Certificati HTTPS e SSL: rendi sicuro il tuo sito Web (e perché dovresti)

accedi alla funzione di sicurezza

Indipendentemente dal tipo di attività o servizio online che esegui, devi assicurarti che i dati privati ​​siano protetti con i certificati HTTPS e SSL. Ecco la nostra guida completa.

Quando si tratta di inviare informazioni personalisu Internet, che si tratti di informazioni di contatto, credenziali di accesso, informazioni sull'account, informazioni sulla posizione o qualsiasi altra cosa che possa essere abusata, il pubblico è sostanzialmente paranoico sugli hacker e sui ladri di identità. E giustamente. La paura che le tue informazioni possano essere rubate, manomesse o appropriate in modo inappropriato è tutt'altro che irrazionale. Lo dimostrano i titoli delle perdite e delle violazioni della sicurezza degli ultimi decenni. Ma nonostante questa paura, le persone continuano ad accedere per svolgere le proprie attività bancarie, acquisti, journaling, appuntamenti, socializzazione e altre attività personali e professionali sul Web. E c'è una piccola cosa che dà loro la sicurezza di farlo. Te lo mostrerò:

Immagine

Sebbene non tutti capiscano come funziona,quel piccolo lucchetto nella barra degli indirizzi segnala agli utenti Web che hanno una connessione attendibile con un sito Web legittimo. Se i visitatori non lo vedono nella barra degli indirizzi quando aprono il tuo sito Web, non avrai - e non dovresti - fare affari.

Per ottenere quel piccolo lucchetto della barra degli indirizzi per il tuo sito Web, devi disporre di un certificato SSL. Come si ottiene uno? Continuate a leggere per scoprirlo.

Schema dell'articolo:

  • Che cos'è SSL / TLS?
  • Come usare HTTPS?
  • Che cos'è un certificato SSL e come posso ottenerlo?
  • Guida allo shopping del certificato SSL
    • Autorità di certificazione
    • Convalida del dominio vs. convalida estesa
    • SSL condiviso vs SSL privato
    • Sigilli di fiducia
    • Certificati SSL jolly
    • garanzie
    • Certificati SSL gratuiti e certificati SSL autofirmati
  • Installazione di un certificato SSL
  • Pro e contro HTTPS

Che cos'è SSL / TLS?

Sul Web, i dati vengono trasferiti utilizzando il protocollo Hypertext Transfer. Ecco perché tutti gli URL delle pagine web hanno "http: //" o "httpS://" di fronte a loro.

Qual è la differenza tra http e https? Quella piccola S in più ha grandi implicazioni: sicurezza.

Lasciatemi spiegare.

HTTP è la "lingua" che il tuo computer e ilil server usa per parlare tra loro. Questo linguaggio è universalmente compreso, il che è conveniente, ma ha anche i suoi svantaggi. Quando i dati vengono trasmessi tra te e un server tramite Internet, si fermeranno lungo il percorso prima di raggiungere la destinazione finale. Ciò comporta tre grandi rischi:

  • Che qualcuno potrebbe origliare sulla tua conversazione (un po 'come una intercettazione digitale).
  • Che qualcuno potrebbe impersonare una (o entrambe) delle parti alle due estremità.
  • Che qualcuno potrebbe manomettere con i messaggi che vengono trasferiti.

Gli hacker e i cretini usano una combinazione di quanto sopraper una serie di truffe e furti, tra cui stratagemmi di phishing, attacchi man-in-the-middle e buona pubblicità vecchio stile. Gli attacchi dannosi potrebbero essere semplici quanto l'annullamento delle credenziali di Facebook intercettando i cookie non crittografati (intercettazione), oppure potrebbero essere più sofisticati. Ad esempio, potresti pensare di dire alla tua banca: "Per favore, trasferisci $ 100 al mio ISP", ma qualcuno nel mezzo potrebbe modificare il messaggio per leggere: "Ti preghiamo di trasferire $ 100 tutti i miei soldi per il mio ISP Peggy in Siberia"(Manomissione e rappresentazione dei dati).

