Un sito sicuro

NOTE

HOME

 

Il protocollo HTTPS è stato sviluppato per garantire:
1. autenticazione del sito web visitato
2. protezione della privacy
3. integrità dei dati scambiati tra le parti comunicanti.

L'autenticazione è realizzata mediante un certificato (SSL) che individua in modo non "cammuffabile" il sito che si sta visitando. La privacy del visitatore, ovvero i suoi dati personali, e la integrità dei dati scambiati sono garantiti grazie alla trasmissione crittografata delle pagine scambiate e dei testi o dati imputati dal visitatore.

Dal 2017 tutti i principali browser segnalano assieme alla visualizzazione di una pagina se il sito (e la pagina) sono sicuri, con una scritta "Sicuro" (Chrome su desktop) o il simbolo di un lucchetto chiuso.

La sicurezza come sempre non è assoluta ma in un mondo sempre più affollato e insidioso come quello del web è ormai una prevenzione quasi obbligatoria e per questo motivo anche Musica & Memoria è passato a "sito sicuro". Nei modi che sono illustrati nel seguito, a beneficio di chi abbia lo stesso obiettivo.

Creare un sito sicuro

Per creare un sito HTTPS sono possibili due alternative:

  • acquisire autonomamente un certificato SSL ed applicarlo al proprio sito seguendo le numerose guide disponibili, avendo però accesso alle funzionalità del server, e quindi acquistando un servizio di Virtual Private Server (VPS)

  • Rivolgersi ad un IP che fornisce un certificato SSL assieme ai servizi di hosting di fascia alta, e attivarlo. In alcuni casi il servizio è estendibile anche ai sottodomini, in altri casi solo al dominio principale.

Per Musica & Memoria è stata seguita la seconda modalità.

Il passaggio da HTTP ad HTTPS in pratica

Dopo aver applicato il certificato SSL e aver atteso la propagazione dei nuovi DNS non è detto che la transizione sia completata e che ogni pagina del sito abbia la magica scritto "Sicuro" o il segno del lucchetto chiuso. Da ricordare che le pagine possono avere quattro classificazioni riguardo alla sicurezza:

  • Sicure (scritta simbolo del lucchetto, es. sito Musica & Memoria)

  • Né sicure né insicure (simbolo della i in un cerchio, es. sito La Repubblica); sono i siti ancora http://

  • Non sicure (scritta e avviso di entrare a proprio rischio e pericolo)

  • Unsafe: pagine bloccate dall'algoritmo di Google Safe Browsing (molto raro per i siti comuni e non fraudolenti)

Le anomalie più comuni sono:

  • la presenza nella pagina di un richiamo a una pagina senza certificato SSL (hhtp:// ovvero non crittografata) contenente un modulo con richiesta di credenziali

  • il riferimento a siti non sicuri (senza certificato SSL) contenente un link a un modulo con richiesta di credenziali

  • il riferimento a immagini non sicure (linkate su HTTP://)

Per ottenere un sito sicuro in tutte le pagine bisogna quindi identificare le anomalie presenti, anche con l'aiuto dell'assistenza del provider, risolverle e applicare la risoluzione a tutte le pagine con lo stesso problema.

Domini di terzo livello

Il ricorso a un dominio di terzo livello è diventato comune con la diffusione dei dispositivi mobili e degli smartphone in particolare. Creando un sottodominio "m" è possibile mettere a disposizione del visitatore una pagina con gli stessi contenuti ma con una grafica diversa ed ottimizzata. Questo sistema è stato scelto anche da Musica & Memoria per le pagine più visualizzate (Vedi Un sito responsive). Perché anche queste pagine siano sicure è necessario che il provider preveda la estensione del certificato SSL anche ai sottodomini. Considerando i principali provider attuali italiani, Aruba consente questa possibilità, mentre Tophost al momento no.

Salvare (o perdere) i link

Dopo il trasferimento tutti i link preesistenti che erano riferiti alle pagine con codice standard http non sono più funzionanti, e quindi è opportuno attivare il redirect 302 per salvare i link precedenti. Se però la parte prevalente del traffico è "organic" (ovvero proveniente da Google) dopo un certo periodo di tempo la situazione si riassesta. Per ottenere il massimo risultato è però possibile attivare direttamente dal provider il redirect automatico da HTTP a HTTPS.
Questo semplice sistema però non è sempre applicabile se si usa un sottodominio "m" per le pagine "mobili". Essendo forzatamente riferite su HTTP (se non si applica il certificato al sottodominio) sarebbero redirette su una inesistente pagina HTTP con lo stesso nome.

Salvare (o perdere) i like di Facebook

Un altro effetto collaterale indesiderato è rappresentato dalla sparizione dei like di Facebook sulle pagine, se è stata abilitata questa possibilità, come nel caso di M&M per molte pagine. Difatti il like è contato dall'applicazione di FB sull'URL della pagina, che è diverso per le pagine http e https, e anche per le pagine sul sottodominio m. I rimedi sono molto complicati. Si aspetta che pazientemente i contatori tornino a crescere.

Aggiornare Search Console

Se l'URL è diverso e non è un alias sono diversi anche i dati raccolti e mostrato dalla tradizionale e potente console di Google messa a disposizione del webaster. Qui la soluzione è una sola anche se non molto elegante: si duplicano le "proprietà" configurate sulla search console.

 

© Musica & Memoria Gennaio 2018

CONTATTO

HOME