Diego Fernando Torres » Blog di Monetizzazione » HTTPS e SSL non significano che tu abbia un sito web sicuro

HTTPS e SSL non significano che tu abbia un sito web sicuro

Cercavi un servizio di LinkBuilding o per acquistare backlinks di quilità italiana? Scopri i dettali sui link.

La comunità SEO, nella maggior parte dei casi, ha rivolto per la prima volta la sua attenzione al piccolo lucchetto verde di HTTPS nel 2014, quando Google ha pubblicato un post che annunciava HTTPS come segnale di classificazione. Quasi immediatamente tutti i SEO hanno consigliato ai propri client HTTP di passare a HTTPS per scopi di ranking, ma in realtà non si è mai trattato (e non avrebbe mai dovuto esserlo) di ranking.

Allora perché Google ha parlato di classifiche? In breve, per far notare alle persone.

L’obiettivo a lungo termine di Google è stato quello di rendere il Web più sicuro per gli utenti e di proteggere i propri utenti. Dopotutto, se Google presenta un risultato a un utente che vedrà rubati i dettagli della sua carta di credito, potrebbe fidarsi meno di Google per offrire risultati sicuri e di qualità.

HTTPS è di nuovo sotto i riflettori come Google Chrome 68 evidenzierà attivamente i siti web come “sicuri” e “non protetti” per gli utenti. Qui sta il problema per me, l’uso della parola “sicuro”.

Avere un certificato SSL non significa che tu abbia un sito web sicuro e con le nuove normative europee GDPR che si avvicinano rapidamente molte aziende potrebbero essere scoperte a causa di questo malinteso. Gli attacchi informatici di alto profilo in tutto il mondo hanno anche dato risalto ai mass media sui problemi di sicurezza informatica, con grandi marchi (come Barclays, una banca di investimento multinazionale britannica) che lanciano campagne pubbliche per aumentare la consapevolezza sulle basi della sicurezza informatica.

Campagna HTTPS “SuperCon” di Barclay

Ma anche questo spot televisivo di Barclays era sbagliato. Ha pubblicizzato che un sito con un lucchetto verde e HTTPS è un segno che un sito Web è autentico e senza uno il sito Web potrebbe essere falso. I siti Web falsi possono ancora utilizzare HTTPS.

Se un sito Web, falso o autentico, desidera utilizzare le tecnologie SSL / TLS, tutto ciò che deve fare è ottenere un certificato. I certificati SSL possono essere ottenuti gratuitamente e implementati in pochi minuti tramite tecnologie come Cloudflare e, per quanto riguarda il browser, il sito è sicuro.

Capire come funzionano i certificati SSL

Quando un utente naviga in un sito Web, il sito Web fornisce il certificato al browser. Il browser quindi convalida che il certificato fornito dal sito Web:

  • È valido per lo stesso dominio di quello a cui si accede.
  • È stato rilasciato da una CA (autorità di certificazione) attendibile.
  • È valido e non ha superato la data di scadenza.

Una volta che il browser dell’utente ha verificato la validità della certificazione SSL, la connessione continua come sicura. In caso contrario, riceverai un avviso di non sicurezza nel tuo browser o negherà l’accesso al sito. In caso di successo, il browser e il server del sito web si scambiano i dettagli necessari per creare una connessione sicura e il sito viene caricato.

Quindi in che misura HTTPS protegge un sito web?

Crittografia in transito / Crittografia a riposo

HTTPS (e SSL / TLS) forniscono la cosiddetta “crittografia in transito”. Ciò significa che i nostri dati e le comunicazioni tra un browser e il server del sito Web (utilizzando un protocollo sicuro) sono in formato crittografato, quindi se questi pacchetti di dati vengono intercettati, non possono essere letti o manomessi.

Tuttavia, quando il browser riceve i dati, li decrittografa e quando il server riceve i tuoi dati, viene anche decrittografato, in modo che possa essere ricordato in futuro o utilizzato da altre integrazioni, come i CRM. SSL e TLS non ci forniscono la crittografia a riposo (quando i dati sono archiviati sul server del sito web). Ciò significa che se un hacker è in grado di accedere al server, può leggere tutti i dati che hai inviato.