Quindi, questi sono i problemi con HTTP. Per risolvere questi problemi, HTTP può essere stratificato con un protocollo di sicurezza, risultando in HTTP Secure (HTTPS). Più comunemente, la S in HTTPS è fornita dal protocollo SSL (Secure Sockets Layer) o dal protocollo TLS (Transport Layer Security) più recente. Quando distribuito, HTTPS offre bidirezionale crittografia (per evitare intercettazioni), server autenticazione (per impedire la rappresentazione) e autenticazione dei messaggi (per impedire la manomissione dei dati).

Come usare HTTPS

Come una lingua parlata, HTTPS funziona solo se entrambile parti scelgono di parlarlo. Sul lato client, la scelta di utilizzare HTTPS può essere fatta digitando "https" nella barra degli indirizzi del browser prima dell'URL (ad esempio, anziché digitare http://www.facebook.com, digitare https: // www. facebook.com) o installando un'estensione che forza automaticamente HTTPS, come HTTPS Everywhere per Firefox e Chrome. Quando il tuo browser web utilizza HTTPS, vedrai un'icona a forma di lucchetto, una barra verde del browser, il pollice in alto o qualche altro segno rassicurante che la tua connessione al server è sicura.

lucchetto HTTPS cromato

lucchetto safari HTTPS

lucchetto HTTPS di Internet Explorer

lucchetto firefox https

Tuttavia, per utilizzare HTTPS, è necessario il server Websupportalo. Se sei un webmaster e desideri offrire HTTPS ai tuoi visitatori web, allora avrai bisogno di un certificato SSL o certificato TLS. Come si ottiene un certificato SSL o TLS? Continua a leggere.

Ulteriori letture: alcune app Web popolari consentono di scegliere HTTPS nelle impostazioni utente. Leggi i nostri articoli su Facebook, Gmail e Twitter.

Che cos'è un certificato SSL e come posso ottenerlo?

Per utilizzare HTTPS, il tuo server web deve avereun certificato SSL o TLS installato. Un certificato SSL / TLS è una specie di ID foto simile al tuo sito web. Quando un browser che utilizza HTTPS accede alla tua pagina web, eseguirà una "stretta di mano", durante la quale il computer client richiede il certificato SSL. Il certificato SSL viene quindi convalidato da un'autorità di certificazione attendibile (CA), che verifica che il server sia chi afferma di essere. Se tutto è andato a buon fine, il tuo visitatore web ottiene il rassicurante segno di spunta verde o l'icona di blocco. Se qualcosa va storto, riceveranno un avviso dal browser web, indicando che l'identità del server non può essere confermata.

Errore certificato HTTPS

Acquisto di un certificato SSL

Quando si tratta di installare un certificato SSL sul tuo sito Web, ci sono molti parametri da decidere. Esaminiamo i più importanti:

Autorità di certificazione

L'autorità di certificazione (CA) è la societàche emette il tuo certificato SSL ed è quello che convaliderà il tuo certificato ogni volta che un visitatore accederà al tuo sito web. Mentre ogni fornitore di certificati SSL competerà sul prezzo e sulle caratteristiche, la cosa principale da considerare quando si controllano le autorità di certificazione è se dispongono o meno di certificati preinstallati sui browser Web più diffusi. Se l'autorità di certificazione che emette il certificato SSL non è in tale elenco, all'utente verrà richiesto di avvertire che il certificato di sicurezza del sito non è attendibile. Ovviamente, ciò non significa che il tuo sito Web sia illegittimo, ma semplicemente che la tua CA non è nella lista (ancora). Questo è un problema perché la maggior parte degli utenti non si preoccuperà di leggere l'avvertimento o di ricercare la CA non riconosciuta. Probabilmente faranno semplicemente clic.

Fortunatamente, l'elenco di CA preinstallate sui principali browser sono abbastanza grandi. Include alcuni grandi marchi e CA meno conosciute e più convenienti. I nomi delle famiglie includono Verisign, Go Daddy, Comodo, Thawte, Geotrust e Entrust.

Puoi anche cercare nelle impostazioni del tuo browser per vedere quali autorità di certificazione sono preinstallate.

