SSL sta per Secure Sockets Layer. È un protocollo importante per la sicurezza e l’autenticazione dei dati su Internet. A causa di movimenti come Encrypt All The Things e la spinta di Google per una più diffusa adozione dell’SSL, SSL è diventato un argomento popolare nei circoli web. Ma, nonostante questo, molti webmaster non sanno ancora come funziona SSL e perché sia così importante… o addirittura cosa significhi SSL!
Anche se abbiamo già detto del significato dell’acronimo, andremo un po’ più a fondo sull’argomento e vi spiegheremo cos’è SSL e cosa fa per rendere il web un posto migliore sia per voi che per i visitatori dei vostri siti web.
Cosa Significa SSL? Come Funziona SSL
Tanto per ribadire – SSL sta per Secure Sockets Layer. È un protocollo utilizzato per criptare e autenticare i dati inviati tra un’applicazione (come il vostro browser) e un server web. Questo porta ad un web più sicuro sia per voi che per i visitatori del vostro sito. SSL è strettamente legato ad un altro acronimo – TLS. TLS, abbreviazione di Transport Layer Security, è la versione successiva e più recente del protocollo SSL originale.
Al giorno d’oggi, SSL e TLS sono spesso indicati come gruppo – ad esempio SSL/TLS – o intercambiabili. Ad esempio, Let’s Encrypt (di cui parleremo tra un secondo) pubblicizza annunci che offrono “Certificati SSL/TLS gratuiti”. Ma troverete anche molti siti web che parlano semplicemente di certificati SSL, anche quando in realtà significano TLS.
Allora, da dove è nato SSL e come siamo arrivati al punto in cui ci troviamo oggi con TLS? La versione 1.0 di SSL è stata sviluppata da Netscape nei primi anni ’90. Ma a causa di difetti nella sicurezza, non è mai stato reso pubblico. Il primo rilascio pubblico di SSL è stato nel febbraio 1995, con SSL 2.0. Anche se era un miglioramento rispetto all’inedito SSL 1.0, anche SSL 2.0 aveva la propria serie di problemi di sicurezza, cosa che ha portato ad una completa riprogettazione e al successivo rilascio della versione 3.0 un anno dopo.
La versione 3.0 di SSL è stata l’ultima versione pubblica ed è stata eclissata nel 1999 quando è stato introdotto come sostituto TLS. A questo punto, SSL 3.0 è deprecato e non è più considerato sicuro a causa della sua vulnerabilità agli attacchi POODLE. Per quanto riguarda TLS, ora è su TLS 1.3, che ha apportato una serie di miglioramenti alle prestazioni e alla sicurezza. Kinsta supporta TLS 1.3 su tutti i server e sul CDN di Kinsta.
Perché Allora non Usiamo Tutti i Certificati TLS?
È probabile che lo stiate facendo. Sebbene la comunità web in genere per comodità si riferisca ai certificati come certificati SSL, i certificati non dipendono in realtà dal protocollo specifico nel rispettivo nome. Invece, il protocollo effettivo che viene utilizzato è determinato dal vostro server. Il che significa che, anche se si pensa di aver installato un certificato SSL, è probabile che si stia in realtà utilizzando il protocollo TLS, più aggiornato e sicuro.
Fino a quando la comunità web non adotterà la terminologia TLS, tuttavia, è probabile che continuerete a vedere tali certificati più spesso chiamati per semplicità con il nome di certificati SSL.
Come Sono Collegati HTTPS e SSL?
Le persone che hanno costruito Internet amano i loro acronimi – un altro termine che vedrete comunemente in uso quando si parla di SSL/TLS è HTTPS. HTTP (senza la S) sta per Hypertext Transfer Protocol.
HTTP e il suo successore HTTP/2 sono entrambi protocolli applicativi che stanno alla base del trasferimento delle informazioni in Internet. Sono la base per la comunicazione di dati su Internet. Quando si aggiunge di nuovo la S, diventa semplicemente Hypertext Transfer Protocol Secure (o HTTP su TLS o HTTP su SSL).
In sostanza, SSL/TLS protegge le informazioni che vengono inviate e ricevute via HTTP. Questo ha una serie di vantaggi…
Quali Sono i Vantaggi dell’Utilizzo di SSL/TLS?
Molti webmaster operano sotto il falso presupposto che SSL/TLS offra vantaggi solo a siti che elaborano informazioni sensibili, come carte di credito o dati bancari. E anche se SSL/TLS è certamente essenziale per questi siti, i benefici non sono affatto limitati a queste aree.
Uno dei principali vantaggi di SSL/TLS è la crittografia. Ogni volta che voi o i vostri utenti inserite informazioni sul vostro sito, questi dati passano attraverso più punti di contatto prima di raggiungere la destinazione finale. Senza SSL/TLS, questi dati vengono inviati come testo in chiaro e gli attori malintenzionati possono intercettare o alterare questi dati. SSL/TLS offre una protezione punto a punto per garantire la sicurezza dei dati durante il trasporto. Anche una pagina di login di WordPress dovrebbe essere criptata! Se un certificato SSL è presente ma non è valido, i vostri visitatori potrebbero trovarsi di fronte all’errore “la tua connessione non è privata“.
