Il 2 maggio scorso, sul suo blog ufficiale, Google ha annunciato che sostituirà il simbolo del lucchetto presente nella barra del browser, il padlock, con una nuova icona, chiamata tune icon.
Cosa comporterà questa modifica? Perché gli sviluppatori di Chrome hanno deciso di modificare il simbolo che indica la presenza del certificato di sicurezza in un sito?
Indice
- 1 Certificato di sicurezza del sito web: cos’è
- 2 Certificato di sicurezza SSL: come funziona
- 3 Tipi di certificati di sicurezza
- 4 Quale certificato di sicurezza scegliere
- 5 Verificare la corretta installazione e configurazione del certificato SSL
- 6 Cosa vuol dire errore nel certificato di sicurezza?
- 7 Navigazione sicura SSL: a cosa serve
- 8 Icona del lucchetto per siti sicuri, addio
- 9 Autore
Certificato di sicurezza del sito web: cos’è
L’installazione di un certificato di sicurezza in un sito web è ormai un imperativo, anche perché tutti i browser segnalano la sua assenza ai navigatori del web in modo molto evidente.
Un sito viene considerato sicuro, da Google Chrome e dagli altri browser, quando sul server in cui sono pubblicate le pagine web è installato anche un certificato di sicurezza SSL.
I certificati SSL vengono installati sul web server del sito e deve essere installato un certificato per dominio.
In questo modo il sito raggiunge due risultati:
- il passaggio del sito da http:// a https://
- il lucchetto sulla barra del browser
Oggi tutti i fornitori di spazio disco per i siti offrono questa impostazione già configurata, anche se è bene sottolineare che i certificati di sicurezza non sono tutti uguali.
Certificato di sicurezza SSL: come funziona
Quando un utente visita un sito, una serie di dati transita dal suo dispositivo (pc, tablet, smartphone) al web server e viceversa.
Il protocollo predefinito del web, l’HTTP (HyperText Transfer Protocol), esegue questo scambio di informazioni “in chiaro”, non eseguendo una criptazione dei dati. Un hacker potrebbe così essere in grado di carpire fraudolentemente queste informazioni, che potrebbero essere numeri di carte di credito, ma anche più semplicemente indirizzi e-mail.
Per ovviare a questo inconveniente viene utilizzato un altro protocollo, l’HTTPS (Hypertext Transfer Protocol Secure), la versione sicura dell’HTTP. HTTPS sfrutta un certificato di sicurezza, detto SSL, che cripta la connessione tra sito e browser o dispositivo.
Tipi di certificati di sicurezza
Abbiamo detto che la criptazione delle informazioni di un sito avviene tramite una tecnologia chiamata SSL (Secure Sockets Layer) che può essere implementata acquistando un certificato di sicurezza (certificato SSL), rilasciato da un organismo autorizzato (Certificate Authority) e installandolo sul server web dove è pubblicato il sito.
Un certificato SSL è un documento elettronico che attesta l’identità del soggetto che lo richiede. Esistono vari livelli di certificati SSL, che aumentano di costo in relazione al grado di fiducia che vogliamo trasmettere all’utente.
Tra le Certficate Authorities più conosciute ci sono Verisign, GlobalSign e DigiCert, ma esistono anche authorities che forniscono certificati gratuitamente come Let’s Encrypt e Start SSL.
Se si devono mettere sotto HTTPS anche dei sottodomini è necessario acquistare dei certificati wildcard che coprono tutte le possibilità di *.example.com.
I certificati si dividono in due categorie:
- il tipo di certificato Standard Validation SSL, che fornisce un livello di validazione standard;
- il tipo di certificato Extended Validation SSL, a cui i browser mostrano più rilevanza nella barra dell’indirizzo, migliorando quindi la user experience.
Per l’emissione del primo tipo di certificato, l’azienda che lo emette non esegue alcun tipo di verifica sull’azienda che lo richiede. Può quindi essere acquistato da qualsiasi persona e va bene anche per le ditte individuali.
