La guida da A a Z per Secure Sockets Layer (SSL) per le aziende online

Articolo scritto da: Timothy Shim
  • Guide di hosting
  • Aggiornato: ottobre 06, 2020

Costruire una relazione richiede fiducia e questo è molto più intenso per uno in cui le due parti hanno più probabilità e non si incontreranno mai. Fidati di Internet è di fondamentale importanza, soprattutto se tale relazione è transazionale; dove sono coinvolti i soldi. Anche più profondo di quello è il fatto che I dati sono il nuovo oro, quindi quasi tutto ciò che facciamo in rete deve essere sicuro.

Costruire quel rapporto di fiducia non è facile, ma c'è stata una crescente pressione proprietari di siti Web per creare un ambiente che consente ai propri utenti di sentirsi al sicuro. I certificati SSL sono un mezzo chiave per fare ciò, poiché assicurano agli utenti che la connessione che hanno a quel sito Web è sicura.

Per l'utente finale, tutto ciò di cui hanno bisogno per verificare che questa sia una semplice icona mostrata sul proprio browser. Per i proprietari di siti Web, è un po 'più complicato, ma non deve essere.

Tabella dei Contenuti

Leggi anche - Dove acquistare i tuoi certificati SSL

Cos'è Secure Sockets Layer (SSL)?

SSL è un protocollo di sicurezza che assicura agli utenti che la connessione tra il loro computer e il sito che stanno visitando è sicura. Durante una connessione, passano molte informazioni tra due computer, compresi quelli che possono essere dati altamente riservati come numeri di carte di credito, numeri di identificazione dell'utente o persino password.

In circostanze normali, questi dati vengono inviati in formato testo, il che significa che se la connessione dovesse essere intercettata da terzi, tali dati potrebbero essere rubati. SSL lo impedisce imponendo un algoritmo di crittografia da utilizzare durante la connessione su entrambe le estremità.

Il lucchetto, o icona del lucchetto verde, è diventato un indicatore di affidabilità per gli utenti che il sito Web che stanno visitando prende sul serio la loro sicurezza.

Indicazione di SSL su diversi browser Internet.
Indicazione di SSL su diversi browser Internet.

Perché abbiamo bisogno di un certificato SSL?

In origine, la domanda più frequente era "Abbiamo bisogno di un certificato SSL".

E la risposta tipica sarebbe "dipende". Dopotutto, perché i siti Web che non hanno bisogno di gestire dati finanziari sensibili devono essere così sicuri?

Sfortunatamente, come accennato in precedenza, l'era del digitale ha fatto sì che, a parte il contante immediato, gli hacker oggi abbiano iniziato a cercare sempre più informazioni personali.

Il fattore di Google

Riconoscendo questo, a partire da luglio 2018, Google etichetterà tutte le pagine HTTP standard come non sicure. Questo è importante da riconoscere, perché significa che i siti riconosciuti come non protetti da Google potrebbero subire una penalizzazione nella classifica delle ricerche. I siti web prosperano sul traffico e se non visualizzi annunci Google, non otterrai molto in termini di traffico sul sito web.

Consigli dal professionista

Se c'era un miglioramento della classifica, era trascurabile. Nonostante ciò, avere SSL era ancora una mossa intelligente.

È un segnale di fiducia ed evita la possibilità che Chrome visualizzi "non protetto" sul tuo sito. E mentre i vantaggi del ranking diretto al momento potrebbero essere piccoli, è possibile che possano essere più significativi in ​​futuro.

Inizialmente avevo smesso di passare a SSL. Avevo sentito un sacco di storie dell'orrore del traffico che si tuffava e non si riprendeva. Fortunatamente non è stato così. Il traffico è leggermente diminuito per circa una settimana, poi è tornato.

- Adam Connell, Blogging Wizard

Secondo Blog sulla sicurezza online di Google, a partire dall'inizio di 2018, oltre il 68% del traffico di Chrome su Android e Windows è stato protetto e 81 dei siti 100 principali del Web utilizza già HTTPS per impostazione predefinita.

