Assicurati di ottenere certificati SSL per i tuoi domini

Cosa sono e perché hai bisogno di certificati SSL

Grazie all’utilizzo del protocollo HTTPS è possibile scambiare dati su internet in maniera sicura, in quanto questi ultimi verranno criptati utilizzando la tecnologia SSL (Secure Socket Layer).
Quando visitiamo un sito web, i dati che vengono scambiati tra il nostro browser ed il server sul quale viene ospitato il sito visitato possono essere intercettati, durante la trasmissione, da una terza persona che verrebbe a conoscenza dei dati trasmessi e ricevuti. Per evitare questo si utilizza https e la tecnologia SSL che permettono, attraverso l’utilizzo di un certificato SSL emesso da un ente certificatore, di criptare le informazioni trasmesse rendendole di fatto non intercettabili.

SSL è l'acronimo di "Secure Sockets Layer", un protocollo che consente la trasmissione di informazioni in modo sicuro proteggendo i dati sensibili e impedendo ai criminali informatici di leggere e modificare le informazioni trasferite. Per stabilire una connessione sicura al tuo sito web devi avere una chiave di protezione emessa da un ente preposto sotto forma di certificato.

Un certificato SSL associato al tuo dominio lo rende di sicuro più autorevole agli occhi del visitatore. Inoltre, avrai la certezza che i dati scambiati tra il tuo sito ed il visitatore siano criptati e non intercettabili. Se il tuo dominio contiene al suo interno form di registrazione utente, form per l’invio di e-mail informative, moduli per il pagamento elettronico sicuramente necessiti di un certificato SSL per proteggere lo scambio di questi dati sensibili. Inoltre, il motore di ricerca Google ha apertamente dichiarato di premiare, a livello di ranking, i siti che saranno esposti su internet attraverso una connessione sicura HTTPS.


Visualizzare SSL per il tuo dominio

  1. Vai a Google Domains
  2. Seleziona il tuo dominio.
  3. Fai clic su Menu .
  4. Fai clic su Sicurezza.
  5. Scorri fino alla casella del certificato SSL.
  6. Se disponi di uno o più certificati SSL, espandi la casella del certificato per maggiori dettagli.

Come implementare un certificato di sicurezza

I siti nati da poco possono beneficiare sin dall’inizio di una crittografia SSL/TLS. Ma anche per i siti web già esistenti il passaggio a SSL/TLS non è così complicato. Il primo passo in entrambi i casi è lo stesso: ottenere un certificato SSL per il relativo dominio.

Acquisire certificati SSL

Il certificato SSL è una sorta di carta di identità di un sito web. La Certificate Authority (CA), letteralmente "Autorità Certificante", cioè l’ente ufficiale dove si acquisisce il certificato, ha verificato l’identità precedentemente ed è responsabile della correttezza dei dati. I certificati SSL vengono depositati sul server e ogni volta richiamati, quando l’utente visita un sito web migrato sul protocollo HTTPS. Ci sono diversi tipi di certificati, che si differenziano per il tipo di identificazione:


  • Certificato SSL Domain Validation (DV) – gratuiti e a pagamento:

Questi sono i certificati con il livello di autenticazione più basso. Qui la CA verifica solamente se il richiedente sia in possesso del dominio corrispondente per il quale vorrebbe acquisire un certificato. Le informazioni dell’azienda non vengono controllate nella verifica, perciò con la convalida del dominio rimane un rischio residuo. Grazie a un minor impegno per l’autenticazione, il certificato viene, in generale, rilasciato in fretta dalla CA ed è inoltre il più conveniente tra i tre tipi di certificato SSL, spesso totalmente gratuito, come nel caso di Let’s Encrypt.

I certificati DV sono adatti per i siti web, nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.


  • Certificato SSL Organization Validated (OV) – a pagamento

Questo tipo di verifica è più completa e per questo più sicura di una convalida di dominio. Oltre al proprietario del dominio la CA verifica anche informazioni rilevanti sull’azienda, come ad esempio la registrazione nel registro delle imprese. Le informazioni verificate dalla CA sono visibili dal visitatore del sito web, cosa che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, il certificato SSL Organization Validated è più caro di quello Domain Validated, ma offre un grado di sicurezza più alto.

Questo certificato è adatto per i siti web dove non si fanno transazioni con dati sensibili.


