Se raccogli informazioni sensibili sul tuo sito Web (inclusi e-mail e password), devi essere al sicuro. Uno dei modi migliori per proteggersi è abilitare un certificato HTTPS, noto anche come SSL (Secure Sockets Layers), in modo che tutte le informazioni in entrata e in uscita dal tuo server vengano automaticamente crittografate. Un certificato HTTPS impedisce agli hacker di hackerare le informazioni riservate dei tuoi utenti mentre sono archiviate su Internet. Si sentiranno al sicuro quando vedranno un certificato HTTPS quando accedono al tuo sito, sapendo che è protetto da un certificato di sicurezza.
Vantaggi di un certificato
La cosa migliore di un certificato SSL, proprio come HTTPS, è che è facile da configurare e, una volta fatto, dovrai indirizzare le persone a utilizzare un certificato HTTPS invece di HTTP. Se provi ad accedere al tuo sito inserendo https:// davanti ai tuoi URL in questo momento, riceverai un errore di certificato HTTPS. Questo perché non hai installato un certificato SSL HTTPS. Ma non preoccuparti, lo installiamo subito!
I tuoi visitatori si sentiranno più al sicuro sul tuo sito quando vedranno un certificato HTTPS quando accedono al tuo sito- sapendo che è protetto da un certificato di sicurezza.
Cos'è
HTTP o HTTPS viene visualizzato all'inizio dell'URL di ogni sito Web in un browser Web. HTTP sta per Hypertext Transfer Protocol e la S in HTTPS sta per Secure. In generale, descrive il protocollo mediante il quale i dati vengono inviati tra il tuo browser e il sito web che stai visualizzando.
Un certificato HTTPS assicura che tutte le comunicazioni tra il tuo browser e il sito web che stai visualizzando siano crittografate. Ciò significa che è sicuro. Solo i computer riceventi e trasmittenti possono vedere le informazioni durante il trasferimento dei dati (altri possono accedervi, ma non leggerli). Sui siti sicuri, il browser web mostra un'icona a forma di lucchetto nell'area dell'URL per avvisarti.
HTTPS dovrebbe trovarsi su qualsiasi sito Web che raccolga password, pagamenti, informazioni mediche o altri dati sensibili. Ma cosa succede se puoi ottenere un certificato SSL gratuito e valido per il tuo dominio?
Come funziona la protezione del sito web?
Per abilitare il certificato di sicurezza HTTPS, devi installare SSL (Secure Socket Layer). Contiene la chiave pubblica necessaria per avviare la sessione in modo sicuro. Quando viene richiesta una connessione HTTPS a una pagina Web, il sito invia un certificato SSL al tuo browser. Quindi avviano una "stretta di mano SSL", che implica la condivisione di "segreti" per stabilire una connessione sicura tra il browser e il sito Web.
SSL standard ed esteso
Se il sito utilizza un certificato SSL standard, vedrai l'icona di un lucchetto nell'area URL del tuo browser. Se viene utilizzato un certificato di convalida estesa (EV), la barra degli indirizzi o l'URL sarà verde. Gli standard EV SSL sono superiori agli standard SSL. EV SSL fornisce una prova dell'identità del proprietario del dominio. L'ottenimento di una certificazione SSL EV richiede inoltre ai richiedenti di sottoporsi a un rigoroso processo di valutazione per verificarne l'autenticità e la proprietà.
Cosa succede se usi HTTPS senza un certificato?
Anche se il tuo sito web non accetta o condivide dati sensibili, ci sono diversi motivi per cui potresti voler avere un sito web sicuro e utilizzare un certificato SSL gratuito e valido per il tuo dominio.
Prestazioni. SSL può migliorare il tempo necessario per caricare una pagina.
Ottimizzazione dei motori di ricerca (SEO). L'obiettivo di Google è mantenere Internet sicuro e protetto per tutti, non solo per coloro che utilizzano Google Chrome, Gmail e Drive, ad esempio. La società ha affermato che la sicurezza sarà un fattore nel modo in cui classificano i siti nei risultati di ricerca. Finora questo non è abbastanza. Tuttavia, se hai un sito web sicuro e i tuoi concorrenti no, il tuo sito potrebbe essere classificato più in alto, il che potrebbe essere necessario per aumentare la sua popolarità dalla pagina dei risultati di ricerca.
Se il tuo sito non è sicuro e raccoglie password o carte di credito, gli utenti di Chrome 56 (rilasciato a gennaio 2017) vedranno un avviso cheche il sito non è sicuro. I visitatori che non hanno familiarità con la tecnologia (la maggior parte degli utenti del sito Web) potrebbero essere allarmati vedendo una casella "Errore del certificato HTTPS" e abbandonare il sito semplicemente perché non capiscono cosa significa. D' altra parte, se il tuo sito è sicuro, può far sentire i visitatori più a loro agio, rendendoli più propensi a compilare un modulo di registrazione o lasciare un commento sul tuo sito. Google ha un piano a lungo termine per mostrare tutti i siti HTTP come non sicuri in Chrome.