Connessione HTTPS tramite Google Chrome su piattaforme diverse.
Percentuale di caricamento della pagina su HTTPS in Chrome per piattaforma. Il traffico 64% di Chrome su Android ora è protetto. Oltre il traffico 75% di Chrome su Chrome OS e Mac è ora protetto. Tutte e tre le cifre mostrano un significativo incremento rispetto a un anno fa.

Per ora, potresti non aver ancora bisogno di un certificato SSL, ma potrebbe essere saggio prendere seriamente in considerazione l'implementazione di uno. Sebbene a questo punto Google stia emettendo solo avvertimenti e penalizzando le classifiche di ricerca, dato lo stato attuale della sicurezza informatica, probabilmente non si fermerà qui.

Come funziona SSL

Semplicisticamente parlando, ci sono tre componenti principali nella creazione di una connessione;

  1. Il client: questo è il computer che richiede informazioni.
  2. The Server - Il computer che contiene le informazioni richieste dal Cliente.
  3. The Connection - Il percorso lungo il quale i dati viaggiano tra il client e il server.
Come funziona SSL: la differenza tra HTTP e HTTPS.
Connessione HTTP vs HTTPS (Fonte: Sucuri)

Per stabilire una connessione sicura con SSL, ci sono alcuni altri termini di cui devi essere a conoscenza.

  • Certificate Signing Request (CSR) - Questo crea due chiavi sul server, una privata e una pubblica. Le due chiavi funzionano in tandem per aiutare a stabilire la connessione sicura.
  • Certificate Authority (CA) - Questo è un emittente di certificati SSL. Un po 'come una società di sicurezza che detiene un database di siti Web affidabili.

Una volta richiesta una connessione, il server creerà il CSR. Questa azione quindi invia dati che includono la chiave pubblica per la CA. La CA crea quindi una struttura dati che corrisponde alla chiave privata.

La parte più critica del certificato SSL è che è firmata digitalmente dalla CA. Questo è fondamentale perché i browser si fidano solo dei certificati SSL firmati da un elenco molto specifico di CA come VeriSign or DigiCert. L'elenco delle CA viene sottoposto a severi controlli e deve rispettare gli standard di sicurezza e autenticazione impostati dai browser.

Tipi di certificati SSL

I browser identificano i certificati SSL (il certificato EV è mostrato in questa immagine) e attivano i miglioramenti della sicurezza dell'interfaccia del browser.

Sebbene tutti i certificati SSL siano progettati per lo stesso scopo, non tutti sono uguali. Pensa ad esso come comprare un telefono. Tutti i telefoni sono fondamentalmente progettati per fare la stessa cosa, ma ci sono diverse aziende che li producono e producono molti modelli diversi a diversi prezzi.

Per semplificare le cose, suddividiamo i tipi di certificato SSL per livello di affidabilità.

Certificato 1- Domain Validated (DV)

Tra i certificati SSL, il certificato convalidato dal dominio è il più basilare e assicura semplicemente agli utenti che il sito è sicuro. Non ci sono molti dettagli ad eccezione di questo semplice fatto e molte organizzazioni di sicurezza non raccomandano l'uso di certificati convalidati dal dominio per siti web che trattano transazioni commerciali. Il certificato convalidato dal dominio è lo smartphone di bilancio del mondo SSL.

Certificato 2 - Organizzazione convalidata (OV)

I titolari di certificati organizzativi sono controllati in modo più rigoroso dalle autorità di certificazione che dai titolari di certificati convalidati dal dominio. In effetti, i proprietari di questi certificati sono autenticati da personale dedicato che li convalida contro i registri delle imprese gestiti dal governo. I certificati OV contengono informazioni sull'azienda che li detiene e sono spesso utilizzati su siti web commerciali e rappresentano gli smartphone di fascia media del mondo SSL.

Certificato 3- Extended Validation (EV)

Rappresentando il più alto livello di fiducia nelle classifiche SSL, i certificati EV sono scelti dal meglio del meglio e sottoposti a severi controlli. Optando per l'uso dei certificati EV, questi siti web stanno acquistando in profondità la fiducia dei consumatori. Questi sono gli iPhoneX del mondo SSL.