Per il secondo tipo di certificato invece l’ente che lo rilascia esegue una serie di verifiche sul titolare dell’azienda richiedente. In questo caso l’authority richiede la visura camerale, facendo una verifica telefonica dell’effettiva esistenza dell’azienda. Fornisce maggior sicurezza perché verifica effettivamente che l’azienda esista realmente.
Gli anglosassoni distinguono tra secure e safe, anche se noi traduciamo con lo stesso termine, sicurezza:
- secure significa che i dati sono trasmetti tramite una connessione criptata
- safe indica che un’autorità ha provveduto a verificare l’identità digitale all’altro capo della connessione
Ecco un esempio dei tipi di certificati:
L’ “effetto” che ha Mozilla sul suo sito (la ragione sociale con sfondo verde nella barra del browser) si ottiene con un Certificato EV SSL.
È bene chiarire che il tipo di certificato Extended Validation SSL non impatta sulla sicurezza: si limita solo a verificare, per esempio, che l’azienda abbia una sede fisica. Anche per questo motivo, costa di più. Inoltre, il tipo di certificato SSL scelto non fa differenza ai fini del posizionamento su Google. Per ora.
Quale certificato di sicurezza scegliere
Sebbene quasi tutti i fornitori di hosting ormai offrano soluzioni con HTTPS a costi molto competitivi, per piccoli blog o siti vetrina esiste anche una soluzione gratuita di certificato SSL, quella fornita da Let’s Encrypt.
Let’s Encrypt assegna un certificato gratuito e di buona qualità, robusto, però si limita a darti il lucchetto verde.
Nel caso di brand affermati si ricorre ad altri tipi di certificati che fanno in modo che nella barra degli indirizzi compaia non solo il lucchetto verde, ma anche la certificazione dell’ente che ha rilasciato SSL. È più rassicurante per l’utente. Sono i certificati più cari.
Let’s Enrcypt è un certificato che va bene per un singolo dominio. Per siti grandi, con tanti sottodomini, non è possibile installarlo, bisogna ricorrere a certificati wildcard a pagamento.
Per blog, siti semplici anche amatoriali, Let’s Encrypt (o altri simili) è la scelta migliore.
Per progetti più strutturati e con budget, acquistare certificati più autorevoli.
Verificare la corretta installazione e configurazione del certificato SSL
Per controllare se il certificato è installato correttamente, il browser evidenzierà in qualche modo la sicurezza del tuo sito. La modalità varia da browser a browser, ma in genere davanti all’indirizzo della pagina comparirà un lucchetto chiuso (padlock).
Se il certificato installato è di quelli più evoluti, per esempio un Extended Validation SSL Certificate, questa visualizzazione può cambiare, per esempio scrivendo tutto l’indirizzo della pagina in verde, oppure aggiungendo anche la ragione sociale dell’intestatario del certificato, come avviene quando si visita il sito di Firefox.
Il certificato ha un periodo di validità, quelli a pagamento di solito sono sottoposti a un canone annuale. Qualora il certificato non venga rinnovato, il browser notificherà al visitatore della pagina web che il sito non è sicuro.
Cosa vuol dire errore nel certificato di sicurezza?
Se il certificato non è stato installato correttamente, il browser visualizzerà dei messaggi di errore. Il più frequente è un lucchetto giallo o grigio, di solito dovuto al fatto che qualche risorsa richiamata dal sito non ha il prefisso https.
Per vedere quali problemi determinano il padlock, si può cliccare sul lucchetto del browser oppure usare un tool gratuito come Why No Padlock?
Gli errori più frequenti riguardano situazioni in cui nelle pagine sono ancora presenti link con http://, oppure il sito è ancora fruibile in entrambe le versioni.
Per verificare che il proprio sito abbia HTTPS installato correttamente può essere utilizzato il tool on line gratuito SSL Server Test che fornisce una valutazione delle proprie pagine, da A, ottima, a F, insufficiente.
