“Sito non sicuro”: quando il tuo sito non piace a Google Chrome

Fin dal 2014 Google aveva annunciato di voler intraprendere un percorso di innovazione, mediante il proprio browser Chrome, che portasse idealmente ogni sito Web presente in Internet ad utilizzare il protocollo sicuro https come standard. Naturalmente la notizia non ebbe grande rilievo al di fuori della cerchia degli “addetti ai lavori”, almeno fino a quando non venne annunciato – e arriviamo all’autunno scorso – che da Gennaio 2017 gli aggiornamenti di Google Chrome avrebbero introdotto importanti novità in merito.

Moduli di contatto, login form e supporto https

Premettendo che Google Chrome attualmente ha una diffusione desktop +  mobile stimata attorno al 60% (fonte: Netmarketshare), a qualunque titolare di siti e servizi online, siano essi commerciali o informativi, non può sfuggire che da Gennaio 2017, in presenza di moduli form che richiedano all’utente informazioni sensibili quali ad esempio i campi password o di carte di credito, apparirà al visitatore/utente un avvertimento di “Sito non sicuro” se la pagina su cui è inserito il modulo (form) non è supportata da una connessione sicura “https”.

Perchè è importante dotare il proprio sito Web del supporto “https”

Google, nella sua scelta, individua due ragioni fondamentali:

1. Autenticazione del sito Web:
   Per supportare il protocollo https, come vedremo tra breve, il titolare del sito web deve installare un certificato SSL che, a seconda dei casi, necessita di alcune verifiche sull’ identità del titolare e quindi sulla legittimità del sito stesso. In parole più semplici, aiuta l’utente visitatore a sapere se il sito web che sta visitando è realmente quello che dice di essere. Vedremo di seguito come questo accade.
2. Integrità dei dati trasmessi:
   Il protocollo https innalza il livello di sicurezza di trasmissione dei dati tra il client (browser) ed il server, perchè tutte le informazioni transitate da/verso il server (incluse le password, i dati sensibili, ecc.) vengono criptati in tempo reale, in modo da non essere facilmente rubati in caso di compromissione di sicurezza in un punto qualsiasi del percorso tra il browser ed il server finale.

Come attivare il supporto “https” sul proprio sito Web?

La maggior parte dei servizi di Hosting condiviso, VPS o Server dedicati hanno già una configurazione idonea ad installare un Certificato SSL , che è lo strumento con cui il Web server è in grado di attivare automaticamente la crittazione di qualsiasi browser di qualsiasi utente durante la navigazione del dominio su cui il Certificato SSL è presente. Questo supporto al protocollo https viene evidenziato dal browser con l’attivazione di un’icona (un lucchetto) che appare nella barra di navigazione e, in alcuni casi che vedremo, diventa di colore verde e visualizza il nome dell’azienda titolare del sito web, accanto ad esso.

Certificati SSL gratuiti

Esistono varie soluzioni di Certificati SSL, ma da qualche tempo ne esiste qualcuna senz’altro più rapida e totalmente gratuita: parliamo dei Certificati SSL gratuiti, il più noto dei quali è Let’s Encrypt, che vengono supportati da alcuni servizi di Hosting senza costi aggiuntivi. Ad esempio, LineaHosting fornisce i propri piani Hosting Linea Pro con il supporto SSL Let’s Encrypt già incluso ed attivato, che permette di accedere indifferentemente al proprio sito Web con connessione http oppure https, a seconda delle necessità.
Queste soluzioni non devono essere considerate sostitutive di un buon certificato commerciale, in quanto non dispongono di alcun tipo di copertura assicurativa e non forniscono all’utente alcuna “certificazione” sull’effettiva identità del titolare del sito Web, però possono essere utili per coprire usi non critici, quali ad esempio l’accesso ad aree riservate per i propri Clienti, ecc.
Per usi commerciali, invece, è più consigliabile rivolgersi a Certificati SSL Premium.

Certificati SSL Premium

Si distinguono in varie tipologie, a seconda del tipo di certificazione rilasciata, della copertura assicurativa e degli accessori forniti. I costi variano da pochi euro all’anno fino a 100-200 euro all’anno per dominio, che solitamente occorrono per il rilascio di un Certificato SSL di tipo EV (Extended Verification), ovvero di quelli che attivano il lucchetto/barra verde di navigazione e visualizzano il nome del titolare del certificato direttamente nel browser

Solitamente l’investimento di poche decine o poche centinaia di euro all’anno diventa consigliabile o addirittura necessario nel caso in cui si debba costruire con l’utente visitatore un rapporto di massima fiducia. Pensiamo ad esempio ai siti E-commerce, in cui l’utente possa sentirsi rassicurato dal fatto che l’identità del venditore e del sito web siano stati effettivamente verificati e certificati da un ente esterno, e che le pagine che sta visitando siano effettivamente su un server sicuro di quel venditore.

Tratteremo in seguito più dettagliatamente le differenze tra i vari tipi di Certificato SSL Premium in commercio e come vengono installate, ma vale qui la pena ricordare un altra importante innovazione degli ultimi anni: non è più necessario disporre di un indirizzo IP dedicato per poter installare un Certificato SSL sul proprio sito Web, come accadeva fino a pochi anni fa. Questo li rende pienamente compatibili con qualsiasi soluzione Hosting che supporti i certificati SSL, anche su server condivisi.

Perchè non rimandare l’acquisto di un Certificato SSL.

Se il vostro sito Web non è stato ancora equipaggiato per supportare il protocollo https, è meglio muoversi per tempo

Nella roadmap di Google sembra chiaramente tracciato un passo avanti nella penalizzazione di quei Siti Web che richiedono una qualsiasi interazione all’utente e che non vorranno adeguarsi. In tempi non lontani, il controllo sul supporto https verrà ampliato e un giorno i visitatori all’ingresso del vostro sito potrebbero essere allertati da un messaggio minaccioso di questo tipo. Considerando la piena disponibilità di soluzioni SSL a bassissimo costo o, come visto poc’anzi, addirittura gratuite, crediamo sia  meglio non aspettare.