  • Per Chrome, vai su Impostazioni -> Mostra impostazioni avanzate ... -> Gestisci certificati.
  • Per Firefox, fai Opzioni -> Avanzate -> Visualizza certificati.
  • Per Internet Explorer, Opzioni Internet -> Contenuto -> Certificati.
  • Per Safari, vai su Finder e scegli Vai -> Utilità -> Accesso KeyChain e fai clic su Sistema.

Per una rapida consultazione, dai un'occhiata a questo thread, che elenca i certificati SSL accettabili per Google Checkout.

Convalida del dominio vs. convalida estesa

Tempo di emissione tipicoCostoBarra degli indirizzi
Convalida del dominio
Quasi istantaneamenteBassoHTTPS normale (icona lucchetto)
Convalida dell'organizzazionePochi giornimedioHTTPS normale (icona lucchetto)
Convalida estesaUna settimana o piùaltoBarra degli indirizzi verde, informazioni sulla verifica dell'ID azienda

</ Strong></ P>

Un certificato SSL ha lo scopo di dimostrare l'identitàdel sito Web a cui si inviano informazioni. Per garantire che le persone non stiano rilasciando certificati SSL falsi per domini che non controllano legittimamente, un'autorità di certificazione verificherà che la persona che richiede il certificato sia effettivamente il proprietario del nome di dominio. In genere, ciò avviene tramite una rapida convalida della posta elettronica o telefonica, simile a quando un sito Web ti invia un'e-mail con un collegamento di conferma dell'account. Questo si chiama a dominio validato Certificato SSL. Il vantaggio è che consente di emettere certificati SSL quasi immediatamente. Probabilmente potresti andare a ottenere un certificato SSL convalidato dal dominio in meno tempo di quanto ci sia voluto per leggere questo post del blog. Con un certificato SSL convalidato dal dominio, ottieni il lucchetto e la possibilità di crittografare il traffico del tuo sito web.

I vantaggi di un dominio convalidato SSLcertificato è che sono veloci, facili ed economici da ottenere. Questo è anche il loro svantaggio. Come puoi immaginare, è più facile ingannare un sistema automatizzato di quello gestito da esseri umani vivi. È un po 'come se un ragazzo delle superiori entrasse nel DMV dicendo che era Barack Obama e voleva ottenere un documento di identità rilasciato dal governo. la persona alla scrivania lo guardava e chiamava i federali (o il bidone pazzo). Ma se fosse un robot che lavora in un chiosco di identificazione con foto, potrebbe avere un po 'di fortuna. Allo stesso modo, i phisher possono ottenere "ID falsi" per siti Web come Paypal, Amazon o Facebook ingannando i sistemi di convalida del dominio. Nel 2009, Dan Kaminsky ha pubblicato un esempio di un modo per truffare le CA per ottenere certificati che farebbero sembrare un sito Web di phishing come se fosse una connessione sicura e legittima. Per un essere umano, questa truffa sarebbe facile da individuare. Ma la convalida del dominio automatizzata al momento mancava dei controlli necessari per prevenire qualcosa del genere.

In risposta alle vulnerabilità di SSL e certificati SSL convalidati dal dominio, l'industria ha introdotto il Convalida estesa certificato. Per ottenere un certificato SSL EV, la tua azienda o organizzazione deve sottoporsi a controlli rigorosi per garantire che sia in regola con il tuo governo e controlli correttamente il dominio per il quale stai candidando. Questi controlli, tra gli altri, richiedono un elemento umano e quindi richiedono più tempo e sono più costosi.

In alcuni settori è richiesto un certificato EV. Ma per gli altri, il vantaggio arriva solo a ciò che i tuoi visitatori riconosceranno. Per i visitatori di tutti i giorni, la differenza è sottile. Oltre all'icona del lucchetto, la barra degli indirizzi diventa verde e visualizza il nome della tua azienda. Se fai clic per ulteriori informazioni, vedrai che l'identità dell'azienda è stata verificata, non solo il sito Web.