La maggior parte degli attacchi di alto profilo e delle violazioni dei dati deriva dal fatto che gli hacker ottengono l’accesso a questi database non crittografati, quindi mentre le tecnologie HTTPS fanno sì che i nostri dati raggiungano i database in modo sicuro, non vengono quindi archiviati in modo sicuro.

SSL può anche essere vulnerabile

Come la maggior parte delle tecnologie, SSL e TLS sono in continua evoluzione e vengono aggiornati. SSLv1 non è mai stato rilasciato pubblicamente, quindi la prima vera esperienza che abbiamo avuto tutti con SSL è arrivata nel 1995 con SSLv2, che conteneva una serie di gravi falle di sicurezza.

SSLv2 può ancora causare problemi oggi, poiché un gran numero di implementazioni e configurazioni SSL correnti non sono corrette, il che significa che sono suscettibili a DROWN attacchi.

SSLv3 è stato introdotto nel 1996 e da allora abbiamo assistito all’introduzione di TLSv1, TLSv1.1 e TLSv1.2.

È qui che SSL stesso può essere una vulnerabilità diretta. Man mano che le tecnologie progrediscono, non tutti i siti Web progrediscono con esse e molti siti Web supportano ancora i protocolli precedenti nonostante l’utilizzo di un certificato SSL più recente. Gli hacker possono utilizzare questa vulnerabilità e il supporto precedente per eseguire un attacco di downgrade del protocollo, in cui fanno riconnettere il browser dell’utente al sito Web con un protocollo precedente e, sebbene molti browser moderni impediscano le connessioni SSLv2, SSLv3 ha ancora più di 20 anni .

SSL stesso è anche vulnerabile a una serie di altri potenziali attacchi tra cui BESTIA, VIOLAZIONE, FREAK, e Heartbleed.

HTTPS sulle pagine di pagamento / accesso è una falsa sicurezza

Per molto tempo, molte aziende di e-commerce hanno mantenuto HTTPS solo nelle pagine di pagamento o nelle pagine di accesso degli utenti, ma hanno eseguito HTTP su altre pagine.

Quando accedi a un sito web, il server restituisce un cookie, questo significa che non devi continuare ad accedere e uscire dal sito (ti ricorda). Il problema è quindi quando si continua a navigare nel sito Web su HTTP, lo stesso cookie di autenticazione viene inviato e ricevuto su una connessione non protetta, il che potrebbe comportare l’intercettazione del cookie da parte di un utente malintenzionato, il furto e quindi la rappresentazione di te in un secondo momento.

In conclusione

SSL / TLS, se implementato correttamente, è una tecnologia fondamentale per proteggere i dati dell’utente quando sono in transito tra il browser dell’utente e il server del sito web. Per una copertura completa, dovrebbe essere utilizzato anche un sito web HSTS per proteggersi dagli attacchi di downgrade del protocollo e dal dirottamento dei cookie.

La tecnologia inoltre non protegge un sito Web da migliaia di altri noti exploit hackerabili, che possono compromettere i dati degli utenti.

Dire che HTTPS è sicuro non è falso, ma non è nemmeno strettamente vero. È un pezzo di un puzzle di sicurezza informatica che è apparentemente una delle funzionalità di sicurezza più facili da identificare, specialmente dal punto di vista del web crawler. Ho scritto in precedenza su Google potenzialmente aggiunge un elemento di scansione passiva a un crawler web avanzato in futuro e prendendo in considerazione diversi aspetti della sicurezza del sito web nei loro fattori di ranking.

Dobbiamo istruire i nostri clienti sul fatto che devono adottare più misure oltre al semplice HTTPS per proteggere i loro siti Web e proteggere i loro utenti, oltre a essere conformi al GDPR.

Sono contento che sei arrivato fin qui, puoi tornare alla sezione di seo.

Cosa pensi di me?
Clicca per votare questo articolo!
[Total: 0 Average: 0]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *