FAQ Hero
Gestione delle vulnerabilità

Cos'è HTTPS Everywhere?

Cos'è HTTPS Everywhere?

HTTPS Everywhere è una misura di sicurezza per i siti web che protegge l'intera esperienza dell'utente dalle minacce online. Il termine si riferisce semplicemente all'utilizzo di HTTPS, il protocollo web sicuro abilitato da TLS/SSLsu tutto il tuo sito web e non solo su determinate sezioni. In questo modo ogni pagina del tuo sito è protetta dalla crittografia TLS/SSL e non viene visualizzata come non sicura nei browser web.

Il protocollo HTTPS garantisce l'autenticazione dell'identità del sito web, la connessione e l'integrità dei dati e crittografa tutte le informazioni condivise tra il sito web e l'utente (compresi i cookie scambiati), proteggendo i dati da visualizzazioni non autorizzate, manomissioni o usi impropri. Mantenere una connessione sicura per l'intera sessione di navigazione è fondamentale per garantire la sicurezza degli utenti rispetto ad attacchi avanzati di spoofing, injection e man-in-the-middle.

I browser e il trend verso HTTPS

Oggi non è più sufficiente proteggere solo in parte le connessioni dei tuoi utenti. Se utilizzi HTTPS sul tuo sito web in modo intermittente, solo alcune pagine sono protette dalla crittografia e dalla sicurezza di TLS/SSL, mentre altre sono vulnerabili al furto di dati, inserimento/modifica di contenuti e invasione della privacy. Un'implementazione intermittente di TLS/SSL non solo non soddisfa le aspettative e i diritti di sicurezza degli utenti, ma neppure le aspettative dei browser e delle piattaforme OS.

Nell'ambito di uno sforzo pluriennale per incoraggiare l'adozione di HTTPS Everywhere, i principali browser tra cui Google, Mozilla e Apple hanno utilizzato avvisi negativi su tutti i siti web che utilizzano solo HTTP per scoraggiarne l'uso e per rafforzare positivamente il più sicuro protocollo HTTPS.

Perché è importante proteggere il tuo sito web con HTTPS Everywhere

La fiducia è alla base dell'economia online. Per ottenere questa fiducia, hai bisogno di una sicurezza end-to-end che ti aiuti a proteggere tutte le pagine web visitate dai tuoi utenti, non solo le pagine di login e i carrelli degli acquisti. I nuovi cambiamenti negli standard Internet e nei browser web stanno offrendo vantaggi ai siti web che utilizzano HTTPS e stanno punendo attivamente i siti non sicuri che rimangono su HTTP. Per esempio, dal 2014 Google ha innalzato il posizionamento nei risultati di ricerca delle pagine con HTTPS. Inoltre, ora viene anche mostrata l'etichetta "Sicuro" nella barra degli indirizzi per le pagine HTTPS. Nel luglio 2018, Google Chrome ha iniziato a mostrare le etichette di avviso per tutte le pagine che utilizzano solo HTTP.

Chrome è stato il primo tra i browser più diffusi a segnalare tutte le pagine HTTP ai suoi utenti, e gli altri browser hanno fatto seguito man mano che Internet si orientava a uno standard "secure by default". In più, molte nuove tecnologie web e funzioni dei browser richiedono HTTPS. C'è anche HTTP/2, un miglioramento fondamentale del protocollo di comunicazione web che può innalzare di molto le prestazioni dei siti web, oltre alle funzioni del browser come la geolocalizzazione, le notifiche, i Service Worker, lo standard mobile AMP di Google, i nuovi metodi di compressione e altro. In sintesi, senza HTTPS il tuo sito web rimarrebbe a tutti gli effetti intrappolato nel passato.

I 3 migliori consigli per passare a HTTPS Everywhere

1. Verifica che tutti i servizi di terze parti a cui ti affidi, come servizi pubblicitari o di analisi in esecuzione sul tuo sito, siano disponibili con protocollo HTTPS per evitare i problemi di "contenuti misti".

2. Acquista certificati TLS/SSL aggiuntivi se diverse parti del tuo sito web sono gestite su server o domini diversi.

3. Reindirizza tutte le tue pagine web alle nuove versioni HTTPS e aggiorna gli strumenti per i Webmaster di Google. Il passaggio a HTTPS Everywhere implica alcune conseguenze relative alla SEO. Google e gli altri motori di ricerca considerano questa operazione come un trasferimento del sito web, simile al passaggio a un nuovo nome di dominio.