Il fatto che la certificazione SSL sia diventata così altamente raccomandata oggi, molti siti Web di frodi hanno anche adottato l'uso di SSL. Dopo tutto, c'è una piccola differenza per i siti web, ad eccezione del lucchetto con certificazione verde. Questo è il motivo principale per cui le organizzazioni più affidabili stanno procedendo verso la certificazione SSL che è più altamente controllata.

Dal momento che qualsiasi connessione SSL riuscita fa apparire l'icona del lucchetto, gli utenti non sono probabilmente a conoscenza del fatto che il proprietario del sito web sia stato convalidato o meno. Di conseguenza, i truffatori (compresi i siti Web di phishing) hanno iniziato a utilizzare SSL per aggiungere credibilità percepita ai loro siti web. - wikipedia.

Dove ottenere SSL I certificati?

Per ottenere un certificato SSL, è necessario rivolgersi a un'autorità di certificazione (CA).

Le autorità di certificazione (CA) sono come le società di sicurezza private. Sono loro che emettono certificati digitali che facilitano il processo di creazione SSL. Appartengono inoltre a un elenco limitato di attività commerciali che soddisfano criteri dettagliati per mantenere il loro posto in tale elenco. Le CA che mantengono il loro posto in quell'elenco possono emettere certificati SSL, quindi l'elenco è esclusivo.

Il processo non è così semplice come sembra, poiché prima che un certificato possa essere emesso, la CA deve verificare l'identità del sito web che ne fa richiesta. Il livello di dettaglio in questi controlli dipende dal tipo di SSL applicato.

Cosa rende eccezionale un'autorità di certificazione (CA)?

La migliore CA è colui che è stato nel business per un po 'di tempo e segue le migliori pratiche nel mondo degli affari, non solo per sé stesso ma anche per tutti i partner associati al business. Idealmente, dovrebbero anche essere in grado di dimostrare la comprovata esperienza nel settore.

Cerca una CA che rispetti gli standard attuali, sia attivamente coinvolta nel settore della sicurezza e abbia il maggior numero di risorse possibile a supportare i propri clienti.

Un buon CA potrebbe anche:

  • Hanno tempi di convalida ragionevolmente brevi
  • Essere facilmente accessibile ai propri clienti
  • Ho un grande sostegno

Autorità di certificazione consigliate

NameCheap offre l'intera gamma di certificati SSL, quindi troverai qualcosa lì, indipendentemente dalle tue esigenze o dal tuo budget. I certificati di convalida del dominio standard partono da $ 8.88 all'anno, ma ci sono anche certificati premium che arrivano fino a $ 169 all'anno (Visita online).

SSL.com e NameCheap sono i miei punti di riferimento quando ho bisogno di acquistare un certificato SSL. In alternativa, controlla questo elenco dei migliori fornitori di certificati SSL.

SSL gratuito di Let's Encrypt

Per quelli di voi che gestiscono siti personali o hobbistici o qualsiasi cosa che non è commerciale, c'è un out per voi che è comunque accettabile per Google.

Let's Encrypt è una CA affidabile che è aperta e libera da usare (). Sfortunatamente, emette solo certificati validati dal dominio o dal DNS senza piani per estenderlo a OV o EV. Ciò significa che i loro certificati possono solo convalidare la proprietà e non la holding. Se sei un sito commerciale, questo è il principale svantaggio.

Let's Encrypt è preconfigurato in alcune società di hosting (ad esempio: GreenGeeks). Se hai intenzione di utilizzare Let's Encrypt Free SSL, è meglio ospitare con uno di questi host web.

GreenGeeks offre Let's Encrypt SSL gratuito e fornisce un programma di installazione facile da usare sulla dashboard dell'utente.

