Certificati HTTPS e SSL: Rendi sicuro il tuo sito web (e perché dovresti)

Quando si tratta di inviare informazioni personali su Internet, che si tratti di informazioni di contatto, credenziali di accesso, informazioni sull'account, informazioni sulla posizione o qualsiasi altra cosa di cui si potrebbe abusare, il pubblico è, in generale, decisamente paranoico nei confronti degli hacker e dei ladri di identità. E giustamente. Il timore che le tue informazioni possano essere rubate, manomesse o oggetto di appropriazione indebita è tutt'altro che irrazionale. I titoli dei giornali sulle fughe di notizie e sulle violazioni della sicurezza degli ultimi decenni lo dimostrano. Ma nonostante questa paura, le persone continuano ad accedere al web per svolgere operazioni bancarie, fare acquisti, tenere un diario, uscire con qualcuno, socializzare e altre attività personali e professionali. E c'è una piccola cosa che dà loro la fiducia necessaria per farlo. Te lo mostrerò:

Anche se non tutti capiscono come funziona, quel piccolo lucchetto nella barra degli indirizzi segnala agli utenti web che hanno una connessione affidabile con un sito web legittimo. Se i visitatori non lo vedono nella barra degli indirizzi quando aprono il tuo sito web, non otterrai e non dovresti ottenere i loro affari.

Per ottenere quel piccolo lucchetto nella barra degli indirizzi per il tuo sito web, hai bisogno di un certificato SSL. Come puoi ottenerne uno? Continuate a leggere per scoprirlo.

Descrizione dell'articolo:

• Cos'è SSL/TLS?
• Come utilizzare HTTPS?
• Che cos'è un certificato SSL e come posso ottenerne uno?
• Guida all'acquisto del certificato SSL
  • Autorità di certificazione
  • Convalida del dominio e convalida estesa
  • SSL condiviso e SSL privato
  • Sigilli di fiducia
  • Certificati SSL con caratteri jolly
  • Garanzie
  • Certificati SSL gratuiti e certificati SSL autofirmati
• Installazione di un certificato SSL
• Pro e contro di HTTPS

Cos'è SSL/TLS?

Sul web, i dati vengono trasferiti utilizzando l'Hypertext Transfer Protocol. Ecco perché tutti gli URL delle pagine web hanno "http://" o "http s ://" davanti a loro.

Qual è la differenza tra http e https? Quella piccola S in più ha grandi implicazioni: Sicurezza.

Lasciatemi spiegare.

HTTP è il “linguaggio” utilizzato dal tuo computer e dal server per comunicare tra loro. Questo linguaggio è universalmente compreso, il che è conveniente, ma ha anche i suoi inconvenienti. Quando i dati vengono scambiati tra te e un server tramite Internet, effettueranno alcune fermate lungo il percorso prima di raggiungere la destinazione finale. Ciò comporta tre grandi rischi:

• Che qualcuno possa origliare la tua conversazione (una specie di intercettazione telefonica digitale).

• Che qualcuno possa impersonare una (o entrambe) delle parti alle due estremità.

• Che qualcuno potrebbe manomettere i messaggi trasferiti.

Gli hacker e i truffatori utilizzano una combinazione di quanto sopra per una serie di truffe e rapine, inclusi stratagemmi di phishing, attacchi man-in-the-middle e la buona pubblicità vecchio stile. Gli attacchi dannosi potrebbero essere semplici come annusare le credenziali di Facebook intercettando i cookie non crittografati (intercettazioni), oppure potrebbero essere più sofisticati. Ad esempio, potresti pensare di dire alla tua banca: "Per favore trasferisci $ 100 al mio ISP", ma qualcuno nel mezzo potrebbe modificare il messaggio in: "Per favore trasferisci $ 100 tutti i miei soldi al mio ISP Peggy in Siberia" (manomissione dei dati e imitazione).

Quindi, questi sono i problemi con HTTP. Per risolvere questi problemi, HTTP può essere stratificato con un protocollo di sicurezza, risultando in HTTP Secure (HTTPS). Più comunemente, la S in HTTPS è fornita dal protocollo Secure Sockets Layer (SSL) o dal più recente protocollo Transport Layer Security (TLS). Una volta distribuito, HTTPS offre crittografia bidirezionale (per impedire intercettazioni), autenticazione del server (per impedire la rappresentazione) e autenticazione dei messaggi (per impedire la manomissione dei dati).

