HTTP e HTTPS: cosa sono?

L'HTTPS (HyperText Transfer Protocol over SSL) è una variante del protocollo HTTP che impiega, oltre al TCP/IP, il livello SSL (Secure Sockets Layer) che si occupa della crittografia e dell'autenticazione dei dati trasmessi. In soldoni, l'SSL cripta i dati in entrata e in uscita attraverso un algoritmo matematico rendendoli praticamente indecifrabili. Questo tipo di comunicazione garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione e impedisce a terze parti di leggere, inserire o modificare i messaggi scambiati tra i due "interlocutori". Ecco perché, in tutti i casi in cui scambiamo dati sensibili, numeri di carte di credito o transazioni bancarie, consultiamo la nostra casella di posta o comunichiamo nostre informazioni riservate via web, è bene verificare che la connessione avvenga con protocollo HTTPS.

Cos’è cambiato ora e cosa cambierà a gennaio 2017?

In realtà, già da diversi mesi, Google sta premiando i siti HTTPs, posizionandoli per primi nella graduatoria del suo motore di ricerca. Stava preparando il terreno al grande annuncio che è arrivato proprio lo scorso 8 settembre. Dal primo gennaio 2017 infatti, con il rilascio di Chrome 56, tutti i siti HTTP che scambiano dati personali (codici, password, dati bancari, ...) verranno segnalati all’utente come insicuri. Non pensiate che, dato che il vostro non è un sito e-commerce, questa cosa non riguardi anche voi: basta che ci sia un login da qualche parte che permetta l’uso di password, ad esempio, per entrare in un’area riservata o commentare un post del vostro blog. E, in ogni caso, a stretto giro nei mesi successivi, tutti i siti web con protocollo HTTP saranno associati ad un avviso rosso di pericolo all’ingresso, che inviterà l’utente ad allontanarsi e a non proseguire la navigazione. Un bel cartello di divieto di accesso che di certo non gioverà al vostro business. La notizia ha un peso rilevante, dato che Google Chrome è il browser più usato (oltre il 53%) e quindi responsabile di oltre la metà delle pagine web viste al mondo (sia su desktop che tablet/mobile).

Come fare per ottenere il certificato HTTPS?

Ottenere un certificato SSL, installarlo e mantenerlo valido nel tempo è un processo che si compone di alcuni importanti passaggi tecnici e formali.

1. Generazione di una Certificate Signing Request (CSR)

   Prima di poter acquistare e installare un certificato SSL, è necessario generare sul server dove verrà ospitato una richiesta CSR. Questo file contiene le informazioni sul server e sulla chiave pubblica, necessaria per generare quella privata.

2. Ordine del certificato SSL

   Online esistono diversi servizi (Certification Authorities, CA) che offrono i certificati SSL, alcuni dei quali sono gratuiti. Assicuratevi di rivolgervi a un servizio affidabile: è in gioco la sicurezza dei vostri clienti e dei loro dati sensibili. Tra i servizi più popolari tra cui scegliere citiamo DigiCert, Symantec, GlobalSign. Il servizio più adatto al vostro sito web può variare a seconda delle specifiche esigenze (certificati multipli, soluzioni aziendali, durata del certificato, semplicità del processo di rinnovo, protezione economica per frodi, attendibilità legale verificata dell'organizzazione certificata) e quindi dovrà essere valutato con attenzione. Non tutti i certificati SSL verranno inoltre riconosciuti come "sicuri" dai vari browser, come nel caso di molti certificati gratuiti e di tutti quelli autofirmati.

3. Installazione del certificato SSL

   Lo step successivo è quello di scaricare il certificato emesso dalla CA, installarlo sul server e riconfigurare il servizio hosting/firewall per HTTPS.

4. Verifica e adeguamento della configurazione del sito web

   Una volta ottenuto il certificato, nel caso di conversione ad HTTPS di sito web esistente, occorre correggere tutte le problematiche applicative (link interni ed esterni errati, funzionalità embedded non disponibili in HTTPS, ecc.), intervenendo direttamente sulle pagine web o sulla struttura del sito web.

5. Gestione del processo di rinnovo alla scadenza

   I certificati hanno validità annuale o pluriennale e devono essere rinnovati prima della scadenza con un processo simile a quello della prima generazione. Alcuni certificati gratuiti (ad esempio quelli di Let's Encrypt) hanno validità di 2 mesi e richiedono sistemi automatici di rinnovo da implementare sul proprio spazio web, operazione non sempre possibile.