Il protocollo di comunicazione via web http è intrinsecamente non sicuro, poiché tutti i contenuti scambiati tra client e server sono inviati in chiaro e come tali possono essere intercettati o manipolati senza che né client, né server abbiano la possibilità di accorgersi di quanto stia avvenendo (man in the middle1).

Sicurezza Web e Certificati SSL

Per questa ragione è stato introdotto il protocollo https, grazie al quale ogni informazione scambiata è criptata e firmata dal dispositivo che la invia, evitando che i dati siano facilmente leggibili e permettendo di invalidare la sessione nel caso in cui il flusso di informazioni sia stato alterato durante la trasmissione.

Ormai da qualche anno tutti i motori di ricerca più popolari, oltre che sulla base dell'analisi di contenuti originali, costruiscono il ranking dei risultati rispetto ad una query anche in base al livello di sicurezza dei siti web stessi e benché i dettagli degli algoritmi di ricerca non siano pubblici, è ormai chiaro che siano state introdotte penalità per tutti i siti che non adottano protocolli criptati2 (accessibili con URL che iniziano con http:// invece che con versione criptata https://). Ciò si riflette anche nei browser più diffusi, i quali considerando non affidabili le pagine servite tramite "http"3.

Per questo è evidente che la sicurezza del web sia uno degli elementi cardine anche per il SEO e la visibilità del sito.

Nel 2018 l'entrata in vigore del GDPR introduce criteri di responsabilità oggettiva anche per la semplice mancata protezione dei dati tramite sistemi di sicurezza allo stato dell'arte. Ciò implica, a prescindere dalle procedure di gestione del dato, la necessità di utilizzare protocolli criptati ovunque circolino dati personali (ovvero qualunque sito web che contenga in qualunque forma dati sensibili dei propri utenti, inclusi indirizzi IP, mail, etc...).

Quali sono i potenziali problemi

Un potenziale problema nel passaggio da "http" ad "https" risiede nella gestione della validità dei certificati SSL.

Ogni certificato SSL ha un periodo di validità ben definito, variabile in funzione dell'ente emittente (da qualche mesi, fino ad un massimo di 825 giorni - ovvero 2 anni, 3 mesi e 5 giorni4).

Uno dei requisiti fondamentali perché una pagina web "https" possa essere aperta in un browser moderno è che la comunicazione sia criptata e basata su un certificato SSL valido. Qualora il certificato SSL non sia valido o non firmato da un ente emittente ufficiale i browser emettono un avviso di sito non sicuro che richiede l'accettazione del rischio da parte del visitatore, ed in qualche caso il browser non consente l'apertura del sito neppure accettando il rischio.

In una gestione di qualità del sito, ciò introduce un onere di gestione aggiuntivo, ovvero accertarsi che i certificati siano sempre validi e che alla scadenza vengano sostituiti correttamente (anche in presenza di procedure di aggiornamento automatiche).

Come può essere d'aiuto WebKeeper

WebKeeper oltre alle verifiche sui contenuti del sito web, nell'ambito del monitoraggio dei sito implementa anche5 il monitoraggio dei Certificati SSL installati, mantenendoli sotto osservazione ed inviando notifiche tempestive ai gestore del sito in caso di:

  1. Certificato SSL in scadenza
  2. Certificato SSL scaduto (potenziale non raggiungibilità del sito stesso)
  3. Aggiornamento del Certificato SSL (modifica del Certificato SSL installato)

La prima notifica ("Certificato SSL in scadenza"), consente di pianificare meglio il controllo delle scadenze, ed in caso di certificato non aggiornato automaticamente, di provvedere al rinnovo. Tale notifica può essere configurata dall'utente gestore in modo autonomo, specificando configurazioni diversificate per ciascun sito web in gestione al fine di ricevere le notifiche nel modo più consono.

La seconda notifica ("Certificato SSL scaduto"), se tutto ha funzionato (e.g. gli automatismi di rinnovo) non dovrebbe mai arrivare, ma nel caso arrivasse richiederebbe l'attenzione immediata poiché probabilmente il sito in questione sarebbe diventato irraggiungibile causando perdita di traffico.

La terza notifica ("Aggiornamento del Certificato SSL") consente di essere informati ogni qual volta il Certificato SSL viene aggiornato, dando conferma che gli automatismi di rinnovo sono stati efficaci.

Quest'ultima notifica presenta però un altro aspetto importante dal punto di vista della sicurezza web, ovvero è in grado di intercettare modifiche del Certificato inattese. All'interno della notifica sono riportati sia gli estremi del Certificato SSL precedente che quelli del nuovo Certificato installato, pertanto, a colpo d'occhio renderà possibile verificare eventuali anomalie.


Note:
1
Le connessioni criptate "https", da sole non sono sufficienti a evitare attacchi Man-In-The-Middle, ma rimangono un requisito fondamentale per la mitigazione del rischio.
2
Google annunciò già nel 2014 che i siti web SSL sarebbero stati favoriti rispetto ad i siti non criptati ed alla fine del 2017 che avrebbe introdotto penalità ancora maggiori per i siti web non sicuri (senza supporto del protocollo HTTPS).
3
Source: https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn
4
Source: https://cabforum.org/2017/03/17/ballot-193-825-day-certificate-lifetimes/
5
Funzionalità disponibile a partire da licenze gold.