Proteggi i tuoi dati, scegli il protocollo HTTPS
Da ottobre 2017 Chrome e Firefox segnaleranno come non sicuri tutti quei siti che non adottano il protocollo HTTPS, necessario per la navigazione cifrata che protegge i dati. È consigliato per tutti i siti ma soprattutto per quelli che richiedono il rilascio di dati: password, nome utente, numero telefono, ecc.
Ad ottobre la corsa alla sicurezza di navigazione per gli utenti fa un consistente balzo in avanti.
I browser Google Chrome e Mozilla Firefox infatti , segnaleranno agli utenti come “Non sicuri” tutti quei siti che non saranno raggiungibili attraverso una connessione sicura su protocollo HTTPS.
Nei mesi precedenti, questa caratteristica è stata designata da Google quale parametro preferenziale per l’indicizzazione di un sito web.
Oggi assistiamo a un nuovo giro di vite verso quei siti che non consentono una navigazione cifrata, e pertanto più sicura in fatto di trasmissione di dati privati da utente a server e viceversa.
Questa brusca sterzata in direzione della sicurezza è giustificabile dai numerosi casi di furto di dati personali avvenuti negli ultimi tempi, segno evidente che la questione sicurezza non ha mai ricevuto tanta attenzione come oggi.
Salvaguardare la navigazione degli utenti ed evitare danni dovuti a intercettazione di dati personali è una scelta di buon senso da parte delle maggiori aziende operanti nel mondo dell’IT e non va considerata un atto punitivo nei confronti di quei siti che non si sono ancora adeguati a standard di sicurezza ormai basilari.
Per essere in regola con l’adozione di una connessione sicura è necessario acquistare un certificato SSL (acronimo di Secure Socket Layer) o il succedaneo TLS, standard più nuovo, sempre incentrato sulla crittografia dei dati trasmessi.
Questo certificato può essere acquistato attraverso il proprio provider di servizi internet, quali hosting e registrazione domini, i quali fungeranno da intermediari per l’acquisizione del certificato verso una Certificate Autority riconosciuta (un ente super partes che -al pari di un notaio- accerta l’identità e la reperibilità del richiedente il certificato).
In alternativa, il certificato, può essere acquisito attraverso organizzazioni libere che fungono da certificate authority, come ad esempio la ben nota Let’s Encrypt, un ente senza scopo di lucro che opera al fine di rendere Internet un luogo più sicuro e fruibile.
Nella fattispecie ad un certificato corrisponde un dominio. Esistono anche tipi di certificati più complessi che operano su diverse varianti (o terzi livelli) di un dominio, in questo caso si parla di certificati wildcard.
Diversi livelli di certificazione possono essere applicati per incontrare esigenze che variano dal semplice dover mettere in regola un sito web attraverso HTTPS (si parla di Domain Validated), al garantire la presenza di una organizzazione (in questo caso si parla di Organization Validated, e richiede la trasmissione di documentazione all’ente certificatore)
Una volta reperito il certificato, questo dovrà essere installato sul proprio server web e, come passo successivo, bisognerà modificare il proprio sito web in modo che instradi l’utenza verso la connessione HTTPS qualora venga raggiunto attraverso una connessione non cifrata HTTP.