Un altro tool gratuito è Linksspy. Come gli altri strumenti visti, anche questo esegue un check up completo dell’installazione del certificato.
Esistono molti benefici per passare dalla navigazione sotto il protocollo HTTP a quella sotto il protocollo sicuro HTTPS: gli ultimi aggiornamenti dei browser (primo tra tutti di quello più utilizzato, Google Chrome) segnalano all’utente in modo evidente la navigazione non sicura, i dichiarati vantaggi SEO (Google parla apertamente di HTTPS come fattore di ranking), gli aspetti della user experience (gli utenti si sentono rassicurati dalla navigazione in modalità sicura).
Vantaggi dell’utilizzo del protocollo SSL
L’installazione di un certificato di sicurezza ha dunque 3 vantaggi in un sito:
- aumenta la sicurezza della propria installazione, perché HTTPS inserisce un altro “ostacolo” ai possibili attacchi hacker
- migliora il sito dal punto di vista SEO, perché Google stessa, il 6 agosto 2014 nel suo blog ufficiale, ha dichiarato che SSL è un fattore di ranking, così come lo ha confermato il “portavoce” dell’azienda, John Muller in un Hangout dell’11 agosto 2014.
Cosa curiosa, visto che accade raramente che Google espliciti un fattore che influisce sul posizionamento tra i risultati del motore di ricerca.
- dà fiducia all’utente, che vede che i suoi dati sono protetti durante tutto il percorso di navigazione nel nostro sito. HTTPS dà al visitatore l’immagine che il sito sia più affidabile rispetto ai siti HTTP, in particolare nella gestione dei dati sensibili, primi tra tutti password e numeri delle carte di credito.
Icona del lucchetto per siti sicuri, addio
Google si appresta a rimuovere l’ormai nota icona del lucchetto verde che contrassegna i siti sicuri. Questo perché oggi i siti sotto HTTPS sono la quasi totalità, oltre il 95% secondo le rilevazioni di Google. Di conseguenza pare inutile segnalarlo, ridondante.
Il padlock verrà però sostituito da un nuovo simbolo. L’aspetto di questa nuova icona non è ancora stato definito, ma, come affermano gli stessi sviluppatori, è probabile che assomigli a una variante dell’icona che conduce alle pagine che permettono impostazioni e settaggi, la tune icon.
Cone mai questa modifica? Il motivo del cambiamento è legato al fatto di rendere più comprensibile e intuitivo che cliccando su quell’icona si accede a un pannello di gestione di alcune funzioni. Una ricerca svolta proprio da Google su un campione di 1.880 persone, aveva scoperto come soltanto l’11% degli intervistati avesse capito che cliccando sull’icona a forma di lucchetto si poteva accedere a un pannello di controllo con una serie di funzioni legate alla sicurezza, ai cookie e alle informazioni del sito. La tune icon permetterebbe di evitare questo fraintendimento,
L’aspetto della nuova icona dovrebbe essere lanciato all’inizio di settembre 2023, nella versione numero 117 di Chrome. Niente cambierà per coloro che utilizzano dispositivi con sistema operativo iOS.
Non è la prima volta che Google rivede la sua icona della sicurezza in Chrome. Già nel 2017 aveva cambiato il colore da verde a grigio, un colore più neutrale, per diminuire il richiamo che svolgeva l’icona sugli utenti.
Per i certificati di sicurezza più evoluti, come gli OV o gli EV, Chrome continuerà a mostrare una barra come ha sembra fatto.
Per la navigazione del web, il browser di Google risulta essere quello più utilizzato. 2/3 degli utenti usa Chrome, mentre il 20% si serve di Safari. Gli altri software come Microsoft Edge, Mozilla Firefox e Opera, si dividono le briciole delle rimanenti quote di mercato.
Source: StatCounter Global Stats – Browser Market Share
