Sicuramente ti sarà capitato di imbatterti in un sito etichettato come “non sicuro” dal tuo browser, o forse è proprio con il tuo sito che hai riscontrato questo problema.
Ma è grave? Cosa si può fare per risolvere?
In questo articolo vedremo nel dettaglio le differenze tra i vari errori che identificano un sito come “non sicuro” e, con i giusti metodi, andremo a risolvere una volta per tutte questa problematica relativa ad una connessione non sicura.
Per i nostri test utilizzeremo il browser Google Chrome, ma il discorso si applica a qualsiasi browser moderno.
Perché appare l’avviso che segnala un sito “non sicuro”?
L’avviso di sito “non sicuro” compare perché siamo connessi tramite protocollo HTTP, che a differenza di HTTPS non offre protezione durante la navigazione.
HTTPS cosa significa? La sigla HTTPS sta per HyperText Transfer Protocol Secure, il fattore sicurezza viene menzionato già nella stessa sigla con la lettera S.
Per verificare con quale protocollo siamo connessi è sufficiente cliccare sulla barra degli url del browser e leggere per intero l’indirizzo. Se l’indirizzo inizia con https:// siamo in buone mani.
Un sito protetto da HTTPS è sicuro per la navigazione classica, ma soprattutto è sicuro quando dobbiamo effettuare acquisti online su un sito e-commerce.
Gli avvisi di sito “non sicuro” sono tutti uguali?
Gli errori che ci avvertono che abbiamo a che fare con un sito non sicuro sono simili tra di loro, ma non sono identici.
Il nostro browser ci avviserà sempre quando rileva problemi di sicurezza o altri tipi di anomalie e, nei casi più gravi, ci impedirà di proseguire la navigazione. Succede spesso quando ci imbattiamo in un certificato non valido o in un errore certificato.
Nel caso di Google Chrome (in particolare dalla versione 68, pubblicata a luglio 2018) il sito viene evidenziato come non sicuro se non rispetta alcuni precisi standard di sicurezza.
Addirittura potremo essere penalizzati nell’indicizzazione dei risultati di ricerca se non corriamo subito ai ripari.
Possiamo dividere questi avvisi in tre grandi categorie, elencate di seguito in ordine crescente di gravità.
Avviso “La connessione a questo sito non è completamente protetta”
Un sito che presenta questo avviso è in linea di massima un sito sicuro, ma sono presenti chiamate a risorse esterne come immagini o file javascript che compromettono la sicurezza totale del sistema.
Se siamo semplici fruitori del sito non dovremmo preoccuparci eccessivamente, evitiamo però di inserire informazioni personali. Ma ancora peggio, evitiamo di inserire i dati della nostra carta di credito.
Avviso “Non sicuro”, “La tua connessione a questo sito non è protetta”
L’avviso “La tua connessione a questo sito non è protetta” indica un problema più grave rispetto al precedente, in questo caso il protocollo HTTPS è totalmente assente e non ci garantisce alcuna protezione, neanche parziale.
Valgono i consigli del primo caso, ovvero evitiamo di inserire informazioni personali o i dati della carta di credito, limitiamoci ad una semplice consultazione dei contenuti del sito.
In alcuni casi può funzionare l’inserimento manuale della sigla HTTPS, sostituendola ad HTTP nella barra degli indirizzi del browser. Non è un risultato garantito, ma tentare non costa nulla.
Avviso a tutta pagina “La connessione non è privata”
Quando gli avvisi diventano invasivi come nel caso di una connessione non privata è preferibile non procedere con la navigazione e cambiare sito.
Analizzando più a fondo la questione, l’avviso a tutta pagina che recita “La connessione non è privata” indica un grave problema di sicurezza legato al certificato, ma con tutta probabilità il dominio è stato inserito in una blacklist di Google e il sito è potenzialmente pericoloso.
Infatti, nel nostro esempio è proprio il browser Google Chrome che ci sconsiglia di continuare con la navigazione. Per cui se le informazioni presenti nel sito sono di vitale importanza procediamo a nostro rischio e pericolo, ma ricordiamoci di utilizzare un antivirus con protezione web.
Inutile dire che inserire dati confidenziali in un sito di questo tipo è estremamente pericoloso, il consiglio è quello di evitarlo a tutti i costi.
Qual è la soluzione all’avviso di sito “non sicuro”?
Se il sito non è di nostra proprietà non dovremmo preoccuparci eccessivamente.
È sufficiente avere l’accortezza di non inserire dati personali, credenziali bancarie e dati della carta di credito e, nel caso di avvisi a tutta pagina, è consigliabile abbandonare il sito.
Possiamo però segnalare la problematica al proprietario del sito, richiedendo di implementare un certificato SSL per ottenere il protocollo sicuro HTTPS.
Se il sito è di nostra proprietà è consigliabile agire immediatamente per la risoluzione del problema, perché potremmo riscontrare un repentino calo delle visite.
Il problema si aggrava se abbiamo un e-commerce perché assisteremmo ad una drastica riduzione dei nostri profitti, per cui è meglio non perdere tempo.
Da proprietari di un sito dobbiamo innanzitutto verificare che il fornitore del nostro hosting metta a nostra disposizione un certificato SSL da integrare nel nostro sito web, richiedibile solitamente tramite pannello di controllo.
Successivamente si può procedere con la configurazione e con le verifiche di routine, utilizzando diversi browser sia desktop che mobile.
Dobbiamo accertarci che tutto il traffico venga veicolato tramite protocollo sicuro, e se ci sono delle risorse esterne anch’esse dovranno necessariamente passare tramite HTTPS.
Ricordiamo che queste operazioni sono fondamentali se abbiamo un e-commerce, ma è consigliato usare il protocollo HTTPS anche se abbiamo soltanto un blog o un sito vetrina.
Hai riscontrato problemi di sicurezza con il tuo sito? Contattaci per una consulenza gratuita, faremo del nostro meglio per aiutarti.