Ecco un esempio di un normale sito HTTPS:

HTTPS normale (convalida dell'organizzazione di convalida del dominio)

Ed ecco un esempio di un sito HTTPS certificato EV:

HTTPS di validazione estesa

A seconda del settore, un certificato EVpotrebbe non valerne la pena. Inoltre, devi essere un'azienda o un'organizzazione per ottenerne uno. Sebbene le grandi aziende tendano alla certificazione EV, noterai che la maggior parte dei siti HTTPS sfoggia ancora il sapore non EV. Se è abbastanza buono per Google, Facebook e Dropbox, forse è abbastanza buono per te.

convalida del dominio vs. convalida dell'organizzazione vs. convalida estesa

Ancora una cosa: c'è una via di mezzo chiamata an organizzazione convalidata o attività convalidata certificazione. Questa è una verifica più approfondita rispetto alla convalida del dominio automatizzata, ma non arriva al punto di soddisfare le normative del settore per un certificato di convalida estesa (notare come la convalida estesa è capitalizzata e la "convalida organizzativa" non lo è?). Una certificazione convalidata da OV o aziendale costa di più e richiede più tempo, ma non ti fornirà la barra degli indirizzi verde e le informazioni verificate sull'identità dell'azienda. Francamente, non riesco a pensare a un motivo per pagare un certificato OV. Se riesci a pensarne uno, per favore illuminami nei commenti.

SSL condiviso vs SSL privato

Alcuni host web offrono un servizio SSL condiviso, cheè spesso più conveniente di un SSL privato. Oltre al prezzo, il vantaggio di un SSL condiviso è che non è necessario ottenere un indirizzo IP privato o un host dedicato. Il rovescio della medaglia è che non puoi usare il tuo nome di dominio. Invece, la parte sicura del tuo sito sarà simile a:

https://www.hostgator.com/~yourdomain/secure.php

Contrastalo con un indirizzo SSL privato:

https://www.yourdomain.com/secure.php

Per i siti pubblici, come i siti di e-commercee sui siti di social network, questo è ovviamente un freno, poiché sembra che tu sia stato reindirizzato dal sito principale. Ma per le aree che di solito non vengono visualizzate dal pubblico, ad esempio le parti interne di un sistema di posta o un'area amministratore, un SSL condiviso potrebbe essere un buon affare.

Sigilli di fiducia

Molte autorità di certificazione ti consentono di inserire unsigillo di fiducia sulla tua pagina web dopo che ti sei registrato per uno dei loro certificati. Ciò fornisce praticamente le stesse informazioni che farebbe facendo clic sul lucchetto nella finestra del browser, ma con una maggiore visibilità. Non è necessario includere un sigillo di fiducia, né amplifica la tua sicurezza, ma se offre ai tuoi visitatori le informazioni confuse su chi ha emesso il certificato SSL, gettalo lì.

sigillo di fiducia verisign

Certificati SSL jolly

Un certificato SSL verifica l'identità di unodominio. Pertanto, se si desidera avere HTTPS su più sottodominazioni, ad esempio groovypost.com, mail.groovypost.com e answer.groovypost.com, è necessario acquistare tre diversi certificati SSL. A un certo punto, un certificato SSL jolly diventa più economico. Cioè, un certificato per coprire un dominio e tutti i sottodomini, ad esempio * .groovypost.com.

garanzie

Non importa quanto a lungo un'azienda vada benela reputazione è, ci sono vulnerabilità. Anche gli autori di fiducia possono essere presi di mira dagli hacker, come evidenziato dalla violazione di VeriSign che non è stata segnalata nel 2010. Inoltre, lo stato di un CA nell'elenco di fiducia può essere rapidamente revocato, come abbiamo visto con lo snafu DigiNotar nel 2011. Roba succede .

Per alleviare qualsiasi disagio sul potenziale pertali atti casuali di dissolutezza SSL, molte CA ora offrono garanzie. La copertura varia da qualche migliaio di dollari a oltre un milione di dollari e comprende le perdite derivanti dall'uso improprio del certificato o da altri incidenti. Non ho idea se queste garanzie aggiungano valore o no, o se qualcuno abbia mai vinto con successo un reclamo. Ma sono lì per la tua considerazione.

