Come Passare da un Protocollo HTTP al HTTPS e Quali Sono i Vantaggi

Rendere il mondo del web più sicuro offrendo, a chi naviga in rete, un ecosistema in grado di garantire una maggiore privacy.

È questa la mission che da anni Google cerca di portare avanti per combattere hacker e truffatori della rete, col fine ultimo di garantire una navigazione sicura agli utenti. 



E in questa battaglia la sua arma principale è Chrome, il browser web più utilizzato al mondo, che tra i vari sistemi di sicurezza implementati al suo interno offre anche password manager integrato, che conserva le proprie credenziali generando e associando alle stesse una nuova password casuale.

Ma la novità maggiore è stata introdotta a metà estate 2018 con Chrome68, con la nuova funzionalità di classificazione dei portali, che segna come siti non sicuri tutti quelli che non hanno ancora adottato il protocollo HTTPS.

In cosa consiste questo protocollo?

L’Hypertext Transfer Protocol Secure (protocollo di trasferimento di un ipertesto), è un’evoluzione dell’HTTP ma è soprattutto uno dei protocolli essenziali del web, sviluppato per garantire la sicurezza informatica di tutti gli internauti, e di conseguenza l’inviolabilità dei loro dati.

Quali sono i vantaggi nell'avere un sito in HTTPS?

A differenza dell’HTTP, l’HTTPS integra dei protocolli di crittografia avanzata che assicurano l’inviolabilità dei dati che noi inviamo sul web.

In poche parole, sfrutta un sistema a doppia chiave di criptazione che consente ai dati che transitano dal nostro PC al server di essere letti solo dal computer che ha inviato la richiesta di accesso al file, e di non essere quindi criptati da eventuali malintenzionati.

E anche nel caso in cui un hacker riuscisse comunque ad intromettersi all'interno dello scambio, non riuscirebbe comunque a decifrare i bit, in quanto non possiede la crittografia necessaria per decifrare quella comunicazione.

Inoltre, sembra che i siti crittografati vengano premiati da Google anche nei risultati di ricerca.

Quali sono invece gli svantaggi a mantenere il proprio sito in HTTP?

In questo caso si tratterebbe di una connessione non crittografata nella quale un hacker potrebbe essere in grado di decifrare lo scambio di dati tra client e server. Ciò è poco sicuro, soprattutto nel momento in cui cerchiamo di inviare dei dati sensibili, come ad esempio i dati di login o quelli della nostra carta di credito, che così verrebbero “dati in pasto” a qualsiasi criminale informatico in grado di ricostruire tutto il flusso di pacchetti dati scambiati.

Arrivati a questo punto la domanda è lecita: come migrare i siti dal protocollo HTTP a quello HTTPS?

I passaggi da seguire sono i seguenti:

1) Acquistare e installare un certificato Secure Socket Layers (SSL) o Trasport Security Layers (TLS): sono gli stessi hosting a venderli o a offrili gratuitamente.

Oppure un'alternativa pratica e veloce è quella di utilizzare un certificato gratuito tramite il servizio CloudFlare https://www.cloudflare.com/it-it/ssl/, che permette l'attivazione di un sito in SSL in un solo click.

Ma cos'è l'SSL? È una tecnica utilizzata per criptare e autenticare il traffico dati durante il passaggio dal browser al webserver, che protegge i dati di registrazione, quelli per effettuare il login, i dati di pagamento e i documenti caricati sui siti.

2) Impostare il reindirizzamento di tutte le pagine del sito da HTTP a HTTPS, e verificarne il corretto funzionamento. Per fare ciò occorrere scrivere questa semplice istruzione sul file .htaccess presente nella root del sito:

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

In molti casi è direttamente l’hosting a fornire questo servizio gratuito di indirizzamento senza dover intervenire sul file .htaccess. Su Aruba ad esempio, è possibile accedere a questa funzione automatica direttamente dal pannello di controllo.

Nel caso di Wordpress invece, è possibile poter usufruire del plugin Really Simple SSL, che una volta attivato, esegue tutto da solo. Nel momento in cui il plugin sarà attivo occorrerà andare su
Impostazioni → Generali della bacheca di Worpdress e sostituire http con https nei campi Indirizzo WordPress (URL) → Indirizzo Sito (Url) e poi salvare.

3) Una volta eseguito il tutto occorrerà verificare che tutti gli indirizzamenti funzionino nel modo corretto. È molto importante che tutte le pagine HTTP indirizzano alla relativa pagina in HTTPS, per questa ragione è necessario impostare un redirect 301.

4) Verificare il sito in HTTPS anche su Google Analytics, sulla console di Google Search e su Bing Webmaster Tool. Aggiornare la sitemap ed inviarla a Google.

Per qualsiasi chiarimento non esitare a contattarci.

Il Team di eADV.