Dove posso ottenere un certificato HTTPS gratuito?
Ricevi un certificato SSL da un'autorità di certificazione. Tali certificati sono validi per 90 giorni, ma si consiglia un rinnovo di 60 giorni. Alcune fonti gratuite affidabili:
- Cloudflare: gratuito per siti Web e blog personali.
- FreeSSL: al momento gratuito per le organizzazioni no profit e le startup; non può essere un client Symantec, Thawte, GeoTrust o RapidSSL.
- StartSSL: i certificati sono validi da 1 a 3 anni.
- GoDaddy: certificati per progetti open source, validi 1 anno.
Il tipo di certificato e il periodo di validità dipendono dalla fonte. La maggior parte delle autorità offre certificati SSL standard gratuitamente ea pagamento per i certificati SSL EV se li forniscono. Cloudflare offre piani gratuiti ea pagamento e varie opzioni aggiuntive.
Cosa considerare quando si riceveCertificato SSL?
Google consiglia un certificato con una chiave a 2048 bit qui. Se hai già un certificato a 1024 bit più debole, ti consigliamo di aggiornarlo.
Dovrai decidere se hai bisogno di uno, più domini o di un certificato jolly:
- Verrà utilizzato un certificato per un dominio (ad es. www.example.com).
- Il certificato multidominio verrà utilizzato per più domini noti (ad es. www.example.com, cdn.example.com, example.co.uk).
- Il certificato Wildcard verrà utilizzato per un dominio sicuro con molti sottodomini dinamici (ad es. a.example.com, b.example.com).
Come installo un certificato SSL?
Il tuo host web può installare un certificato gratuitamente oa pagamento. Alcuni host hanno effettivamente la possibilità di installare Let's Encrypt nel loro cPanel personale, il che rende le cose più facili. Chiedi al tuo host attuale o trovane uno che offra supporto diretto per Let's Encrypt. Se l'host non fornisce questo servizio, la società di manutenzione o lo sviluppatore del sito Web possono installare il certificato per te. Devi essere preparato al fatto che dovrai rinnovare il certificato molto spesso. Controlla i tempi con il certificato.
Cos' altro deve essere fatto?
Dopo aver ottenuto e installato un certificato SSL, devi applicare SSL sul sito. Ancora una volta, puoi chiedere al tuo host web, società di servizi osviluppatore per eseguire questa azione. Tuttavia, se preferisci farlo da solo e il tuo sito è alimentato da WordPress, puoi farlo scaricando, installando e utilizzando il plugin. Con quest'ultima opzione, assicurati di verificare la compatibilità con la tua versione di WordPress.
Due popolari plugin di applicazione SSL: SSLWP semplice, plugin SSLSSL forzato. Assicurati di eseguire il backup del tuo sito e fai molta attenzione quando lo fai. Se configuri qualcosa in modo errato, può avere conseguenze disastrose: i visitatori non saranno in grado di vedere il tuo sito, le immagini non verranno visualizzate, gli script non verranno caricati, il che influenzerà il funzionamento di alcune cose sul tuo sito, come tipografia e colori non viene visualizzato correttamente.way.
Devi reindirizzare utenti e motori di ricerca alle pagine HTTPS utilizzando i reindirizzamenti 301 nel file.htaccess nella cartella principale del server. Il file.htaccess è un file invisibile, quindi assicurati che il tuo programma FTP sia impostato per mostrare i file nascosti. In FileZilla, ad esempio, vai su Server> Forza la visualizzazione dei file nascosti. FileZillaPrima, prima di aggiungere reindirizzamenti, sarebbe una buona idea eseguire il backup del file.htaccess. Sul server, rinomina temporaneamente il file rimuovendo il punto (che lo rende invisibile in primo luogo), scarica il file (che ora sarà visibile sul tuo computer in seguito alla rimozione del punto), quindi aggiungi il punto indietro a cosa c'è sul server.
Cambia le impostazioniGoogle Analytics
Dopo aver completato questi passaggi, devi modificare il tuo URL preferito nel tuo account Google Analytics per visualizzare la versione HTTPS del tuo dominio. In caso contrario, le statistiche sul traffico verranno disabilitate perché la versione HTTP dell'URL viene trattata come un sito completamente diverso dalla versione HTTPS del certificato. Google Search Console tratta anche HTTP e HTTPS come domini separati, quindi aggiungi un account di dominio HTTPS ad esso. Ricorda, quando passi dal certificato HTTP al certificato HTTPS, se il tuo sito ha pulsanti di accesso speciali, il contatore verrà azzerato.