Proteggere il sito con il protocollo HTTPS

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l'integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l'utilizzo di un sito web online avvenga in modo sicuro e privato. Ti invitiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti che ospita.

I dati inviati tramite HTTPS vengono protetti tramite il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione fondamentali:

  1. Crittografia: i dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l'utente consulta un sito web, nessuno può "ascoltare" le sue conversazioni, tenere traccia delle attività svolte in più pagine o sottrarre le sue informazioni.
  2. Integrità dei dati: i dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza che ciò venga rilevato.
  3. Autenticazione: dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man in the middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.

Best practice per l'implementazione del protocollo HTTPS

Utilizzare certificati di sicurezza efficaci

Devi ottenere un certificato di sicurezza durante l'attivazione di HTTPS per il tuo sito. Il certificato viene emesso da un'autorità di certificazione, che adotta misure per verificare che il tuo indirizzo web appartenga effettivamente alla tua organizzazione, proteggendo così i tuoi clienti da attacchi man in the middle. Quando configuri il certificato, scegli una chiave a 2048 bit per garantire un elevato livello di sicurezza. Se hai già un certificato con una chiave meno efficace (a 1024 bit), esegui l'upgrade a 2048 bit. Quando scegli il certificato del tuo sito, tieni presente quanto segue:

  • Richiedi il certificato a un'autorità di certificazione attendibile che offra assistenza tecnica.
  • Stabilisci quale tipo di certificato ti serve:
    • Certificato singolo per un'unica origine protetta (www.example.com).
    • Certificato multidominio per diverse origini protette note (ad esempio www.example.com, cdn.example.com, example.co.uk).
    • Certificato con caratteri jolly per un'origine protetta con tanti sottodomini dinamici (ad esempio a.example.com, b.example.com).

Utilizzare reindirizzamenti lato server permanenti

Reindirizza gli utenti e i motori di ricerca alla risorsa o alla pagina HTTPS con reindirizzamenti lato server permanenti.

Verificare che Google possa eseguire la scansione e l'indicizzazione delle pagine HTTPS

  • Usa lo strumento Controllo URL per verificare se Googlebot riesce ad accedere alle tue pagine.
  • Non bloccare le pagine HTTPS utilizzando file robots.txt.
  • Non includere tag noindex nelle pagine HTTPS.

Supportare HSTS

È consigliabile che i siti HTTPS supportino il protocollo HSTS (HTTP Strict Transport Security). Il protocollo HSTS indica al browser di richiedere automaticamente le pagine HTTPS, anche se l'utente inserisce http nella barra degli indirizzi del browser. Indica inoltre a Google di pubblicare URL protetti nei risultati di ricerca. Tutto questo riduce al minimo il rischio di pubblicare contenuti non protetti per i tuoi utenti.

Per supportare il protocollo HSTS, utilizza un server web che lo supporti e attiva la funzionalità.

Anche se è più sicuro, HSTS rende più complessa la strategia di rollback. Ti consigliamo, pertanto, di attivare HSTS nel seguente modo:

  1. Implementa inizialmente le pagine HTTPS senza HSTS.
  2. Inizia a inviare intestazioni HSTS con un valore max-age di breve durata. Monitora il traffico di utenti e di altri clienti, così come le prestazioni degli elementi dipendenti, quali gli annunci.
  3. Aumenta lentamente il valore max-age di HSTS.
  4. Se HSTS non incide negativamente su utenti e motori di ricerca, puoi aggiungere il tuo sito all'elenco di precaricamento HSTS, che viene utilizzato dalla maggior parte dei principali browser. Ciò garantisce maggiore sicurezza e prestazioni migliori.

Come evitare errori comuni

Durante la procedura di protezione del tuo sito con TLS, fai attenzione a non commettere i seguenti errori:

Errori comuni e relative soluzioni
Certificati scaduti Assicurati che il tuo certificato sia sempre aggiornato.
Certificato registrato per il nome del sito web sbagliato Verifica di avere ottenuto un certificato per tutti i nomi host su cui viene pubblicato il tuo sito. Ad esempio, se il certificato riguarda soltanto www.example.com, un visitatore che carica il tuo sito usando solo example.com (senza il prefisso www.) verrà bloccato per un errore dovuto a una mancata corrispondenza con il nome del certificato.
Funzione Indicazione nome server (SNI) non supportata Assicurati che il tuo server web supporti la funzione SNI e in generale che il tuo pubblico utilizzi browser supportati. La funzione è supportata da tutti i browser moderni; se devi supportare browser meno recenti, ti servirà un IP dedicato.
Problemi di scansione Non impedire la scansione del tuo sito HTTPS utilizzando robots.txt. Scopri di più
Problemi di indicizzazione Se possibile, consenti l'indicizzazione delle pagine da parte dei motori di ricerca. Non utilizzare il tag noindex.
Versioni precedenti del protocollo Le versioni precedenti del protocollo sono vulnerabili; assicurati di avere le versioni più recenti delle librerie TLS e di implementare le ultime versioni del protocollo.
Elementi di sicurezza misti Incorpora soltanto contenuti HTTPS nelle pagine HTTPS.
Contenuti diversi su HTTP e HTTPS Assicurati che i contenuti sul sito HTTP e sul sito HTTPS corrispondano.
Errori di codice di stato HTTP su HTTPS Verifica che il tuo sito web restituisca il codice di stato HTTP corretto. Ad esempio, 200 OK per le pagine accessibili oppure 404 o 410 per le pagine che non esistono.

Eseguire la migrazione da HTTP a HTTPS

Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l'operazione uno spostamento del sito con modifiche agli URL. Ciò può influire temporaneamente sui dati relativi al traffico. Scopri di più sui consigli per tutti gli spostamenti di siti.

Assicurati di aggiungere la nuova proprietà HTTPS a Search Console. Search Console gestisce HTTP e HTTPS separatamente; i dati non vengono condivisi tra le proprietà in Search Console.

Per altri suggerimenti sull'utilizzo delle pagine HTTPS sul tuo sito, consulta le domande frequenti sulla migrazione a HTTPS.

Altre risorse sull'implementazione di TLS

Di seguito sono riportate alcune risorse aggiuntive per l'implementazione di TLS sul tuo sito: