Con questo articolo vogliamo aiutarvi a comprendere la necessità di migrare il sito in https, che altrimenti, potrebbe sembrare solo l’ennesimo costo da aggiungere al prossimo bilancio.

 

Cosa sono HTTP e HTTPS?

 

Per definizione http è l'acronimo per "Hypertext Transfer Protocol" ovvero protocollo di trasferimento di un ipertesto.

L'HTTP è usato come principale sistema per la trasmissione d'informazioni sul web e le sue specifiche sono gestite dal World Wide Web Consortium (W3C).

L’HTTPS dove la “s” finale sta per "secure" è l'analogo ma con un fattore di sicurezza più alto.

Guardando nella vostra barra degli indirizzi davanti al www, si trova il protocollo, che potrà essere http:// o https://. Se davanti al www non appare niente, è sottointeso il protocollo http

 

A cosa servono HTTP e HTTPS?

 

Questi due protocolli servono a specificare le modalità con cui le informazioni vengono scambiate.

Per esemplificare, ecco l'interessantissima conversazione del vostro computer o smartphone, quando avete cliccato sul link a questa pagina (non è proprio corretta ma rende più semplice l’idea):

Computer: Ciao Bonnet

Bonnet: Ciao Computer

Computer: Vorrei chiederti un'informazione

Bonnet: In quale modo me la vuoi chiedere?

Computer: http

Bonnet: ok, quale informazione vuoi?

Computer: Vorrei vedere la pagina "www.bonnet.it/news/software/perch%C3%A9-passare-il-proprio-sito-da-http-a-https/5630"

Bonnet: Ecco la pagina richiesta

Quindi HTTP e HTTPS descrivono la lingua con cui vengono richieste e date le informazioni.

Semplice no!?

 

Perché la necessità di un protocollo sicuro (HTTPS)?

 

La natura di internet è profondamente cambiata dai suo arbori nel 1969: l'home banking, le email, gli acquisti online ecc. hanno trasformato il web, da un luogo di consultazione di informazioni, ad un contenitore più ampio, che racchiude anche tutti i nostri dati digitali; infatti quando navighiamo spesso trasmettiamo i nostri dati personali e sensibili a volte senza neanche saperlo.

In questo, il protocollo HTTP ha un difetto, trasmette le informazioni in chiaro lungo il tragitto, quindi se il dato viene intercettato, può essere letto senza problemi da male intenzionati, da qui è nata l'esigenza di creare un nuovo protocollo che fosse in grado di proteggere i dati dall'origine alla destinazione.

Con il protocollo HTTPS il dato viene criptato e viene decriptato solo a destinazione rendendolo sicuro nel tragitto. La criptazione è eseguita attraverso l’uso di un certificato emesso da un ente di certificazione attendibile.

L'utilizzo di HTTPS è stato inizialmente prerogativa dei gruppi bancari e di pagamento elettronico, poiché trattavano dati come numeri di carte di credito e password dei conti correnti. Poi si adeguarono anche tutti i siti con cui si trasmettevano dati personali e sensibili, come i social network, la posta elettronica ecc..

Quali dati possono essere intercettati con il sito in HTTP?

Distinguiamo due grosse macro categorie di siti:

Siti di lead generation: che servono per dare visibilità ed ottenere nuovi contatti attraverso la compilazione di richieste di preventivo/informazioni.

In questo caso i dati personali intercettabili, sono quelli relativi al form da compilare, quindi l’indirizzo email, il nome e cognome o l’indirizzo fisico (dipende dai campi sul form).

Siti di commercio elettronico: dove Il prodotto/servizio viene venduto direttamente e pagato online senza necessità di preventivi.

Per questi siti le cose si complicano, perché ci sono più pacchetti di dati intercettabili.

  • Dati di accesso dell’utente sul sito (nome utente e password di accesso)
  • Dati anagrafici, di spedizione e di contatto
  • Dati relativi ai prodotti/servizi che l’utente vorrebbe acquistare
  • Dati di pagamento

I dati di pagamento, che sono in realtà i più appetibili, fortunatamente viaggiano sempre criptati con https, perché il pagamento non viene fatto direttamente sul sito, ma su quello della banca o su una piattaforma di pagamento online (tipo Paypal) che usano sempre, canali HTTPS protetti.

 

Perché il mio sito dovrebbe passare ad HTTP?

 

Tutti i browser web all’unisono, da Chrome a Safari (quindi anche Apple), inizieranno a mostrare la dicitura “sito non sicuro” o “sito sicuro” in base al protocollo utilizzato.

Non sappiamo come verranno mostrate queste diciture, solo Chrome attualmente ha rilasciato già la beta in cui si vede chiaramente nella barra degli indirizzi la dicitura come nelle immagini di seguito:

Chrome

Non sappiamo neanche quale sarà la percezione degli utenti in tal senso. Sappiamo solo che è stata imboccata la via del nuovo protocollo e che sarà il nuovo standard senza ombra di dubbio.

Possiamo ipotizzare che all’aumentare dei siti HTTPS e quindi "sicuri", potrebbe instaurarsi una diffidenza nei confronti di quelli “non sicuri”, sia da parte degli utenti che da parte dei motori di ricerca.

Google già dal 2014 rilasciava un comunicato in cui confermava che seppur molto piccolo, HTTPS sarebbe stato un fattore di posizionamento, diventa lecito domandarsi se aumenterà questo vantaggio in futuro per forzare il cambio. (pensiamo di si)

Io stesso, se il mio telefono riportasse la scritta sito non sicuro, forse ne cercherei un altro, soprattutto se dovessi lasciare i miei dati, tipo numero di telefono o email.

Il consiglio quindi è quello di effettuare il passaggio al nuovo protocollo, a meno di non avere un sito puramente informativo, allora magari aspettare di vedere cosa accadrà nel prossimo futuro.

 

Quanto costa Migrare il sito in HTTPS?

 

Dobbiamo distinguere due costi:

Il costo di gestione (canone annuale): comprende l’emissione del certificato e l’installazione sul server, ha un costo variabile in base al tipo di certificato da 120 a 150 Euro/anno (trovate maggiori dettagli in fondo alla pagina).

Costo di migrazione dal vecchio al nuovo (una tantum): avendo già un sito in http va migrato totalmente sul nuovo protocollo, nel caso di un sito nuovo ovviamente questo costo non c’è, perché si parte direttamente col protocollo sicuro. Il costo della migrazione è di 100 Euro

Quali certificati esistono?

Esistono due tipi di certificato, lo standard e l’extended entrambi offrono lo stesso livello di protezione, ma differiscono nella presentazione:

Certificato HTTPS standard:

Certifica il nome di chi possiede il sito e fornisce la chiave per la cifratura a 1024bit, si presenta in Chrome e gli altri browser semplicemente con la scritta verde e l’icona “sicuro”.

Ricordiamo che il costo di gestione e di emissione è di 120 euro/anno

 

Certificato HTTPS Extended:

Certifica e mostra il nome di chi possiede il sito e fornisce la chiave per la cifratura a 1024bit si presenta in Chrome e gli altri browser con il nome dell’azienda certificata.

Ricordiamo che il costo di gestione e di emissione è di 150 euro/anno

Per maggiori informazioni potete contattarci al numero 045/500511 oppure usando il form in questa pagina