HTTPS e SSL, Google avvia la rivoluzione sulla sicurezza

articolo_Google_SSL
01 febbraio 2017
0 commenti

Google non ne ha mai fatto mistero, punta a rendere il web un luogo più sicuro.
Dopo i siti non responsive a febbraio 2017, il gigante di Mountain View è passato dalla parole ai fatti pubblicando un articolo sul suo security blog in cui annunciava che avrebbe “penalizzato” tutti quei siti per i quali non è disponibile una connessione HTTPS, ovvero nei quali non è installato un certificato SSL.

Certificati SSL: cosa sono e come funzionano  

I certificati SSL – acronimo di Secure Sockets Layer – servono per assicurare e proteggere le transazioni di dati, tra due nodi che comunicano attraverso una rete locale o pubblica.
L’SSL codifica attraverso un algoritmo di cifratura le trasmissioni, in modo da rendere lo scambio di informazioni non accessibile a terze parti. Nel protocollo SSL infatti, ogni messaggio trasmesso server to client deve superare un controllo per l’integrità della crittografia stessa, prima di essere nuovamente trasmesso. Se questo controllo per qualsiasi ragione fallisce (ad esempio per corruzione o tentativo di intercettazioni dei dati) la trasmissione viene immediatamente bloccata.
Il certificato SSL contiene quindi informazioni univoche che possono essere consultate dal client ma mai modificate o contraffatte.

Cosa comportano le scelte di Google

Come influisce quindi la scelta di Google di favorire i siti con protocollo HTTPS rispetto ai contenuti (anche identici) postati su una pagina con connessione HTTP?
Lato client, tutti gli utilizzatori di Chrome 56 (con cui a dicembre 2016 il 72% degli utenti da desktop effettuava la navigazione, secondo il sito w3schools.com) vedranno apparire nella “barra degli indirizzi” vicino ai siti che non dispongo di protocollo HTTPS un triangolo rosso, una sorta di alert che segnalerà l’impossibilità di trasmettere dati tramite crittografia.

Il protocollo HTTPS diventerà quindi “de facto” l’unico modo per garantire la propria attendibilità su Chrome.
La rivoluzione non si limita al browser ma anche a tutti i prodotti di casa Google: da Adwords sino ad Analytics, passando anche per prodotti business come AdSense e GSuite.

Anche a livello SERP alle pagine in HTTPS sarà garantito un miglior posizionamento rispetto alle analoghe pagine HTTP; questo a patto che:

  • la pagina HTTPS non contenga elementi esterni/interni non sicuri, ossia raggiungibili tramite protocollo HTTP (in genere questo avviene quando si utilizzano elementi esterni al sito come video, immagini embeddati con protocollo HTTP).
  • non sia stata bloccata la scansione dal file robots.txt
  • non vi sia un redirect per gli utenti a un pagina, o attraverso una pagina, non sicura in HTTP
  • non contenga un rel=”canonical” a una pagina in HTTP e che nessuna pagina contenga un metatag noindex.
  • nella sitemap non vi sia una lista di URL in HTTPS che contenga gli URL nella versione HTTP
  • Il certificato di criptazione del server sia valido

Quale certificato SSL implementare ?

Non è possibile affermare che una tipologia di certificato sia in assoluto meglio di un’altra, fattori quali “tipologia di certificazione”, “tipologia di copertura”, “chiave di cifratura”, “maggiore o minore compatibilità su clients e browser”, “costo annuale” possono indirizzare verso una tipologia di certificato piuttosto che un’altra.

A) Le tipologie di certificazione principali sono:

  • DV (Domain Validation) – questi SSL sono i più veloci e facile da emettere, in quanto certificano unicamente il protocollo SSL e che il richiedente sia effettivamente autorizzato a fare richieste per quel dominio.
  • OV (Organization Validation) – questi SSL vengono emessi in 2/3 giorni e l’Ente certificatore verifica attraverso procedure automatiche e/o manuali che il proprietario del dominio sia corrispondente con quello presente nei dati pubblici del whois.
  • EV (Enhanced Validation) – Sono gli SSL che evidenziano una barra verde sull’url del dominio all’interno dei browser – richiedono una validazione accurata da parte dell’ente certificatore, garantendo in questo caso non solo che il proprietario del dominio sia corrispondente con i dati pubblici del whois, ma che questi sia anche presente in determinate liste ufficiali, che faccia effettivo business con la ragione sociale indicata e che sia reperibile ai numeri e agli indirizzi pubblicamente indicati.

B) Le tipologie di copertura, si riferiscono alla possibilià di un SSL di garantire:

  • Solo il dominio principale (domain.tld) e il relativo www (www.domain.tld) – SSL Standard
  • Anche tutti i sottodomini (*.domain.tld) – SSL Wildcard
  • Diversi domini o sottodomini dello stesso proprietario e/o sullo stesso server – Multidomain (UCC, SAN, MDC)

C) Le chiavi di cifratura moderne, garantiscono la criptazione delle comunicazioni sempre a 128 o 256-bit e sono questi i requisiti minimi che ci attendiamo da un certificato SSL

D) La compatibilità con i Browser è una caratteristica importante, e dovrebbe essere garantita una compatibilità su almeno il 99% dei Browser includendo anche i più obsoleti

E) Il costo annuale di un SSL è quindi una logica conseguenza delle caratteristiche sopra indicate e può ovviamente dipendere anche dal Brand dell’ente certificatore dove ad esempio enti molto noti come Symantec (VeriSign) fanno valere maggiormente il proprio peso rispetto a brand appena nati.

Un esempio pratico

Analizzando l’esigenza da un punto di vista pratico ad esempio di un e-commerce Magento, perché acquistare un SSL e quale ?

La pura garanzia di criptazione e sicurezza sui dati transati, per un e-commerce può essere ovviamente più importante se il merchant gestisce autonomamente le transazioni di pagamento con carta di credito invece di usare gateway di terze parti (es: PayPal)

Anche se non vengono gestiti pagamenti diretti ci sono però altri ottimi e convincenti motivi per attivare un SSL:

  • Maggiori performance SEO (come da recenti indicazioni di Google)
  • Scongiurare l’avviso su Chrome e altri browser di “sito insicuro” (come da recenti indicazioni di Chrome)
  • Garantire i propri utenti sull’identità del merchant in modo da rassicurarli nella procedura di acquisto

Per queste ragioni consiglieremmo l’acquisto di un certificato almeno di tipo OV (Organization Validation) meglio se di tipo EV (Enhanced Validation) in modo che la “barra verde” sul browser sia immediata garanzia per l’acquirente e della sicurezza dei propri dati e della veridicità del Merchant.

I certificati SSL di neen

Scegli neen come partner per la scelta del tuo SSL!

Per i certificati più “semplici” di tipo DV (Domain Validation) l’emissione avviene in pochi minuti e con verifica automatica, senza complicazioni cartacee e con il massimo livello di sicurezza (2048 bit digital signatures, fino a 256 bit encryption).

Per esigenze più complesse visita la sezione SSL sul nostro sito e contattaci per essere guidato nella scelta più indicata.

Jessica  Ventura Social Media Manager

Commenti