Come installare un certificato SSL

Installazione SSL per cPanel

Procedure:

  1. Sotto le opzioni 'Sicurezza', clicca su 'SSL / TLS Manager'
  2. Sotto "Installa e gestisci SSL", seleziona "Gestisci siti SSL"
  3. Copia il codice del tuo certificato includendo --BEGIN CERTIFICATE-- e --END CERTIFICATE-- e incollalo nel campo "Certificate: (CRT)".
  4. Fai clic su "Riempimento automatico per certificato"
  5. Copia e incolla la catena di certificati intermedi (pacchetto CA) nella casella sotto il pacchetto di autorità di certificazione (CABUNDLE)
  6. Fai clic su "Installa certificato"

* Nota: se non si utilizza un indirizzo IP dedicato, sarà necessario selezionarne uno dal menu Indirizzo IP.

Installazione SSL per Plesk

Procedure:

  1. Vai alla scheda Siti Web e domini e scegli per quale dominio desideri installare il certificato.
  2. Fai clic su "Proteggi i tuoi siti"
  3. Nel segmento "Carica i file dei certificati", fai clic su "Sfoglia" e scegli il certificato e i file del pacchetto CA necessari.
  4. Fai clic su "Invia file"
  5. Torna su "Siti web e domini", quindi fai clic su "Impostazioni di hosting" per il dominio su cui stai installando il certificato.
  6. Sotto 'Sicurezza', dovrebbe essere disponibile un menu a discesa per selezionare il certificato.
  7. Assicurarsi che la casella 'Supporto SSL' sia selezionata.
  8. Assicurati di fare clic su "OK" per salvare le modifiche

Per verificare se l'installazione è stata eseguita correttamente, è possibile utilizzare questo strumento di convalida SSL gratuito.

Aggiorna i collegamenti interni del tuo sito web

Se controlli i collegamenti interni del tuo sito web, noterai che stanno tutti utilizzando HTTP. Ovviamente questi devono essere aggiornati ai collegamenti HTTPS. Ora in pochi passaggi ti mostreremo un modo per farlo globalmente usando una tecnica di reindirizzamento.

Tuttavia, è consigliabile aggiornare i collegamenti interni da HTTP a HTTPS.

Se hai un piccolo sito web con solo poche pagine che non dovrebbe richiedere troppo tempo. Tuttavia, se hai centinaia di pagine ci vorranno anni, quindi sarebbe meglio usare uno strumento per automatizzare questo per risparmiare tempo. Se il tuo sito funziona su database, esegui ricerca nel database e sostituzione usando questo script gratuito.

Aggiorna i link che rimandano al tuo sito

Una volta che si passa a HTTPS se si dispone di siti Web esterni che si collegano a voi, si indicherà la versione HTTP. Stiamo impostando un reindirizzamento in pochi passaggi, ma se ci sono siti Web esterni in cui controlli il tuo profilo, puoi aggiornare l'URL in modo che punti alla versione HTTPS.

Buoni esempi di questi sarebbero i profili dei social media e qualsiasi elenco di directory in cui si dispone di una pagina del profilo che è sotto il tuo controllo.

Imposta un reindirizzamento 301

OK sul pezzo tecnico e se non si è sicuri di questo tipo di cose, allora è sicuramente il momento di ricevere assistenza da esperti. È piuttosto semplice e in effetti non richiede molto tempo, ma devi solo sapere cosa stai facendo.

Con un reindirizzamento 301, ciò che stai facendo è comunicare a Google che una determinata pagina è stata spostata definitivamente su un altro indirizzo. In questo caso, dovrai dire a Google che tutte le pagine HTTP sul tuo sito sono ora HTTPS in modo che reindirizzi Google alle pagine corrette.

Per la maggior parte delle persone che usano il web hosting Linux questo sarà fatto attraverso il file .htaccess (vedi codice sotto - come da raccomandazione di Apache).

 ServerName www.example.com Reindirizza "/" "https://www.example.com/"

Aggiorna il tuo CDN SSL

Questo è in realtà un passaggio facoltativo perché non tutti utilizzano un CDN. CDN è l'acronimo di Content Delivery Network ed è un insieme di server geograficamente distribuiti che memorizzano copie dei tuoi file web e li presentano ai tuoi visitatori da un server geograficamente vicino per migliorare la velocità che carica per loro.