Come utilizzare HTTPS

Come una lingua parlata, HTTPS funziona solo se entrambe le parti scelgono di parlarlo. Dal lato client, la scelta di utilizzare HTTPS può essere effettuata digitando "https" nella barra degli indirizzi del browser prima dell'URL (ad esempio, invece di digitare http://www.facebook.com, digitare https://www.facebook .com) o installando un'estensione che forza automaticamente HTTPS, come HTTPS Everywhere per Firefox e Chrome . Quando il tuo browser web utilizza HTTPS, vedrai l'icona di un lucchetto, una barra verde del browser, un pollice in su o qualche altro segnale rassicurante che la tua connessione al server è sicura.

Tuttavia, per utilizzare HTTPS, il server web deve supportarlo. Se sei un webmaster e desideri offrire HTTPS ai tuoi visitatori web, allora avrai bisogno di un certificato SSL o di un certificato TLS. Come si ottiene un certificato SSL o TLS? Continua a leggere.

Ulteriori letture: alcune app Web popolari ti consentono di scegliere HTTPS nelle impostazioni utente. Leggi i nostri articoli su Facebook , Gmail e Twitter .

Che cos'è un certificato SSL e come posso ottenerne uno?

Per utilizzare HTTPS, il tuo server web deve avere un certificato SSL o un certificato TLS installato. Un certificato SSL/TLS è una sorta di documento d'identità con foto per il tuo sito web. Quando un browser che utilizza HTTPS accede alla tua pagina web, eseguirà un "handshake" durante il quale il computer client richiede il certificato SSL. Il certificato SSL viene quindi convalidato da un'autorità di certificazione (CA) attendibile, che verifica che il server sia chi dice di essere. Se tutto è andato a buon fine, il tuo visitatore web riceverà il rassicurante segno di spunta verde o l'icona di un lucchetto. Se qualcosa va storto, riceveranno un avviso dal browser web che informa che l'identità del server non può essere confermata.

Acquistare un certificato SSL

Quando si tratta di installare un certificato SSL sul tuo sito web, ci sono numerosi parametri su cui decidere. Esaminiamo i più importanti:

Autorità di certificazione

L'autorità di certificazione (CA) è la società che emette il tuo certificato SSL ed è quella che convaliderà il tuo certificato ogni volta che un visitatore arriva sul tuo sito web. Anche se ogni fornitore di certificati SSL competerà in termini di prezzo e funzionalità, la cosa principale da considerare quando si valutano le autorità di certificazione è se dispongono o meno di certificati preinstallati sui browser Web più diffusi. Se l'autorità di certificazione che emette il tuo certificato SSL non è presente nell'elenco, all'utente verrà richiesto un avviso che il certificato di sicurezza del sito non è attendibile. Naturalmente, questo non significa che il tuo sito web sia illegittimo, significa semplicemente che la tua CA non è (ancora) nell'elenco. Questo è un problema perché la maggior parte degli utenti non si preoccuperà di leggere l'avviso o di ricercare la CA non riconosciuta. Probabilmente se ne andranno semplicemente con un clic.

Fortunatamente, l’elenco delle CA preinstallate sui principali browser è piuttosto ampio. Comprende alcuni grandi marchi e CA meno conosciute e più convenienti. I nomi familiari includono Verisign , Go Daddy , Comodo, Thawte, Geotrust e Entrust.

Puoi anche controllare le impostazioni del tuo browser per vedere quali autorità di certificazione sono preinstallate.

• Per Chrome, vai su Impostazioni -> Mostra impostazioni avanzate... -> Gestisci certificati.
• Per Firefox, seleziona Opzioni -> Avanzate -> Visualizza certificati.
• Per IE, Opzioni Internet –> Contenuto –> Certificati.
• Per Safari, vai nel Finder e scegli Vai -> Utilità -> Accesso KeyChain e fai clic su Sistema.

Convalida del dominio e convalida estesa

Un certificato SSL ha lo scopo di dimostrare l'identità del sito Web a cui stai inviando informazioni. Per garantire che le persone non stiano rilasciando certificati SSL fasulli per domini che non controllano legittimamente, un'autorità di certificazione convaliderà che la persona che richiede il certificato è effettivamente il proprietario del nome di dominio. In genere, ciò avviene tramite una rapida convalida tramite e-mail o telefonata, simile a quando un sito Web ti invia un'e-mail con un collegamento di conferma dell'account. Questo è chiamato certificato SSL con convalida del dominio . Il vantaggio di ciò è che consente l’emissione dei certificati SSL quasi immediatamente. Probabilmente potresti ottenere un certificato SSL con convalida del dominio in meno tempo di quello impiegato per leggere questo post del blog. Con un certificato SSL con convalida del dominio, ottieni il lucchetto e la possibilità di crittografare il traffico del tuo sito web.

