Passare da HTTP ad HTTPS

Passare il proprio sito da Http ad Https. Vediamo insieme come farlo.

A tutti sarà capitato almeno una volta di imbattersi in messaggi più o meno minacciosi da parte del proprio browser: “Sito non sicuro”, “Certificato di sicurezza non valido”, “La connessione a questo sito non è protetta”, e così via.

L’ovvia reazione è quella di essere quantomeno sospettosi nei confronti del sito che si sta visitando, ma è bene essere il più consapevoli possibile sul tema della sicurezza dei siti web.

Quando visitiamo un sito, il nostro browser invia una richiesta ad un server su cui sono ospitate le pagine che intendiamo visualizzare. Il server risponde inviando i contenuti (testi, immagini, video, etc…).

Ad ogni click, avviene quindi un continuo scambio di informazioni tra il nostro computer ed il server remoto, che si parlano attraverso un gergo definito HTTP (Hyper Text Transfer Protocol).

Si tratta dunque di un protocollo che ovviamente è alla base della principale incarnazione di Internet così come la conosciamo noi: il World Wide Web (WWW)!

Il protocollo HTTP

Negli anni ’80, quando fu sviluppato, il protocollo HTTP non prevedeva particolari accorgimenti per garantire la sicurezza delle comunicazioni. Lo scambio di informazioni avveniva, come si suol dire, “in chiaro”.

Ciò significa che chiunque avesse avuto modo di analizzare il traffico di rete, avrebbe potuto visualizzare senza problemi il contenuto delle pagine web richieste da un altro utente, o cosa ancora più grave, i dati di accesso ad un’area riservata di un sito!

A distanza di anni, con l’evoluzione della Rete e delle sue infinite possibilità (non ultima quella di poter effettuare pagamenti digitali), si rese necessario implementare delle specifiche più adeguate allo scambio di informazioni sensibili. Nacque così il protocollo HTTPS (“Secure”).

E’ proprio qui che entrano in gioco i certificati, più propriamente certificati SSL (Secure Socket Layer).

passare da http ad https

Cos’è esattamente un certificato digitale?

Un certificato “nasce” attraverso la generazione di una chiave privata, ossia una sorta di password contenente una lunghissima sequenza di caratteri.

Le due chiavi funzionano solo se usate in maniera congiunta. Mentre la chiave pubblica può essere divulgata senza pericolo di compromettere la sicurezza della comunicazione, la chiave privata deve restare segreta.

Tutto ciò che viene cifrato attraverso la chiave pubblica, può essere decifrato solo se si è in possesso della relativa chiave privata.

Per questo ci si riferisce a questa tecnica di cifratura come crittografia asimmetrica.

Chi può generare i certificati?

Chiunque può, con pochi comandi, può generare un certificato SSL per il proprio sito.

Ma come si vedrà più avanti, quello che conta è assicurarsi di dotarsi di un certificato che sia riconosciuto da tutti i browser.

In che modo vengono protette le comunicazioni?

Entrambe le chiavi (pubblica e privata) sono installate sul server web dove risiede il sito: quando un utente richiede una pagina, e lo fa attraverso il protocollo HTTPS, il server risponde innanzitutto con il proprio certificato.

Superata questa “presentazione” tra server web e browser, quest’ultimo si comporta esattamente come nel protocollo HTTP, ma con la differenza che in questo caso, in maniera del tutto trasparente per l’utente finale, il flusso di dati avviene su una sorta di canale protetto.

Come si può intuire, è proprio nel momento in cui un sito trasmette il proprio certificato che quest’ultimo viene “validato” dal browser e, a seconda dell’esito, si potranno visualizzare eventualmente degli errori.

Come ci si assicura dunque che un certificato risulti “affidabile” per il browser?

Esistono le cosiddette Certification Authority (CA), organizzazioni il cui scopo è quello di convalidare l’autenticità dei  certificati SSL. Potrebbero essere definite una sorta di “notai dei siti web”!

Quando si intende creare un certificato per il proprio sito, si crea in maniera del tutto autonoma la chiave privata, ma sarà poi una Certification Authority a rilasciare il proprio “visto” sul certificato. Tipicamente, questa operazione ha un costo più o meno elevato a seconda del livello di “prestigio” del certificato che si vuole ottenere.

Quando si installano i più comuni browser (Chrome, Mozilla Firefox, Edge, Safari, Opera, etc…), al loro interno vengono già inclusi i riferimenti di moltissime Certification Authority.

Quali sono i problemi più comuni che si possono incontrare?

Se non ci si affida ad una CA, ma si genera autonomamente un certificato SSL, quello che si otterrà è un cosiddetto certificato “autofirmato”. In questo caso, se lo si installa sul proprio sito, il risultato sarà che tutti i visitatori riceveranno sul proprio browser un errore del tipo “Certificato non valido”.

La trasmissione dei dati sarebbe sì cifrata, ma il browser non potrà fare a meno di informare l’utente che il certificato SSL in uso non è stato convalidato da una CA.

I certificati SSL hanno generalmente una validità di qualche anno, poi è necessario rigenerarli. Può capitare che, anche per semplice distrazione, ci si dimentichi di rinnovarli dopo la scadenza. Per questo motivo, un altro errore che si può incontrare spesso  fa riferimento a certificati scaduti.

In questi casi si può provare ad attendere qualche ora/giorno, ed eventualmente segnalarlo al riferimento tecnico del sito.

Certificato SSL e SEO

Un aspetto non trascurabile, e che riguarda soprattutto i webmaster e chi si occupa di SEO (Search Engine Optimization), è che da ormai alcuni anni Google ha pubblicamente dichiarato che la presenza del certificato SSL su di un sito ha un peso cruciale ai fini del posizionamento dello stesso sul motore di ricerca.

Per concludere, qualche suggerimento:Se il sito che state visitando ha un indirizzo che inizia con http:// (senza la “s”), siate consapevoli che la comunicazione tra voi e il server non è protetta. Assolutamente proibito accedere su pagine di login o trasmettere informazioni sensibili.

Se un sito presenta problemi con il certificato, non proseguite la navigazione: chiedete ad un amico esperto o rivolgetevi al responsabile IT della vostra struttura affinché controlli.

Se siete webmaster, acquistare un certificato SSL per il vostro sito, specialmente se prevedete di utilizzare un e-commerce.

Restando nell’argomento dei siti non sicuri, ti può interessare anche l’articolo sui Siti Buy and Share.

One comment

Comments are closed.