  • Certificato SSL Extended Validation (EV) – a pagamento

Questo è il certificato con il livello di autenticazione maggiore e più completo. Rispetto al certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente, tramite criteri di assegnazione rigorosi. Inoltre, questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata dell’azienda garantisce il livello di sicurezza più alto e con questo rafforza la fiducia e la credibilità nel sito web. Allo stesso tempo il certificato Extended Validation comporta il costo più alto. Questo certificato è adatto ai siti web che, ad esempio, trattano con informazioni relative a carte di credito o altri dati sensibili. 

Con la seguente grafica si può meglio comprendere quali certificati sono validi per determinati siti web:

Come verificare di aver implementato correttamente il certificato di sicurezza

  • Eseguire il backup

Assicurarsi di eseguire il backup dei dati locali e del database prima di apportare eventuali modifiche. Quest’azione dà la possibilità, se necessario, di ripristinare una versione precedente dei dati. 

I backup possono essere ripristinati in qualsiasi punto, manualmente o utilizzando strumenti specifici in pochi click.

  • Reindirizzare tutti gli URL per mezzo del redirect 301

Una volta che il certificato SSL è stato attivato e il sito web è raggiungibile all’indirizzo https, allora non resta che inoltrare tutti gli URL http già esistenti ai nuovi http corrispondenti, e non solo alla homepage. Per il reindirizzamento si dovrebbe fare affidamento su di un 301 Redirect, poiché questo sta a significare che i contenuti presenti sui vecchi URL saranno disponibili in maniera stabile e duratura sui nuovi URL http. Evitate l’utilizzo di altri codici di stato e fate attenzione al reindirizzamento sia verso la variante www del vostro sito web, sia verso la variante senza www. Attraverso il file htaccess potete ottenere il reindirizzamento di tutti gli URL utilizzando il seguente comando:

 URL con www:

RewriteEngine On

RewriteCond %{HTTP_HOST} !^www\. [NC,OR]

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://www.ilmiodominio.it/$1 [R=301,L]

 

URL senza www: 

RewriteEngine On

RewriteCond %{HTTP_HOST} !^ilmiodominio\.com$ [NC,OR]

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://ilmiodominio.it/$1 [R=301,L]

Alternativamente se utilizzate un CMS potete anche utilizzare dei plug-in. Per WordPress, ad esempio, c’è il plug-in gratuito “Redirection”.

  • Sostituire i link interni

I link interni possono essere modificati tramite la ricerca e la sostituzione. Nei file HTML/PHP statici cercate http://www.ilvostrosito.it tramite un editor HTML, come ad esempio Phase5, e sostituitelo con https://www.ilvostrosito.it. Nel caso in cui utilizziate un CMS fornito di database, allora potete sostituire gli URL tramite il comando UPDATE. Su quale tabella vada utilizzato il comando UPDATE, lo dovete scoprire dal vostro provider. Fate inoltre attenzione che in un CMS non vanno cambiati solamente i link interni attraverso il database, ma anche il dominio nei file di configurazione, nei file template e negli script. Nel caso di WordPress si tratta del file wp-config e dei rispettivi file Theme.

  • Sostituire i link esterni più importanti

La modifica di link esterni particolarmente importanti (ad esempio un link di un sito di informazioni come quello del Fatto Quotidiano) serve a far sì che entrambi i visitatori e i motori di ricerca non debbano passare per il link vecchio prima di essere reindirizzati all’URL nuovo. Infatti, oltre a far perdere del tempo, un reindirizzamento danneggia in parte anche il prestigio del sito web agli occhi del motore di ricerca di Google il quale sul ranking interno dell’algoritmo finisce per diminuirne leggermente la rilevanza. Per questo motivo è importante chiedere al rispettivo webmaster di correggere velocemente i link.

  • Aggiornare i reindirizzamenti già esistenti

Al fine di evitare le redirect chain, ovvero le catene di reindirizzamento, devono essere modificati sia i reindirizzamenti sia i canonicals. Il bot di Google, per esempio, segue fino ad un determinato numero di reindirizzamenti, poi molla. Delle lunghe catene di reindirizzamento potrebbero così portare al fatto che le vostre pagine non vengano registrate all’interno dell’indice di ricerca di Google. Potete individuare le redirect chain nel vostro sito web grazie al tool a pagamento ScreamingFrog. I reindirizzamenti già esistenti dovrebbero poter essere trovati nel file htaccess, direttamente nel CMS o, ad esempio, direttamente nelle impostazioni di configurazione del server (NGIX, Lighttpd, IIS, ecc.).