Certificati SSL gratuiti e certificati SSL autofirmati

Esistono due tipi di certificati SSL gratuitia disposizione. Un autofirmato, utilizzato principalmente per test privati ​​e pubblico completo rivolto a certificati SSL emessi da un'autorità di certificazione valida. La buona notizia è che, nel 2018, ci sono alcune opzioni per ottenere certificati SSL validi e validi al 100% sia da SSL gratuitamente sia da Let's Encrypt. SSL for Free è principalmente una GUI per l'API Encrypt di Let's. Il vantaggio del sito SSL for Free è che è semplice da usare in quanto ha una bella interfaccia grafica. Let's Encrypt, tuttavia, è bello in quanto puoi automatizzare completamente la richiesta di certificati SSL da loro. Ideale se hai bisogno di certificati SSL per più siti Web / server.

Un certificato SSL autofirmato è gratuito per sempre. Con un certificato autofirmato, sei la tua CA. Tuttavia, poiché non si è tra le autorità di certificazione attendibili integrate nei browser Web, i visitatori riceveranno un avviso che l'autorità non viene riconosciuta dal sistema operativo. Pertanto, non c'è davvero alcuna garanzia che tu sia quello che dici di essere (è un po 'come rilasciarti un documento di identità con foto e provare a passarlo al negozio di liquori). Il vantaggio di un certificato SSL autofirmato, tuttavia, è che abilita la crittografia per il traffico web. Potrebbe essere utile per uso interno, in cui è possibile fare in modo che il personale aggiunga la propria organizzazione come CA attendibile per eliminare il messaggio di avviso e lavorare su una connessione sicura su Internet.

Per istruzioni sulla configurazione di un certificato SSL autofirmato, consultare la documentazione di OpenSSL. (Oppure, se c'è abbastanza domanda, scriverò un tutorial.)

Installazione di un certificato SSL

Una volta acquistato il certificato SSL, tudevi installarlo sul tuo sito web. Un buon host web offrirà di farlo per te. Alcuni potrebbero addirittura arrivare al punto di acquistarlo per te. Spesso, questo è il modo migliore di procedere, poiché semplifica la fatturazione e garantisce che sia impostato correttamente per il tuo server web.

Tuttavia, hai sempre la possibilità di installare unCertificato SSL acquistato da solo. Se lo fai, potresti iniziare a consultare la knowledge base del tuo host web o aprendo un ticket di helpdesk. Ti indirizzeranno alle migliori istruzioni per l'installazione del tuo certificato SSL. È inoltre necessario consultare le istruzioni fornite dalla CA. Questi ti daranno una guida migliore di qualsiasi consiglio generico che posso darti qui.

Potresti anche voler consultare le seguenti istruzioni per l'installazione di un certificato SSL:

  • Installa un certificato SSL e configura il dominio in cPanel
  • Come implementare SSL in IIS (Windows Server)
  • Crittografia SSL / TLS di Apache

Tutte queste istruzioni coinvolgeranno ilcreazione di una richiesta di firma del certificato SSL (CSR). In effetti, avrai bisogno di un CSR solo per ottenere un certificato SSL. Ancora una volta, il tuo host web può aiutarti in questo. Per informazioni più specifiche sul fai-da-te sulla creazione di un CSR, dai un'occhiata a questo articolo scritto da DigiCert.

Pro e contro di HTTPS

Abbiamo già stabilito con fermezza i pro diHTTPS: sicurezza, protezione, sicurezza. Questo non solo mitiga il rischio di una violazione dei dati, ma infonde anche fiducia e aggiunge reputazione al tuo sito web. I clienti esperti non possono nemmeno preoccuparsi di registrarsi se visualizzano un "http: //" nella pagina di accesso.

Vi sono, tuttavia, alcuni svantaggi di HTTPS. Data la necessità di HTTPS per alcuni tipi di siti Web, ha più senso pensare a questi come "considerazioni "piuttosto che negativi.

  • HTTPS costa denaro. Per cominciare, c'è il costo di acquisto erinnovo del certificato SSL per garantire la validità di anno in anno. Ma ci sono anche alcuni "requisiti di sistema" per HTTPS, come un indirizzo IP dedicato o un piano di hosting dedicato, che può essere più costoso di un pacchetto di hosting condiviso.
  • HTTPS potrebbe rallentare la risposta del server. Ci sono due problemi relativi a SSL / TLS chepotrebbe rallentare la velocità di caricamento della pagina. Innanzitutto, per iniziare a comunicare con il tuo sito Web per la prima volta, il browser dell'utente deve eseguire la procedura di handshake, che rimanda al sito Web dell'autorità di certificazione per verificare il certificato. Se il server Web della CA è lento, si verificherà un ritardo nel caricamento della pagina. Questo è in gran parte al di fuori del tuo controllo. In secondo luogo, HTTPS utilizza la crittografia, che richiede una maggiore potenza di elaborazione. Ciò può essere risolto ottimizzando i contenuti per la larghezza di banda e aggiornando l'hardware sul server. CloudFare ha un buon post sul blog su come e perché SSL potrebbe rallentare il tuo sito web.
  • HTTPS può influire sugli sforzi SEO Quando si passa da HTTP a HTTPS; seitrasferirsi in un nuovo sito Web. Ad esempio, https://www.groovypost.com non sarebbe lo stesso di http://www.groovypost.com. È importante assicurarti di aver reindirizzato i tuoi vecchi link e di aver scritto le regole appropriate sotto il cofano del tuo server per evitare di perdere qualsiasi prezioso collegamento.
  • I contenuti misti possono lanciare una bandiera gialla. Per alcuni browser, se hai la parte principale diuna pagina web caricata da HTTPS, ma immagini e altri elementi (come fogli di stile o script) caricati da un URL HTTP, potrebbe apparire un popup che avverte che la pagina include contenuti non sicuri. Certo, avendo alcuni il contenuto sicuro è meglio che non averne nessuno, anche se quest'ultimo non genera un popup. Tuttavia, potrebbe valere la pena assicurarsi di non avere "contenuti misti" sulle tue pagine.
  • A volte è più facile ottenere un processore di pagamento di terze parti. Non c'è da vergognarsi nel lasciare Google Checkout,Paypal o Checkout di Amazon gestiscono i tuoi pagamenti. Se tutto quanto sopra sembra troppo complicato, puoi permettere ai tuoi clienti di scambiare informazioni di pagamento sul sito sicuro di Paypal o sul sito sicuro di Google e salvarti il ​​problema.

Hai altre domande o commenti sui certificati HTTPS e SSL / TLS? Fammi sentire nei commenti.

0

Articoli simili

Cyber ​​Street ti aiuta a proteggere la tua casa o il tuo computer aziendale
Recensioni

Cyber ​​Street ti aiuta a mantenere la tua casa o il tuo business ..

Gmail spostando tutti gli accessi a HTTPS [groovyNews]
notizia

Gmail Spostamento di tutti gli accessi a HTTPS [groovyNews] ..

Come creare un PIN di archiviazione del canale Roku sicuro
Come

Come creare un PIN di archiviazione del canale Roku sicuro.

Come creare una password complessa che puoi ricordare
Come

Come creare una password complessa che puoi ricordare ..

Avviso di sicurezza: DigiNotar emette certificati fraudolenti di Google.com - Istruzioni su come proteggersi
Come

Avviso di sicurezza: problemi DigiNotar fraudolenti Google.com ..

Come crittografare singoli file e cartelle in Windows 10
Come

Come crittografare singoli file e cartelle in Windows ..

Come gestire le password con Edge Browser in Windows 10
Come

Come gestire le password con Edge Browser in Windows 10 ..

Crea il tuo sito web Fai l'Harlem Shake
Come

Crea il tuo sito web Fai l'Harlem Shake ..

Non essere un Weiner - Proteggi il tuo account Twitter!
Come

Non essere un Weiner - Proteggi il tuo Twitter ..

Come eseguire il backup del certificato della chiave privata EFS
Come

Come eseguire il backup del certificato della chiave privata EFS.

lascia un commento