Oltre a migliorare le prestazioni, un CDN può anche offrire una sicurezza migliore perché i suoi server possono monitorare e identificare il traffico dannoso e impedire che raggiunga il tuo sito web.

È un esempio di un popolare CDN Cloudflare.

Ad ogni modo, basta chiedere alla società di hosting se si sta utilizzando un CDN. Se non stai bene, passa al prossimo passaggio.

Se sei allora, devi contattare il CDN e chiedere loro istruzioni per aggiornare il tuo SSL in modo che il loro sistema CDN lo riconosca.

Errori comuni del certificato SSL e soluzioni rapide

1. Certificato SSL non attendibile

Quasi tutti i browser in uso diffuso come Chrome, Microsoft Edge, Mozilla Firefox e apple Safari hanno repository incorporati che sono utilizzati per riconoscere certificati SSL affidabili.

Se ricevi un messaggio che indica che un sito ha un certificato non attendibile, fai attenzione perché probabilmente il certificato presente non è stato firmato da una CA attendibile.

2. Certificato SSL intermedio mancante

Questo errore è spesso causato da un certificato SSL installato in modo errato. Errori durante la procedura di installazione possono causare alcuni errori di connessione SSL. Ci dovrebbe essere un 'catena di fiducia'significa che tutti i componenti necessari nel processo di firma dovrebbero essere eseguiti senza interruzioni.

Se sei il proprietario di un sito web e riscontri questo errore, prova a fare riferimento alla sezione che ho trattato su "Installazione SSL'.

3. Problemi con i certificati autofirmati

Per aggirare i problemi SSL, alcuni proprietari di siti Web creano i propri certificati SSL. Questo è possibile, ma non fare molta differenza in quanto non sarà firmato da una CA attendibile. L'unica volta che i certificati autofirmati sono probabilmente utilizzati sono negli ambienti di test o di sviluppo. I siti con certificati autofirmati non verranno visualizzati come sicuri.

4. Errori di contenuto misto

Questo è un problema di configurazione. Affinché i certificati SSL funzionino, ogni singola pagina e ogni file sul tuo sito devono essere collegati tramite HTTPS. Questo include non solo pagine, ma anche immagini e documenti. Se una singola pagina non è collegata a HTTPS, il sito riscontra un errore di contenuto misto e torna a HTTP.

Per evitare questi problemi, assicurarsi che i collegamenti siano tutti aggiornati con i collegamenti HTTPS.

Conclusione

Alla fine della giornata, i certificati SSL sono una situazione vantaggiosa per tutti. Sì, potrebbe essere imposto da grandi aziende come Google, ma c'è davvero un piccolo svantaggio.

Per un piccolo prezzo, puoi assicurare ai clienti la sicurezza dei loro dati e della loro privacy. I clienti, d'altra parte, possono riacquistare fiducia nella tecnologia digitale, un campo che è stato sempre più rovinato da hacker, spammer e altri criminali informatici.

L'eCommerce è uno dei pilastri fondamentali per l'economia digitale e ha contribuito ad aumentare il commercio transfrontaliero ora più che mai. Mantenendo i dati sicuri e protetti, come proprietari di siti Web è possibile contribuire personalmente alla sicurezza di Internet.

Infine, quando scegli il tuo SSL, cerca di evitare di tenere d'occhio il prezzo e fai del tuo meglio per tornare sempre a una parola semplice quando ti senti perso o confuso; Fiducia.


Divulgazione

WHSR riceve commissioni di riferimento da società menzionate in questa pagina. Le nostre opinioni sono basate sull'esperienza reale e sui dati effettivi del server. Si prega di leggere la nostra politica di revisione per capire come funziona il nostro sistema di revisione e valutazione degli host.

A proposito di Timothy Shim

Timothy Shim è uno scrittore, editore e appassionato di tecnologia. Iniziando la sua carriera nel campo dell'Information Technology, ha rapidamente trovato la sua strada nella stampa e da allora ha lavorato con titoli internazionali, regionali e nazionali tra cui ComputerWorld, PC.com, Business Today e The Asian Banker. La sua esperienza risiede nel campo della tecnologia dal punto di vista sia dei consumatori che delle imprese.