Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale

Proteggere il sito con il protocollo HTTPS

Proteggi il tuo sito e i tuoi utenti

Che cos'è il protocollo HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l'integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l'esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito.

I dati inviati tramite HTTPS vengono protetti tramite il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione fondamentali:

  1. Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l'utente consulta un sito web, nessuno può "ascoltare" le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
  2. Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
  3. Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.

Best practice per l'implementazione del protocollo HTTPS

Utilizzare certificati di sicurezza efficaci

Devi ottenere un certificato di sicurezza nell'attivazione di HTTPS per il sito. Il certificato viene emesso da un'autorità di certificazione (CA), che adotta misure per verificare che il tuo indirizzo web appartenga effettivamente alla tua organizzazione, proteggendo così i tuoi clienti da attacchi man-in-the-middle. Quando configuri il tuo certificato, garantisci un'elevata sicurezza scegliendo una chiave a 2048 bit. Se hai già un certificato con una chiave meno efficace (a 1024 bit), esegui l'upgrade a 2048 bit. Quando scegli il certificato del tuo sito, tieni presente quanto segue:

  • Richiedi il certificato a un'autorità di certificazione attendibile che offre assistenza tecnica.
  • Stabilisci quale tipo di certificato ti serve:
    • Unico certificato per un'unica origine protetta (ad esempio www.example.com).
    • Certificato multidominio per diverse origini protette note (ad esempio, www.example.com, cdn.example.com, example.co.uk).
    • Certificato con caratteri jolly (ad esempio a.example.com, b.example.com).

Utilizzare reindirizzamenti 301 lato server

Reindirizza gli utenti e i motori di ricerca alla pagina HTTPS o alla risorsa con reindirizzamenti HTTP 301 lato server.

Verificare che Google possa eseguire la scansione e l'indicizzazione delle pagine HTTPS

  • Non bloccare le pagine HTTPS utilizzando file robots.txt.
  • Non includere meta tag noindex nelle pagine HTTPS.
  • Utilizza lo strumento Visualizza come Google per verificare che Googlebot possa accedere alle tue pagine.

Supportare HSTS

Consigliamo il supporto di HSTS per i siti HTTPS. Lo standard HSTS indica al browser di richiedere automaticamente le pagine HTTPS, anche se l'utente inserisce http nella barra degli indirizzi del browser. Indica inoltre a Google di pubblicare URL protetti nei risultati di ricerca. Tutto questo riduce al minimo il rischio di pubblicazione di contenuti non protetti per i tuoi utenti.

Per supportare HSTS, utilizza un server web che supporti HTTP Strict Transport Security (HSTS) e assicurati che sia attivo.

 HSTS aggiunge complessità alla tua strategia di rollback. Ti consigliamo, pertanto, di attivare HSTS nel seguente modo:

  1. Implementa inizialmente le pagine HTTPS senza HSTS.
  2. Invia intestazioni HSTS di breve durata massima. Esegui il monitoraggio del traffico di utenti e di altri clienti, così come del rendimento degli elementi che da essi dipendono, quali gli annunci.
  3. Lentamente aumenta la durata massima di HSTS.
  4. Se HSTS non evidenzia alcun effetto negativo su utenti e motori di ricerca, puoi, se lo desideri, richiedere che il tuo sito venga aggiunto all'Elenco di precaricamento HSTS per Chrome.

Prendere in considerazione l'utilizzo del precaricamento HSTS

Se attivi HSTS, puoi, a scelta, supportare il precaricamento HSTS per offrire maggiore sicurezza. Per attivarlo, devi visitare il sito hstspreload.org e rispettare i requisiti per l'invio del tuo sito.

includeSubDomains

Il precaricamento HSTS richiede l'impostazione dell'istruzione includeSubDomains nell'intestazione HSTS. L'associazione dei sottodomini funziona in questo modo: se il sito www.example.com pubblica un'intestazione HSTS con l'istruzione includeSubdomains, i domini corrispondenti saranno:

Impostazione di includeSubDomains = true per il sito www.example.com
URL Consentito?
www.example.com Corrispondenza
foo.www.example.com Corrispondenza
example.com Nessuna corrispondenza
foo.example.com Nessuna corrispondenza

Come evitare di incorrere in errori comuni

Durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere i seguenti errori:

Problema Azione
Certificati scaduti Assicurati che il tuo certificato sia sempre aggiornato.
Certificato registrato per il nome sbagliato del sito web Verifica di avere registrato il certificato per il nome host corretto. Ad esempio, se registri il certificato per www.example.com e il tuo sito web è configurato per utilizzare example.com, riceverai un errore di errata corrispondenza del nome del certificato.
Supporto della funzione Indicazione nome server (SNI) mancante Assicurati che il tuo server web supporti SNI e che il tuo pubblico utilizzi browser supportati. La funzione SNI è supportata da tutti i browser moderni, ma ti servirà un IP dedicato se devi supportare browser meno recenti.
Problemi di scansione Non impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt.
Problemi di indicizzazione Se possibile, consenti l'indicizzazione delle pagine da parte dei motori di ricerca. Evita di utilizzare il meta tag noindex.
Versioni precedenti del protocollo Le versioni precedenti del protocollo sono vulnerabili; assicurati di avere le versioni più recenti delle librerie TLS e di implementare le ultime versioni del protocollo.
Elementi di sicurezza misti Incorpora soltanto contenuti HTTPS nelle pagine HTTPS.
Contenuti diversi su HTTP e HTTPS Assicurati che i contenuti sul tuo sito HTTP e sul sito HTTPS corrispondano.
Errori di codice di stato HTTP su HTTPS Verifica che il tuo sito web restituisca il codice di stato HTTP corretto. Ad esempio, 200 OK per le pagine accessibili, oppure 404 o 410 per le pagine che non esistono.

Ulteriori suggerimenti

Consulta la pagina relativa alle domande frequenti sulla migrazione ad HTTPS per ottenere ulteriori suggerimenti circa l'utilizzo delle pagine HTTPS sul tuo sito.

Migrazione da HTTP a HTTPS

Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l'operazione uno spostamento del sito con modifiche agli URL. Ciò può influire temporaneamente sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina recante una panoramica sullo spostamento di un sito.

Aggiungi la proprietà HTTPS a Search Console. Search Console gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine che adottano entrambi i protocolli, devi indicare una proprietà Search Console distinta per ciascuno di essi.

Ulteriori informazioni

Per ulteriori informazioni sull'implementazione di TLS sul tuo sito, visita i seguenti siti:

Hai trovato utile questo articolo?
Come possiamo migliorare l'articolo?