Cosa sono HTTPS ed SSL?

Da qualche tempo i browser hanno stretto la morsa sulla sicurezza indicando come “Non sicuri” tutti i siti web che raccolgono dati sensibili ma non sono fruibili sotto protocollo HTTPS (HTTP Secure). Come si ovvia a tutto questo?

non sicuro browser chrome

Chi gestisce il sito web deve installare un certificato SSL (Secure Socket Layer) sul server e rendere disponibile il sito attraverso connessione sicura.

Cos’è un certificato SSL?

Un certificato SSL è un file di dati che contiene una chiave digitale crittografata che a sua volta contiene i dettagli dell’organizzazione che ha acquistato il certificato e che detiene i diritti su quel determinato nome di dominio. Quando il certificato è installato su un server web esso permette di attivare il protocollo HTTPS e di conseguenza il badge “Sito sicuro” sulla barra degli indirizzi dei browser. Nella sua accezione più generica, un certificato SSL mette assieme un nome di dominio, un server o un nome di host con una organizzazione. Esso dunque certifica che quel sito web appartiene ed è gestito effettivamente da quell’azienda, dunque l’utilizzatore può esser certo di scambiare dati esattamente con chi si aspetta e di scambiarli in maniera criptata. Ogni volta che il vostro browser invierà dati al server dell’azienda con la quale state dialogando, dunque, lo farà utilizzando dati criptati: il numero della vostra carta di credito, la username e la password di accesso, i vostri dati di indirizzo di fatturazione o spedizione, le frasi scambiate in chat: tutto sarà criptato e poi inviato al server (e viceversa).

Tipi di certificato SSL

Esistono diversi tipi di certificato SSL e da esso dipendono caratteristiche e prezzi.

  1. Certificato SSL Domain Validation (DV): l’ente certificatore (Certificate Authority) controlla se chi ne ha fatto richiesta ha i diritti di utilizzare uno specifico nome di dominio. Non vengono fatte indagini sull’identità del richiedente e sul browser non vengono mostrate informazioni aggiuntive se non quelle legate al tipo di crittazione ed al sigillo “Secure Site”.
  2. Certificato SSL Organization Validation (OV): l’ente certificatore controlla se chi ne ha fatto richiesta ha i diritti di usare uno specifico nome di dominio e conduce alcune ricerche (interviste) presso l’organizzazione. Alcune informazioni aziendali di chi ha fatto la richiesta del certificato saranno mostrate sul browser nel momento in cui l’utente clicca sul sigillo “Secure Site” offrendo visibilità circa chi c’è dietro quel sito.
  3. Certificato SSL Extended Validation (EV): l’ente di certificazione controlla che il richiedente abbia i diritti di utilizzare uno specifico nome di dominio e in più conduce un esame completo circa l’organizzazione in base a stringenti linee guida ratificate formalmente nel 2007 dal CA/Browser forum. I passi richiedono:
    • Verifica legale, fisica e operativa dell’esistenza dell’organizzazione
    • Verifica che l’identità dell’azienda corrisponda con i documenti ufficiali
    • Verifica che l’azienda abbia diritto esclusivo di utilizzo del dominio specificato
    • Verifica che l’azienda abbia le autorizzazioni corrette per ottenere il certificato EV SSL

Vantaggi

I vantaggi sostanziali di una connessione sicura, evidenziati in precedenza, permettono di stabilire un collegamento criptato fra browser dell'utente e server. Essi sono accompagnati da ulteriori aspetti positivi che riguardano la psicologia dell'utente che si trova a navigare su quel determinato sito web. La barra degli indirizzi del browser, quando si naviga su un sito via HTTPS, sarà di colore verde.

sito sicuro ssl ov

Dati statistici dimostrano che gli utenti che navigano all'interno di un sito attendibile, ove la barra degli indirizzi mostra tutte le principali informazioni sull'organizzazione ed è di colore verde, portano a termine le operazioni previste dal sito molto più volentieri. Per un sito di ecommerce, ad esempio, questo significa un minor numero di carrelli abbandonati ed una più elevata percentuale di conversione rispetto a siti forniti attraverso connessioni non HTTPS.

Installare il certificato SSL e attivare HTTPS

Le fasi per poter implementare una connessione HTTPS per il proprio sito web sono le seguenti:

  1. Decidere quale certificato sia indicato per il proprio sito web. In genere un certificato SSL DV oppure OV può essere sufficiente per blog, portali e forum, mentre per siti di tipo ecommerce o che raccologono dati molto sensibili è bene utilizzare un certificato SSL EV.
  2. Acquistare il certificato SSL presso una Certification Authority. Ce ne sono tante di autorità che offrono certificati a prezzi diversi. Basta fare una ricerca!
  3. Installare il certificato sul proprio server (i vari pannelli di gestione server offrono scorciatoie in questo senso). Nei prossimi appuntamenti vedremo più nel dettaglio come fare.
  4. Modificare il proprio sito web affinché esso venga fruito attraverso HTTPS invece che HTTP. Tutte le operazioni da fare dipendono ovviamente dal CMS utilizzato e dal webserver. Anche per questo vi aspetto nei prossimi appuntamenti.
Dino Fratelli

Un team di esperti che sa quanto sia importante per i propri clienti avere un'applicazione o un sito web che sia in grado di offrire loro dei vantaggi.

© 2016 Dott. Ing. Dino Fratelli - Realizzazione Software e Siti web a Pescara, Chieti, Teramo, L'Aquila.