Sito non sicuro in Google Chrome 56

Chrome 56 introduce importanti restrizioni per i siti HTTP non sicuri

20 marzo 2017
2 Condivisioni 1,362 Visualizzazioni

Lo scorso gennaio è stata rilasciata l’ultima versione del popolare browser Google Chrome. Tra le novità introdotte ve ne è una che ha messo in subbuglio il mondo dei webmaster. Google ha infatti stretto la morsa sul protocollo HTTP ritenuto insicuro e superato. Chrome 56 segnala i siti che raccolgono password o numeri di carte di credito come non sicuri. L’avviso “sito non sicuro” ha iniziato a comparire nei nostri browser su tutti quei siti che non hanno ancora adottato un certificato SSL.

La novità fa parte di un piano a lungo termine per contrassegnare tutti i siti HTTP come potenzialmente non sicuri.

Perché l’HTTPs è più sicuro?

A differenza dell’HTTP standard, l’HTTPs prevede che il traffico scambiato tra il server web e il browser dell’utente sia cifrato. Un certificato SSL, riconosciuto dal browser, farà sì che l’eventuale intercettazione del traffico, risulti inutile. Una cifratura forte, infatti, renderà inservibili i dati eventualmente catturati da un malintenzionato. L’accesso ad internet mediante connessioni wireless pubbliche è sempre più frequente. Bar, ristoranti e centri commerciali offrono accesso alla rete ai nostri smartphone, tablet e notebook. Queste connessioni, più di altre, sono spesso insicure e scambiare informazioni sensibili senza le opportune protezioni può essere molto rischioso.

Come superare l’avviso “sito non sicuro”?

L’avviso viene mostrato, al momento, solo nelle pagine ove è presente una form che contiene un campo password o per l’inserimento di numeri di carte di credito. Rientrano nel primo scenario tutte le form di registrazione con password e le login. E’ ad esempio il caso delle pagine d’accesso ai backend di Joomla, WordPress, ecc.

Come implementare l’HTTPs?

Per implementare il protocollo sicuro HTTPs nel nostro sito dobbiamo innanzitutto dotarci di un certificato. Ne esistono di tante tipologie: dai certificati professionali da migliaia di euro l’anno a soluzioni completamente gratuite. Vediamo le principali e più diffuse tipologie di certificati SSL:

  • Certificati SSL EV (extended validation): sono stati creati come risposta diretta all’incremento dei casi di frodi online che hanno minato la fiducia dei consumatori nei confronti delle transazioni in rete. Oltre a certificare il dominio, gli SSL EV certificano anche l’azienda che lo ha richiesto. Le certification authority, prima di rilasciare un certificato SSL EV, effettuano una serie di verifiche camerali oltre a contatti diretti con l’azienda per verificare che il richiedente abbia i titoli necessari all’assegnazione del certificato. Si tratta di una tipologia di certificato a pagamento il cui costo è solitamente superiore ai 100 euro l’anno e richiede alcuni giorni per il rilascio.
  • Certificato SSL DV: sono i certificati “standard” emessi dalle certification authority. Certificano un nome a dominio (ad esempio sitoweb.it) ma non l’azienda richiedente. Si tratta di certificati piuttosto economici, nell’ordine di poche decine di euro l’anno. I tempi di emissioni si aggirano solitamente in meno di 24 ore.
  • Certificato SSL DV free: sono emessi da certification authority come Let’s Encrypt e sono completamente gratuiti. Vengono offerti “senza garanzie” ed hanno alcune (piccole) limitazioni; ad esempio, vanno rinnovati ogni 3 mesi. Consentono di superare l’avviso di Chrome “sito non sicuro” e sono ideali per blog, siti vetrina ed in generale per tutti quei siti che non trattano dati sensibili. L’utilizzo di certificati DV,  in particolar modo quelli free,  è invece sconsigliato per siti ecommerce.

Riflessioni finali

É evidente l’intenzione di Google di far abbandonare gradualmente il protocollo HTTP in favore dell’HTTPs. Ha iniziato col considerare l’HTTPs tra i propri fattori di ranking. Il rilascio di Chrome 56 ed il famigerato “sito non sicuro” costituisce un altro tassello nella strategia di Google. Non passerà molto prima dell’abbandono totale dell’insicuro e obsoleto HTTP.

 

Articoli correlati

SSL gratuito con la CDN di CloudFlare
Guide
1 Condivisioni1282 Visualizzazioni
Guide
1 Condivisioni1282 Visualizzazioni

SSL gratuito con la CDN di CloudFlare

Alessio - Mar 20, 2017

CloudFlare è uno degli attori più importanti nel mondo delle CDN. Una CDN è una rete di server con copertura…

Come passare da http a https su WordPress
Guide
7 Condivisioni1,399 Visualizzazioni
Guide
7 Condivisioni1,399 Visualizzazioni

Come passare da http a https su WordPress

Alessio - Mar 18, 2017

Come abbiamo visto un un precedente articolo, con il rilascio delle recenti versioni di Google Chrome e Mozilla Firefox, la…

WordPress attaccato: come gestire la compromissione
Sicurezza
23 Condivisioni2,054 Visualizzazioni
Sicurezza
23 Condivisioni2,054 Visualizzazioni

WordPress attaccato: come gestire la compromissione

Alessio - Mar 05, 2017

WordPress è un CMS opensource estremamente popolare e diffuso. Forse anche per questo è spesso oggetto delle attenzioni di malintenzionati.…