Il vantaggio di un certificato SSL con convalida del dominio è che è veloce, facile ed economico da ottenere. Questo è anche il loro svantaggio. Come puoi immaginare, è più facile ingannare un sistema automatizzato che uno gestito da esseri umani vivi. È un po' come se un liceale entrasse nella motorizzazione dicendo di essere Barack Obama e volesse ottenere un documento d'identità rilasciato dal governo. La persona alla scrivania gli avrebbe dato un'occhiata e avrebbe chiamato i federali (o il manicomio). Ma se fosse un robot che lavora in un chiosco per documenti di identità con foto, potrebbe avere un po' di fortuna. In modo simile, i phisher possono ottenere “ID falsi” per siti web come Paypal, Amazon o Facebook ingannando i sistemi di convalida del dominio. Nel 2009, Dan Kaminsky ha pubblicato un esempio di un modo per truffare le CA per ottenere certificati che avrebbero fatto sembrare un sito Web di phishing una connessione sicura e legittima. Per un essere umano, questa truffa sarebbe facile da individuare. Tuttavia, all’epoca la convalida automatizzata del dominio non disponeva dei controlli necessari per evitare qualcosa del genere.

In risposta alle vulnerabilità dei certificati SSL e SSL convalidati dal dominio, l’industria ha introdotto il certificato Extended Validation . Per ottenere un certificato SSL EV, la tua azienda o organizzazione deve sottoporsi a un controllo rigoroso per garantire che sia in regola con il tuo governo e controlli giustamente il dominio per cui stai richiedendo. Questi controlli, tra gli altri, richiedono un elemento umano e quindi richiedono più tempo e sono più costosi.

In alcuni settori è richiesto un certificato EV. Ma per altri, il vantaggio arriva solo fino a ciò che i tuoi visitatori riconosceranno. Per i visitatori web di tutti i giorni, la differenza è sottile. Oltre all'icona del lucchetto, la barra degli indirizzi diventa verde e visualizza il nome della tua azienda. Se fai clic per ulteriori informazioni, vedrai che è stata verificata l'identità dell'azienda, non solo il sito web.

Ecco un esempio di un normale sito HTTPS:

Ed ecco un esempio di un sito HTTPS con certificato EV:

A seconda del settore, un certificato EV potrebbe non valerne la pena. Inoltre, devi essere un'azienda o un'organizzazione per ottenerne uno. Sebbene le grandi aziende stiano tendendo verso la certificazione EV, noterai che la maggior parte dei siti HTTPS sfoggia ancora il sapore non EV. Se è abbastanza buono per Google, Facebook e Dropbox, forse è abbastanza buono per te.

Ancora una cosa: esiste un'opzione intermedia chiamata certificazione convalidata dall'organizzazione o convalidata dall'azienda . Si tratta di un controllo più approfondito rispetto alla convalida automatizzata del dominio, ma non arriva fino al rispetto delle normative di settore per un certificato di convalida estesa (nota come la convalida estesa è in maiuscolo e la "convalida organizzativa" non lo è?). Una certificazione OV o convalidata dall'azienda costa di più e richiede più tempo, ma non ti fornirà la barra degli indirizzi verde e le informazioni verificate sull'identità aziendale. Francamente non riesco a pensare a un motivo per pagare un certificato OV. Se ti viene in mente uno, per favore illuminami nei commenti.

SSL condiviso e SSL privato

Alcuni host web offrono un servizio SSL condiviso, che spesso è più conveniente di un SSL privato. Oltre al prezzo, il vantaggio di un SSL condiviso è che non è necessario ottenere un indirizzo IP privato o un host dedicato. Lo svantaggio è che non puoi utilizzare il tuo nome di dominio. Invece, la parte sicura del tuo sito sarà qualcosa del tipo:

https://www.hostgator.com/~tuodominio/secure.php

Confrontalo con un indirizzo SSL privato:

https://www.tuodominio.com/secure.php

Per i siti rivolti al pubblico, come i siti di e-commerce e i siti di social network, questo è ovviamente un problema poiché sembra che tu sia stato reindirizzato dal sito principale. Ma per aree che di solito non sono viste dal grande pubblico, come l'interno di un sistema di posta o un'area di amministrazione, allora un SSL condiviso potrebbe essere un buon affare.

