Proteggere il sito con il protocollo HTTPS

Proteggi il tuo sito e i tuoi utenti

Che cos'è il protocollo HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l'integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l'utilizzo di un sito web online avvenga in modo sicuro e privato. Ti invitiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito.

I dati inviati tramite HTTPS vengono protetti tramite il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione fondamentali:

  1. Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l'utente consulta un sito web, nessuno può "ascoltare" le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
  2. Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
  3. Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.

Best practice per l'implementazione del protocollo HTTPS

Utilizzare certificati di sicurezza efficaci

Devi ottenere un certificato di sicurezza nell'attivazione di HTTPS per il sito. Il certificato viene emesso da un'autorità di certificazione (CA), che adotta misure per verificare che il tuo indirizzo web appartenga effettivamente alla tua organizzazione, proteggendo così i tuoi clienti da attacchi man-in-the-middle. Quando configuri il tuo certificato, garantisci un'elevata sicurezza scegliendo una chiave a 2048 bit. Se hai già un certificato con una chiave meno efficace (a 1024 bit), esegui l'upgrade a 2048 bit. Quando scegli il certificato del tuo sito, tieni presente quanto segue:

  • Richiedi il certificato a un'autorità di certificazione attendibile che offre assistenza tecnica.
  • Stabilisci quale tipo di certificato ti serve:
    • Unico certificato per un'unica origine protetta (ad esempio www.example.com).
    • Certificato multidominio per diverse origini protette note (ad esempio, www.example.com, cdn.example.com, example.co.uk).
    • Certificato con caratteri jolly (ad esempio a.example.com, b.example.com).

Utilizzare reindirizzamenti 301 lato server

Reindirizza gli utenti e i motori di ricerca alla pagina HTTPS o alla risorsa con reindirizzamenti HTTP 301 lato server.

Verificare che Google possa eseguire la scansione e l'indicizzazione delle pagine HTTPS

  • Non bloccare le pagine HTTPS utilizzando file robots.txt.
  • Non includere meta tag noindex nelle pagine HTTPS.
  • Utilizza lo strumento Visualizza come Google per verificare che Googlebot possa accedere alle tue pagine.

Supportare HSTS

È consigliabile il supporto del protocollo HSTS (HTTP Strict Transport Security) per i siti HTTPS. Il protocollo HSTS indica al browser di richiedere automaticamente le pagine HTTPS, anche se l'utente inserisce http nella barra degli indirizzi del browser. Indica inoltre a Google di pubblicare URL protetti nei risultati di ricerca. Tutto questo riduce al minimo il rischio di pubblicazione di contenuti non protetti per i tuoi utenti.

Per supportare il protocollo HSTS, utilizza un server web che lo supporti e attiva la funzionalità.

Anche se è più sicuro, HSTS rende più complessa la strategia di rollback. Ti consigliamo, pertanto, di attivare HSTS nel seguente modo:

  1. Implementa inizialmente le pagine HTTPS senza HSTS.
  2. Invia intestazioni HSTS di breve durata massima. Esegui il monitoraggio del traffico di utenti e di altri clienti, così come del rendimento degli elementi che da essi dipendono, quali gli annunci.
  3. Aumenta lentamente l'età massima HSTS.
  4. Se HSTS non incide negativamente su utenti e motori di ricerca puoi, se vuoi, richiedere che il tuo sito venga aggiunto all'elenco di precaricamento HSTS usato dalla maggior parte dei browser più noti.

Prendere in considerazione l'utilizzo del precaricamento HSTS

Se attivi HSTS puoi, se vuoi, supportare il precaricamento HSTS per offrire maggiore sicurezza e migliorare il rendimento. Per attivare il precaricamento devi visitare il sito hstspreload.org e rispettare i requisiti per l'invio del tuo sito.

Come evitare errori comuni

Durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere i seguenti errori:

Problema Azione
Certificati scaduti Assicurati che il tuo certificato sia sempre aggiornato.
Certificato registrato per il nome sbagliato del sito web Verifica di avere ottenuto un certificato per tutti i nomi host su cui viene pubblicato il tuo sito. Ad esempio, se il certificato riguarda soltanto www.example.com, un visitatore che carica il tuo sito usando soltanto example.com (senza il prefisso "www.") verrà bloccato per un errore dovuto al nome del certificato che non corrisponde.
Supporto della funzione Indicazione nome server (SNI) mancante Assicurati che il tuo server web supporti SNI e che il tuo pubblico utilizzi browser supportati. La funzione SNI è supportata da tutti i browser moderni, ma ti servirà un IP dedicato se devi supportare browser meno recenti.
Problemi di scansione Non impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt.
Problemi di indicizzazione Se possibile, consenti l'indicizzazione delle pagine da parte dei motori di ricerca. Evita di utilizzare il meta tag noindex.
Versioni precedenti del protocollo Le versioni precedenti del protocollo sono vulnerabili; assicurati di avere le versioni più recenti delle librerie TLS e di implementare le ultime versioni del protocollo.
Elementi di sicurezza misti Incorpora soltanto contenuti HTTPS nelle pagine HTTPS.
Contenuti diversi su HTTP e HTTPS Assicurati che i contenuti sul tuo sito HTTP e sul sito HTTPS corrispondano.
Errori di codice di stato HTTP su HTTPS Verifica che il tuo sito web restituisca il codice di stato HTTP corretto. Ad esempio, 200 OK per le pagine accessibili, oppure 404 o 410 per le pagine che non esistono.

Ulteriori suggerimenti

Consulta la pagina relativa alle domande frequenti sulla migrazione ad HTTPS per ottenere ulteriori suggerimenti circa l'utilizzo delle pagine HTTPS sul tuo sito.

Migrazione da HTTP a HTTPS

Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l'operazione un semplice spostamento del sito con modifiche agli URL. Ciò può influire temporaneamente sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina con una panoramica sullo spostamento dei siti.

Aggiungi la nuova proprietà HTTPS a Search Console. Search Console gestisce separatamente le proprietà HTTP e HTTPS; i dati non vengono condivisi tra tali proprietà in Search Console.

Visita la pagina relativa alla risoluzione dei problemi di spostamento delle Sitemap per risolvere i problemi con la migrazione del tuo sito.

Ulteriori informazioni

Per ulteriori informazioni sull'implementazione di TLS sul tuo sito, visita i seguenti siti:

Hai trovato utile questo articolo?
Come possiamo migliorare l'articolo?