Usare correttamente i certificati HTTPS per il tuo sito

C’è un gran parlare su SSL e HTTPS in questi mesi, che sta portando i webmaster a migrare il proprio sito in HTTPS tra mille dubbi ed incertezze. Ciò avviene, peraltro, senza pensare alle conseguenze specifiche che tale migrazione comporta. In genere la tendenza è quella di accettare il passaggio ad HTTPS dei nostri siti web in modo passivo, senza valutare in modo attento lo scenario tecnologico che esso implica: uno scenario che non deve spaventare o scoraggiare nessuno, ma che è necessario valutare nella sua interezza.

I dettagli tecnologici dietro i nostri siti in HTTPS non sono banali: da principio, sappiamo che

HTTPS fin dall’inizio serve a due cose fondamentali. Da un lato, garantisce l’identità del server su cui viene installato, e dall’altro fa in modo che la comunicazione tra noi ed il sito rimanga riservata e protetta da intrusioni.

La scelta del certificato SSL / TLS

HTTPS si basa sulla tecnologia Transport Layer Security (TLS), o anche su quella (un po’ più datata) Secure Sockets Layer (SSL), ma anche sulla presenza di opportuni certificati, ovvero protocolli software progettati per garantire la sicurezza delle comunicazioni.

Questo è fondamentale, per intenderci, nell’ambito di un acquisto online da un sito web di e-commerce. Al momento del pagamento, per fare un parallelo nel mondo reale, la presenza di HTTPS ben configurato garantisce:

1) che il pagamento avvenga al riparo da occhi indiscreti, e

2) che il sistema di pagamento (ad esempio il POS) non sia stato manipolato per clonarci la carta.

Tipologie di certificati

Non tutti i certificati sono equivalenti. Quando si acquista HTTPS per il proprio sito, come dovremmo sapere, si tratta di aggiungere un servizio web esterno al nostro sito e configurarlo: per farlo esistono quattro possibilità distinte. A livello base abbiamo i certificati di tipo Domain Validated (DV), che servono a certificare un dominio singolo; una seconda possibilità è offerta dai certificati Domain Wildcard Validated (DVW), che

sono commercialmente molto diffusi e permettono di migrare in HTTPS anche i sottodomini del sito principale. Abbiamo poi i certificati Organization Validated (OV), che rendono autentico non il dominio bensì l’azienda che sta dietro lo stesso. Infine ci sono i certificati Extended Validated (EV) che certificano nel modo più completo (e costoso), ovvero danno al sito HTTPS di massimo livello mediante una validazione vera e propria con firma e contratto. In genere tutti i più importanti web hosting con HTTPS permettono di implementare uno qualsiasi dei quattro certificati, con costi crescenti dalla versione DV (che troviamo anche gratis) a quella OV ed EV (che costano da 100 fino a 300 euro all’anno, in media).

Scegliere un certificato: casi pratici

A questo punto è necessario specificare che la scelta del tipo di certificato è fondamentale: consideriamo tre casi piuttosto tipici.

  • Forum, blogger, portali web e siti di news che volessero passare in HTTPS possono prendere in considerazione il servizio gratuito offerto da Let’s Encrypt, l’interessante iniziativa che riduce drasticamente i costi e rilascia certificati pubblici a livello mondiale, solo di tipo Domain Validation (DV). In questi casi, in effetti, per blogger e siti di notizie non avrebbe molto senso considerare un’alternativa costosa come i domini OV oppure EV, dato che in molti casi non esiste neanche un’azienda vera e propria dietro essi. In genere gli hosting su cui funzionano i vostri siti supportano nativamente questa soluzione (o altre equivalenti).
  • I siti di e-commerce possono sfruttare anch’essi i certificati Domain Validation (DV) per semplicità, per quanto ci possano essere situazioni intermedie in cui sia più opportuno utilizzare certificati Organization Validated (OV), soprattutto per dare più sicurezza al cliente in fase di acquisto, specie se l’e-commerce è fortemente brandizzato (esempio: Ebay o Amazon).
  • I siti web ufficiali delle aziende più grosse, invece, farebbero bene a prendere in considerazione un certificato di tipo OV, o meglio ancora EV, visto che ciò garantirà sulla loro autorevolezza, i clienti saranno sicuri di essere capitati nel sito giusto e, almeno in teoria, anche a livello di visibilità su Google il loro sito sarà visto in modo prioritario nei risultati delle ricerche (se non altro per quanto dice Google stessa almeno dal 2014). Ovviamente quest’ultima considerazione va presa con la dovuta cautela: ammesso che HTTPS sia un ranking signal significativo per la vostra SEO, non è l’unico fattore in gioco, per cui il suo passaggio potrebbe non produrre immediatamente i risultati attesi a livello di motore di ricerca.

Ricordiamoci pure, poi, che l’uso di HTTPS è prima di ogni altra cosa uno standard elevato di sicurezza per i nostri siti web, che può anche contribuire all’immagine del brand senza pensare ad ulteriori conseguenze indirette.

Aspetti tecnici

Per un uso corretto dei certificati, infine, quando si passa da HTTP ad HTTPS sul proprio sito, ricordiamoci inoltre che il redirect da HTTP a HTTPS non è automatico, per cui è necessario prendere le dovute contromisure in merito, ovvero facendo in modo di impostare un redirezionamento 301 da HTTP ad HTTPS (valido, cioè, sia per motori di ricerca che per utenti). Su WordPress e server Apache, sarà necessario sia redirezionare via htaccess che cambiare esplicitamente il prefisso da HTTP ad HTTPS. In caso non fossimo in grado di provvedere a queste operazioni, sarà opportuno affidare l’incarico a chi possa farlo professionalmente.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *