Protocollo HTTPS: come funziona e perché è importante attivarlo

Il protocollo HTTPS è fondamentale per la sicurezza di un sito web. Scopriamo perchè.

Ogni indirizzo web è caratterizzato da un protocollo di rete  di tipo HTTP (porta 80), acronimo di HyperText Transfer Protocol. Alcuni domini però presentano anche il protocollo HTTPS (porta 443), dove quella S è l’abbreviazione di SSL (Secure Socket Layer). Tale dicitura sta ad indicare un livello di sicurezza maggiore per quanto riguarda i siti web, con un maggior controllo del traffico e delle richieste su un determinato sito. Il fatto di utilizzare un protocollo HTTPS per un sito web porta essenzialmente a tre conseguenze:

  1. Migliore autenticità di un sito
  2. Connessione criptata tra gli utenti e il sito
  3. Integrità dei dati scambiati

Inizialmente il protocollo HTTPS veniva utilizzato solamente all’interno di quei servizi che gestivano dati personali degli utenti, come email, pagamenti online e così via. Da qualche tempo invece anche moltissimi blog e portali d’informazione hanno introdotto il protocollo HTTPS per rendere più sicuro ed affidabile il proprio dominio.

Il mancato protocollo HTTPS può portare ad attacchi informatici di tipo man-in-the-middle, dove un utente esterno può intercettare il traffico e reindirizzarlo verso un sito malevolo.

E’ obbligatorio il protocollo HTTPS?

Questa è una domanda che molti si chiedono e a cui noi cercheremo di dare una risposta. Avrete sicuramente sentito parlare della GDPR, ovvero la nuova regolamentazione per la sicurezza e il trattamento dei dati, entrata in vigore il 25 Maggio 2018. Tra i tanti aspetti trattati, c’è la questione del protocollo HTTPS. Già nel 2017 Google affermò che i siti web che non avrebbero posseduto il procollo HTTPS sarebbero stati penalizzati nei motori di ricerca, mostrando una pagina che avvisa gli utenti di una connessione non sicura con il sito. In questo caso però l’obbligo non era imposto e non si incorreva in sanzioni amministrative.

Con l’entrata in vigore del GDPR (General Data Protection Regulation) è obbligatorio invece rendere sicuro un dominio tramite protocollo HTTPS, al fine di tutelare non solo gli utenti stessi da un possibile furto di dati, ma anche il proprietario stesso del sito. I siti web che hanno ancora il classico protocollo HTTP vedranno apparire a fianco dell’URL una “i” cerchiata, che indica che la connessione con quel determinato URL è esposta a rischi di sicurezza. Per riconoscere un sito con protocollo HTTPS è molto semplice. Oltre ad essere indicato il nome del protocollo direttamente nell’indirizzo del sito, è possibile notare un lucchetto verde a fianco, che rappresenta proprio un sito sicuro.

Oramai il protocollo HTTPS è diventato veramente diffuso, anche per una questione di notorietà del sito. Inoltre le aziende che gestiscono i vari browser, come Google, Mozilla e Microsoft, stanno cercando in tutti i modi di spingere i gestori di siti web a migrare da HTTP ad HTTPS.

Come passare da HTTP a HTTPS

Data la richiesta quasi obbligata di inserire il protocollo HTTPS sui domini, i servizi di hosting, come Tophost o Siteground, stanno man mano introducendo la possibilità di creare un redirect automatico al protocollo HTTPS tramite apposita funzione. In alcuni casi è gratuita mentre in altri è necessario pagare una piccola quota aggiuntiva al pagamento dell’abbonamento.

Attivare l’HTTPS dal pannello di controllo dell’hosting non è l’unico passo da eseguire. Infatti bisognerà migrare anche l’intera piattaforma su cui vengono pubblicati gli articoli di un determinato blog. Nel caso di WordPress, piattaforma utilizzata da noi, si può procedere sia per via manuale che automatica. La procedura manuale prevede la modifica del file .htaccess di WordPress dal pannello di controllo del proprio hosting di dominio. Una volta aperto, bisogna aggiungere le seguenti righe di codice appena dopo la dicitura #BEGIN WordPress:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [R,L]
</IfModule>
Se invece non siete molto esperti, potete anche utilizzare l’ottimo plugin gratuito Really Simple SSL, che attiverà automaticamente il redirect dell’intero sito, e relative pagine, da HTTP al protocollo HTTPS.