info@mistersito.com
0832-1826118
Protocollo https

Protocollo HTTPS

Febbraio 10, 2017
277

Proteggere il sito con il protocollo HTTPS

Che cos'è il protocollo HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l'integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l'esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito.

I dati inviati utilizzando HTTPS vengono tutelati mediante il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione essenziali:

Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l'utente consulta un sito web, nessuno può "ascoltare" le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.

Dimostra che gli utenti comunicano con il sito web previsto, protegge da attacchi man-in-the-middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.

Best practice per l'implementazione del protocollo HTTPS

Utilizzare certificati di sicurezza efficaci

Devi ottenere un certificato di sicurezza nell'attivazione di HTTPS per il sito. Il certificato viene emesso da un'autorità di certificazione (CA), che adotta misure per verificare che il tuo indirizzo web appartenga effettivamente alla tua organizzazione, proteggendo così i tuoi clienti da attacchi man-in-the-middle. Quando configuri il tuo certificato, garantisci un'elevata sicurezza scegliendo una chiave a 2048 bit. Se hai già un certificato con una chiave meno efficace (a 1024 bit), esegui l'upgrade a 2048 bit. Quando scegli il certificato del tuo sito, tieni presente quanto segue:

Richiedi il certificato a un'autorità di certificazione attendibile che offre assistenza tecnica.
Stabilisci quale tipo di certificato ti serve:
Unico certificato per un'unica origine protetta (ad esempio www.example.com).
Certificato multidominio per diverse origini protette note (ad esempio, www.example.com, cdn.example.com, example.co.uk).
Certificato con caratteri jolly (ad esempio a.example.com, b.example.com).
Utilizzare reindirizzamenti 301 lato server
Reindirizza gli utenti e i motori di ricerca alla pagina HTTPS o alla risorsa con reindirizzamenti HTTP 301 lato server.

Verificare che Google possa eseguire la scansione e l'indicizzazione delle pagine HTTPS
Non bloccare le pagine HTTPS utilizzando file robots.txt.
Non includere meta tag noindex nelle pagine HTTPS.
Utilizza lo strumento Visualizza come Google per verificare che Googlebot possa accedere alle tue pagine.
Supportare HSTS
Consigliamo il supporto di HSTS per i siti HTTPS. Lo standard HSTS indica al browser di richiedere automaticamente le pagine HTTPS, anche se l'utente inserisce http nella barra degli indirizzi del browser. Indica inoltre a Google di pubblicare URL protetti nei risultati di ricerca. Tutto questo riduce al minimo il rischio di pubblicazione di contenuti non protetti per i tuoi utenti.

Per supportare HSTS, utilizza un server web che supporti HTTP Strict Transport Security (HSTS) e assicurati che sia attivo.

HSTS aggiunge complessità alla tua strategia di rollback. Ti consigliamo, pertanto, di attivare HSTS nel seguente modo:

Implementa inizialmente le pagine HTTPS senza HSTS.
Invia intestazioni HSTS di breve durata massima. Esegui il monitoraggio del traffico di utenti e di altri clienti, così come del rendimento degli elementi che da essi dipendono, quali gli annunci.
Lentamente aumenta la durata massima di HSTS.
Se HSTS non evidenzia alcun effetto negativo su utente e motori di ricerca, puoi, se lo desideri, richiedere che il tuo sito venga aggiunto all'Elenco di precaricamento HSTS per Chrome.

Prendi in considerazione l'utilizzo del precaricamento HSTS.
Se attivi HSTS, puoi, a scelta, supportare il precaricamento HSTS per offrire maggiore sicurezza. Per l'attivazione, devi impostare la direttiva includeSubDomains nell'intestazione HSTS. L'abbinamento dei sottodomini opera in questo modo: se il sito www.example.com pubblica un'intestazione HSTS con la direttiva includeSubdomains, i siti che soddisfano la corrispondenza saranno:

certificato https
Come evitare di incorrere in errori comuni
Durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere i seguenti errori:

sicurezza https
Ulteriori suggerimenti
Consulta la pagina relativa alle domande frequenti sulla migrazione ad HTTPS per ottenere ulteriori suggerimenti circa l'utilizzo delle pagine HTTPS sul tuo sito.

Migrazione da HTTP a HTTPS
Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l'operazione uno spostamento del sito con modifiche agli URL. Ciò può influire temporaneamente sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina recante una panoramica sullo spostamento di un sito.

Aggiungi la proprietà HTTPS a Search Console. Search Console gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine che adottano entrambi i protocolli, devi indicare una proprietà Search Console distinta per ciascuno di essi.

mister sito sicurezza