spiegato, il certificato SSL/TLS non è altro che una garanzia sull’identità del server a cui stiamo inviando delle informazioni dal nostro computer. Esistono certificati diversi sulla base delle esigenze, ad esempio un e-commerce che implica delle modalità di pagamento avrà un certificato differente rispetto a un sito che contiene un semplice modulo per i contatti.

Il Soggetto, ossia l’ente che deve essere certificato, richiede alla Certificate Authority, l’entità che ha emesso e firmato il certificato, un numero seriale del certificato, un identificativo univoco assegnato al certificato nel momento stesso della creazione e utile per tutte le verifiche di validità.

Infatti tutti i certificati hanno una durata, tendenzialmente annuale, indicata da una Data di inizio validità e una Data di scadenza.
Ogni certificato SSL inoltre comprende quella che viene definita la Key Usage, ossia tutti gli scenari possibili in cui il certificato può essere utilizzato e una Extended Key Usage, ossia una lista di applicazioni in cui il certificato può essere applicato.

Infine al soggetto viene data una Public Key, mentre la Certificate Authority sarà in possesso della Firma, ovvero del contenuto del certificato criptato con la chiave privata emessa e che grazie ad un Algoritmo permette di firmare e autenticare il certificato.

Le Certificate Authority non sono altro che entità di terze parti ritenute affidabili nella creazione, emissione e firma di certificati.

Ho il Certificato… e adesso?

Una volta che siete in possesso del Certificato SSL bisognerà configurare il web server adeguatamente per gestire le richieste sulla porta assegnata al protocollo HTTPS, la 443.

Inoltre è importante gestire i redirect di tutti i vecchi URL in HTTP verso il nuovo protocollo HTTPS per non essere penalizzati a livello di indicizzazione Google.

Saranno i browser in maniera autonoma a verificare la validità del certificato e a favorire la naturale navigazione da parte dell’utente.

Se avete altri dubbi, non esitate a contattarci!