Perché il protocollo HTTPS: prima parte

Un numero crescente di siti appare preceduto dalla sigla https. Che cosa significa quella “s” in più? Perché è bene che tutti i siti l’abbiano? Per rispondere ai dubbi espressi da molti circa i certificati ssl, proviamo a rispondere ad alcune fra le domande più frequenti che ci vengono rivolte.

HTTPS è un protocollo di comunicazione sicura, che avviene attraverso una comunicazione criptata. Tale criptazione è garantita dal protocollo SSL/TLS (TLS è, semplificando, la versione più recente di SSL).  Questo significa che i dati scambiati sono protetti contro intercettazioni di macchine che si frappongono fra i due soggetti comunicanti (i cosiddetti attacchi del tipo man in the middle)

Chrome dice che il mio sito è insicuro! 

Nella barra indirizzo del browser Chrome già dal 2018 tutti i siti non dotati di criptazione SSL/TLS, in parole povere tutti quelli introdotti da http://, vengono segnalati come non sicuri. Vediamo qui di seguito il perché.

A che cosa serve un certificato SSL/TLS?

Il certificato SSL/TLS è un protocollo di criptazione che garantisce al visitatore che il sito visitato è effettivamente quello a cui volevamo connetterci e non un sito web fasullo legato ad un truffatore.

Ciò comporta 2 conseguenze:

  1. sostanziale, cioè una oggettiva maggiore sicurezza di tutela dei dati che il visitatore del sito fornisce tramite il sito stesso
  2. commerciale, data dal maggiore numero di interazioni che quel sito avrà, dovute alla maggior fiducia ispirata da un sito certificato rispetto ad un sito non certificato.

GOOGLE premia i siti preceduti da HTTPS?

Questa è forse la domanda più ricorrente: un certificato ssl, a parità di tutte le altre condizioni, migliora il posizionamento sui risultati di ricerca Google? Molti vi diranno “sì, certo”. In realtà è vero che Google raccomanda fortemente di dotare il proprio sito di certificato ssl/tls. Tuttavia, in siti da noi osservati che godevano di uno specifico ranking prima di adottare il protocollo https, non si è notato sempre un significativo miglioramento del posizionamento dato dall’implementazione “in sè” del protocollo SSL/TLS. E’ il maggior traffico garantito dalla fiducia che gli utenti accordano a siti dotati di tale tecnologia a fare la differenza. E siccome Google premia i siti che generano più traffico, ecco che si verifica un effettivo miglioramento anche del ranking.

Ma io non faccio e-commerce, perché mi serve l’HTTPS?

Nessun utente di media avvedutezza o di normale esperienza all’uso del web inserirebbe i dati della propria carta di credito in un sito che non utilizzi il protocollo https, ma in realtà nessuno dovrebbe inserire la benché MINIMA informazione personale (ad esempio compilando un form di contatto) in un sito la comunicazione col quale non sia protetta da SSL/TLS. Teoricamente, la semplice navigazione attraverso un sito non protetto potrebbe fornire a malintenzionati informazioni sulla cronologia di navigazione attraverso le quali arrivare alla identificazione dell’utente stesso.

Infatti https significa protezione di tutti i tipi di informazione in transito. Se il nostro sito non vuole perdere i propri visitatori deve fornire loro ogni garanzia circa la sicurezza delle comunicazioni.

Il certificato va pertanto installato perché la sua mancanza è sempre più un messaggio di trascuratezza e scarsa sensibilità per la sicurezza dei dati.

Riassumendo, HTTPS protegge: 

  • il vostro sito, perché l’attività illecita di siti terzi può anche manifestarsi attraverso l’inserimento di banner pubblicitari indesiderati ed elementi che possono creare falle nella sicurezza oppure inserire banner che, anche se non direttamente pericolosi, finiscono per danneggiare l’esperienza utente e quindi allontanarlo. “L’intrusione può verificarsi in un qualsiasi punto della rete, compresi il computer dell’utente, un hotspot wi-fi, un provider hackerato, solo per citarne alcuni” (da Google.com).
  • I vostri utenti, perché ne protegge la privacy. Si noti che la navigazione non protetta potrebbe fornire ad hackers una quantità di dati relativi all’utente tali da consentirne l’identificazione certa.