In base all’ultimo rapporto redatto da Clusit, l’associazione italiana per la sicurezza informatica, le attività cybercriminali si sono mutate da un gruppetto artigianale di “Crackers” a un forma più evoluta ed organizzata di squadre dedite allo spionaggio e furto dei dati per il loro utilizzo illecito.
Per contrastare questi fenomeni cyberattacchi e proteggere la trasmissione dei dati interni all’azienda, quelli dei clienti e altre informazioni sensibili ci sono due sigle con cui è bene fare conoscenza: SSL/TLS e HTTPS.
I termini SSL/TLS
Con il termine SSL (sigla per “Secure Socket Layers”) si identifica una tecnologia che si usa per criptare e autenticare il traffico dati in rete. Con l’SSL si crea una sorta di tunnel che mette in sicurezza la trasmissione dei dati tra il server, dove è ospitato il sito, ed il browser del navigante. Soprattutto nell’e-commerce e nell’online banking, dove vengono trasmessi dati sensibili come i dati anagrafici e di pagamento, l’uso di un certificato SSL o della sua versione successiva TLS (“Transport Layer Security”) è una pratica fondamentale.
Con il protocollo SSL/TLS ci si assicura che venga la comunicazioni letta ed interpretata solo agli estremi del canale di trasmissione, mentre nel durante è crittografata e non interpretabile da chiunque riuscisse ad intercettarla.
HTTPS
L’abbreviazione HTTPS (Hyper Text Transport Protocol over Secure Socket Layer) che precede il dominio del sito web a cui ci stiamo collegando indica che la trasmissione dei dati tra il nostro browser ed il server avviene in maniera sicura grazie all’uso di SSL/TLS. Mentre per il protocollo http la trasmissione dei dati viene effettuata “in chiaro”, consentendo quindi ai malintenzionati di intervenire nel nostro traffico dati, con il protocollo https si riconosce che il sito a cui siamo collegati trasmette e riceve i dati in maniera sicura tramite il certificato SSL/TLS.
I vantaggi nell’uso di SSL/TLS e HTTPS per il proprio e-commerce sono principalmente questi:
- Protezione dei dati e trasmissioni sicure tra il proprio sito web ed i clienti
- Il certificato di sicurezza è leggibile da parte del cliente, aumentando la fiducia
- È un fattore che incide positivamente sull’indicizzazione da parte di Google
Attivare la trasmissione sicura del vostro e-shop su CMS
La procedura per l’attivazione della trasmissione HTTPS richiede innanzitutto che il server sul quale stiamo lavorando accetti la trasmissione tramite certificati di sicurezza, autorizzando il traffico dei dati tramite una porta specifica come la 443.
Partendo da WordPress, per attivare il traffico SSL, basta andare in nel pannello di controllo alla voce “Impostazioni generali” ed inserire nei campi (URL), il proprio indirizzo preceduto dal protocollo https in questo modo:
https://www.ilmiodominio.it/
Per quanto riguarda Prestashop, tramite il pannello di controllo come amministratore, andare nella pagina Impostazioni>Generali e attivare i pulsanti “Attiva SSL” e “Forza l’SSL su tutte le pagine“
Infine passiamo a Joomla, che richiede qualche passaggio in più rispetto ai precedenti. Partendo dalla finestra di Configurazione Globale, selezionare il tab “Server”, all’interno del quale troveremo il menu per forzare l’HTTPS, qui basta selezionare la voce “Intero Sito”. Ma questa procedura garantisce solo in parte l’uso del certificato di sicurezza per la trasmisione dei dati. Per implementare al 100% l’HTTPS sul CMS Joomla è necessario intervenire sul file configuration.php presente nella directory principale del sito.
Usando un Editor bisogna modificare la linea:
var $live_site =”;
con:
var $live_site = ‘https://www.iltuodominio.it’;
Il passo successivo è modificare anche il file .htaccess. Sempre usando l’Editor aggiungere queste linee di codice alla fine del file:
RewriteEngine On
RewriteCond %{HTTPS} OFF
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Con questo si garantirà il traffico in modalità sicura anche se proviene da pagine terze come i motori di ricerca.
HTTPS e SEO
Per chi ha un e-commerce avrà sicuramente inciso la notizia di Google nel 2017 di adottare un criterio di valutazione per i siti che adottano il protocollo HTTPS ancor più restrittivo d quello introdotto nel 2014. Gli utenti diventano sempre più attenti al tema della sicurezza dei dati e anche i neofiti possono facilmente riconoscere se una pagina viene contrassegnata come sicura o meno.
Nel ultimi anni si sarà notato come anche i browser come Chrome o Firefox classificano il sito tramite un piccolo badge che precede l’url del sito. Tramite quell’icona è possibile identificare se il sito lavora tramite http o https.
Quindi l’HTTPS è diventato un obbligo per chi ha un e-commerce. Difatti nelle classifiche di Google per il giudizio di un sito la sicurezza va di pari passo all’usabilità su dispositivi mobili e desktop.