Sigilli di fiducia

Molte autorità di certificazione ti consentono di inserire un sigillo di fiducia sulla tua pagina web dopo esserti registrato per uno dei loro certificati. Ciò fornisce più o meno le stesse informazioni che si otterrebbero facendo clic sul lucchetto nella finestra del browser, ma con una maggiore visibilità. Includere un sigillo di fiducia non è obbligatorio, né amplifica la tua sicurezza, ma se dà ai tuoi visitatori il dubbio di sapere chi ha emesso il certificato SSL, allora buttalo lì.

Certificati SSL con caratteri jolly

Un certificato SSL verifica l'identità di un dominio. Pertanto, se desideri avere HTTPS su più sottodomini, ad esempio groovypost.com, mail.groovypost.com e forum.groovypost.com , dovrai acquistare tre diversi certificati SSL. Ad un certo punto, un certificato SSL con carattere jolly diventa più economico. Cioè, un certificato per coprire un dominio e tutti i sottodomini, ad esempio *.groovypost.com.

Garanzie

Non importa quanto sia duratura la buona reputazione di un'azienda, ci sono dei punti deboli. Anche le CA attendibili possono essere prese di mira dagli hacker, come evidenziato dalla violazione di VeriSign che non è stata segnalata nel 2010. Inoltre, lo status di una CA nell'elenco attendibile può essere rapidamente revocato, come abbiamo visto con l' intoppo DigiNotar nel 2011. Succede di tutto. .

Per alleviare qualsiasi disagio riguardo al potenziale di tali atti casuali di dissolutezza SSL, molte CA ora offrono garanzie. La copertura varia da poche migliaia di dollari a oltre un milione di dollari e comprende le perdite derivanti dall'uso improprio del certificato o da altri incidenti. Non ho idea se queste garanzie effettivamente aggiungano valore o meno o se qualcuno abbia mai vinto una richiesta di risarcimento. Ma sono lì per la tua considerazione.

Certificati SSL gratuiti e certificati SSL autofirmati

Sono disponibili due tipi di certificati SSL gratuiti. Un certificato SSL autofirmato, utilizzato principalmente per test privati ​​e certificati SSL pubblici completi emessi da un'autorità di certificazione valida. La buona notizia è che, nel 2018, ci sono alcune opzioni per ottenere certificati SSL validi per 90 giorni, gratuiti al 100%, sia da SSL for Free che da Let's Encrypt . SSL for Free è principalmente una GUI per l'API Let's Encrypt. Il vantaggio del sito SSL for Free è che è semplice da usare poiché ha una bella GUI. Let's Encrypt, tuttavia, è utile in quanto puoi automatizzare completamente la richiesta di certificati SSL da loro. È l'ideale se hai bisogno di certificati SSL per più siti web/server.

Un certificato SSL autofirmato è gratuito per sempre. Con un certificato autofirmato, sei la tua CA. Tuttavia, poiché non sei tra le CA attendibili integrate nei browser Web, i visitatori riceveranno un avviso che l'autorità non è riconosciuta dal sistema operativo. In quanto tale, non c'è davvero alcuna garanzia che tu sia chi dici di essere (è un po' come rilasciarti un documento d'identità con foto e cercare di spacciarlo al negozio di liquori). Il vantaggio di un certificato SSL autofirmato, tuttavia, è che abilita la crittografia per il traffico web. Potrebbe essere utile per uso interno, in cui puoi chiedere al tuo staff di aggiungere la tua organizzazione come CA attendibile per eliminare il messaggio di avviso e lavorare su una connessione sicura su Internet.

Per istruzioni sulla configurazione di un certificato SSL autofirmato, consulta la documentazione di OpenSSL. (Oppure, se c'è abbastanza richiesta, scriverò un tutorial.)

Installazione di un certificato SSL

Una volta acquistato il certificato SSL, devi installarlo sul tuo sito web. Un buon host web si offrirà di farlo per te. Alcuni potrebbero addirittura arrivare al punto di acquistarlo per te. Spesso, questo è il modo migliore poiché semplifica la fatturazione e garantisce che sia configurato correttamente per il tuo server web.

Tuttavia, hai sempre la possibilità di installare un certificato SSL che hai acquistato tu stesso. Se lo fai, potresti iniziare consultando la knowledge base del tuo host web o aprendo un ticket dell'helpdesk. Ti indirizzeranno alle migliori istruzioni per installare il tuo certificato SSL. Ti consigliamo inoltre di consultare le istruzioni fornite dalla CA. Questi ti forniranno una guida migliore rispetto a qualsiasi consiglio generico che posso darti qui.

Potresti anche voler consultare le seguenti istruzioni per l'installazione di un certificato SSL:

• Come implementare SSL in IIS (Windows Server)
• Crittografia SSL/TLS Apache

Tutte queste istruzioni comporteranno la creazione di una richiesta di firma del certificato SSL (CSR). In effetti, avrai bisogno di un CSR solo per ottenere l'emissione di un certificato SSL. Ancora una volta, il tuo host web può aiutarti in questo. Per informazioni fai-da-te più specifiche sulla creazione di una CSR, consulta questo articolo di DigiCert .

Pro e contro di HTTPS

Abbiamo già stabilito con fermezza i vantaggi di HTTPS: sicurezza, sicurezza, sicurezza. Ciò non solo mitiga il rischio di violazione dei dati, ma infonde anche fiducia e aggiunge reputazione al tuo sito web. I clienti più esperti potrebbero non preoccuparsi nemmeno di registrarsi se vedono un "http://" nella pagina di accesso.

Ci sono, tuttavia, alcuni svantaggi di HTTPS. Data la necessità di HTTPS per alcuni tipi di siti web, ha più senso considerarle come “ considerazioni ” piuttosto che come aspetti negativi.

• HTTPS costa denaro . Per cominciare, c'è il costo di acquisto e rinnovo del certificato SSL per garantirne la validità anno dopo anno. Ma ci sono anche alcuni “requisiti di sistema” per HTTPS, come un indirizzo IP dedicato o un piano di hosting dedicato, che possono essere più costosi di un pacchetto di hosting condiviso.
• HTTPS potrebbe rallentare la risposta del server. Esistono due problemi relativi a SSL/TLS che potrebbero rallentare la velocità di caricamento della pagina. Innanzitutto, per iniziare a comunicare con il tuo sito web per la prima volta, il browser dell'utente deve passare attraverso il processo di handshake, che ritorna al sito web dell'autorità di certificazione per verificare il certificato. Se il server web della CA è lento, ci sarà un ritardo nel caricamento della tua pagina. Questo è in gran parte fuori dal tuo controllo. In secondo luogo, HTTPS utilizza la crittografia, che richiede maggiore potenza di elaborazione. Questo problema può essere risolto ottimizzando i contenuti per la larghezza di banda e aggiornando l'hardware sul server. CloudFare ha un buon post sul blog su come e perché SSL potrebbe rallentare il tuo sito web.
• HTTPS può influire sugli sforzi SEO. Quando passi da HTTP a HTTPS; ti stai trasferendo in un nuovo sito web. Ad esempio, http://www.groovypost.com non sarebbe uguale a https://www.groovypost.com . È importante assicurarti di aver reindirizzato i tuoi vecchi collegamenti e scritto le regole appropriate sotto il cofano del tuo server per evitare di perdere preziosi collegamenti.
• Il contenuto misto può lanciare una bandiera gialla . Per alcuni browser, se la parte principale di una pagina web è caricata da HTTPS, ma immagini e altri elementi (come fogli di stile o script) sono caricati da un URL HTTP, potrebbe apparire un popup che avverte che la pagina include contenuti non protetti . Naturalmente, avere del contenuto protetto è meglio che non averne nessuno, anche se quest'ultimo non si traduce in un popup. Tuttavia, potrebbe valere la pena assicurarsi di non avere "contenuti misti" sulle proprie pagine.
• A volte è più semplice avvalersi di un processore di pagamento di terze parti . Non c'è vergogna nel lasciare che Google Checkout, Paypal o Checkout by Amazon gestiscano i tuoi pagamenti. Se tutto quanto sopra ti sembra troppo da discutere, puoi consentire ai tuoi clienti di scambiare le informazioni di pagamento sul sito sicuro di Paypal o sul sito sicuro di Google e risparmiarti la fatica.

Hai altre domande o commenti sui certificati HTTPS e SSL/TLS? Fatemelo sentire nei commenti.