  • Modificare i canonical, gli hreflang e le altre header entries

Nella sezione dell’intestazione del sito web ci sono tutti i tipi di richiami, all’interno dei quali vanno in egual modo inseriti i nuovi URL. Prestate attenzione ai seguenti elementi dell’header:

  • Canonical
  • Hreflang
  •  OpenGraph
  • Base URL
  • Modificare i dati strutturati

Nel caso in cui doveste adoperare dati strutturati direttamente nel codice sorgente della vostra pagina, come ad esempio il riconoscimento della navigazione Breadcrumb con JSON-LD, allora anche in questi dati strutturati gli URL contenuti al loro interno vanno ugualmente sostituti con la loro variante https.

  • Verificare/adeguare i robot.txt, se necessario

Per far sì che, anche con la nuova versione https del vostro sito web, i motori di ricerca si attengano alle indicazioni da voi riportate nel robot.txt, è necessario che questo stesso file venga adeguato correttamente nel caso in cui utilizziate URL assoluti. Questo non sarà invece il caso se impiegate URL relativi.

  • Modificare/aggiornare la Sitemap

Anche la Sitemap andrebbe aggiornata con i nuovi URL, così da assicurarsi che i nuovi URL vengano registrati velocemente nell’indice di ricerca e, ancora, per tutelare il Crawl Budget nonostante la sostituzione degli URL vecchi. Per questo motivo potrebbe anche essere opportuno sottoporre la nuova Sitemap ai motori di ricerca rilevanti, come Google o Bing, attraverso le rispettive search console o i rispettivi webmaster tool.

  • Sostituire/impostare gli URL all’interno dei tool esterni

Anche i tool e servizi vari, come ad esempio Ranking Checker, Search Console (per il quale è necessario ricaricare un file disavow anche per i nuovi URL https), Adwords, ecc., non devono e non possono essere tralasciati. Nella maggior parte dei casi basterà un rapido adeguamento degli URL.

  • Verificare che nessuna risorsa, né interna né esterna, venga caricata per http

Su di una pagina https non dovrebbe avvenire alcuna connessione non sicura, poiché altrimenti sul browser del visitatore spunterà fuori un messaggio di avvertimento non proprio confortante da vedere. Perciò deve essere verificato se il contenuto proprio (per esempio immagini, file CSS, ricerche interne, procedimenti per effettuare un ordine, formulari, librerie JavaScript, ecc.) come anche il contenuto esterno (pubblicità, tracking code, ecc.) siano collegati tramite http. Se questo è il caso, allora sarà necessario chiedere ai singoli provider se gli stessi contenuti siano raggiungibili tramite https.

  • Controllo conclusivo del SSL a verifica del collegamento corretto del certificato e dell’accessibilità delle pagine sia per utenti umani che per i bot 

Una volta conclusa la conversione in SSL, dovreste prefiggervi di fare un ultimo ma minuzioso controllo. Innanzitutto, potete controllare il collegamento del certificato SSL tramite un Online SSL Check. Anche i file di log dovrebbero essere controllati a loro volta, per stabilire che il crawler utilizzi gli URL corretti. Controllate giornalmente il vostro ranking, in modo da essere in grado di reagire prontamente ai problemi che vi si potrebbero eventualmente presentare. Monitorate sia gli URL http ancora in funzione che i nuovi URL https. Un peggior posizionamento o un’oscillazione nel ranking è un fenomeno che capita spesso in correlazione con una conversione di questo tipo. Attendete un paio di giorni fino a quando il ranking non si sarà stabilizzato di nuovo. Inoltre, è consigliabile che ripercorriate autonomamente le pagine del vostro sito web per mezzo di un tool esterno (come, ad esempio, Screaming Frog) e che verifichiate la presenza di eventuali errori.

  • Conseguente aggiornamento della comunicazione (link all’interno delle newsletter, conferma d’ordine, firma digitale, bigliettini da visita, ecc.)

Aggiornamento di tutti gli elementi in cui è presente il link al vecchio sito http.

 

Qui sotto è possibile visualizzare come vengono restituiti dal motore di ricerca i siti web non sicuri e sicuri:

ssl.jpg