Un altro vantaggio fondamentale è l’autenticazione. Una connessione SSL/TLS funzionante assicura che i dati vengano inviati e ricevuti dal server giusto, piuttosto che da un maligno “man in the middle”. In altre parole, aiuta ad evitare che attori malintenzionati impersonino falsamente un sito.
Il terzo vantaggio principale di SSL/TLS è l’integrità dei dati. Le connessioni SSL/TLS assicurano che non vi siano perdite o alterazioni dei dati durante il trasporto, includendo un codice di autenticazione del messaggio o un MAC. In questo modo ci si assicura che i dati che vengono inviati vengano ricevuti senza modifiche o alterazioni dolose.
Oltre alla crittografia, all’autenticità e all’integrità, ci sono anche altri vantaggi meno tecnici, come ad esempio:
- La possibilità di migliorare il posizionamento nella ricerca organica di Google
- Miglioramento della fiducia dei visitatori
Come si fa a Capire se un Sito Web Utilizza SSL/HTTPS?
Il modo più semplice per vedere se un sito web utilizza SSL/TLS è quello di guardare il vostro browser. La maggior parte dei browser contrassegna le connessioni sicure con un lucchetto verde e/o un messaggio. Ad esempio, in Google Chrome, potete trovare un lucchetto verde e il messaggio Secure:
Mentre in Firefox vedrete solo un lucchetto verde:
In Microsoft Edge non si vede un colore, ma piuttosto un semplice lucchetto grigio e bianco.
Google Sanziona i Siti che non Usano SSL?
Di recente Google ha lanciato una serie sempre più severa di penalità/avvertimenti in Google Chrome per i siti che non installano certificati SSL. Queste sanzioni sono cominciate nel gennaio 2017 con l’introduzione di un avviso Non sicuro sulle pagine che chiedevano i dati della carta di credito o le password senza certificato SSL:
Questo cambiamento è stata la prima spinta di Google verso l’aumento dell’utilizzo di SSL e HTTPS. Ma di recente, si sono spinti ancora più avanti.
Aumento Degli Avvisi non Sicuri nell’ottobre 2017
Nell’ottobre 2017, Google ha lanciato notifiche ancora più aggressive. A partire da Chrome 62 (rilasciato il 17 ottobre 2017), Google ha aggiunto l’avviso Non sicuro a:
- Tutte le pagine HTTP in cui gli utenti inseriscono qualsiasi tipo di dati, compreso qualcosa di semplice come una casella di ricerca. L’avviso non apparirà sul caricamento iniziale della pagina, ma apparirà ogni volta che un utente inizia ad inserire dati in un campo
- Tutte le pagine HTTP in modalità Incognito di Chrome
Google Diventerà Sempre più Aggressivo
Il piano a lungo termine di Google è quello di contrassegnare tutte le pagine HTTP come Non sicure. Ciò significa che, anche se non si chiede agli utenti di compilare nessun tipo di campo modulo, alla fine si verrà presi dall’avviso. Per questo motivo, è importante iniziare a pianificare subito il passaggio a SSL/TLS e HTTPS.
Nel 2020, quando un sito usa TLS 1.0 o TLS 1.1 (versioni precedenti), Chrome ha iniziato a mostrare l’avviso ERR_SSL_OBSOLETE_VERSION.
Come Installare un Certificato SSL sul Tuo Sito
Molti host facilitano l’installazione di un certificato SSL/TLS gratuito. Qui a Kinsta, tutti i domini verificati sono automaticamente protetti dalla nostra integrazione Cloudflare, che include certificati SSL gratuiti con supporto wildcard. Altri host possono usare un servizio chiamato Let’s Encrypt, che offre certificati SSL/TLS gratuiti. Qui potete vedere una lista completa di host che supportano Let’s Encrypt.
Se il vostro host non offre certificati SSL gratuiti, o se volete un tipo diverso di certificato SSL, potete anche acquistare il vostro certificato da un fornitore terzo.
Abbiamo anche una guida con le istruzioni per aggiungere un certificato SSL al vostro sito su Kinsta. Lo si può fare con un solo clic!
Cosa Fare Dopo l’Installazione di un Certificato SSL
Sì – ci sono operazioni sia tecniche che non tecniche da eseguire dopo l’installazione di un certificato SSL. In primo luogo, a livello tecnico, è importante reindirizzare tutto il traffico HTTP verso HTTPS. Dovreste anche assicurarvi di non caricare alcuna risorsa via HTTP. Di solito, si tratta delle immagini o di contenuti esterni, come script o servizi pubblicitari esterni. Questo vi aiuta ad evitare l’avviso di contenuto misto.
Oltre a questi due dettagli tecnici, è probabile che vogliate occuparvi anche dei seguenti task, a seconda degli strumenti che utilizzate:
- Aggiungete la versione HTTPS del vostro sito in Google Webmaster tools.
- Assicuratevi che gli script di tracciamento come Google Analytics o altri siano impostati per funzionare con HTTPS.
- Assicuratevi di non ricevere alcun messaggio di errore relativo alla connessione SSL.
SSL/TLS è un protocollo importante per la creazione di un web sicuro e protetto. E ora che sapete come funziona SSL, se non avete già effettuato il passaggio, vi invitiamo a considerare l’installazione di un certificato SSL/TLS e a spostare il vostro sito su HTTPS.
Abbiamo una guida molto dettagliata sulla migrazione da HTTP a HTTPS, leggetela e di seguite i passaggi indicati!