Abilita Persistent SSL

Ottieni Posizionamenti Migliori Nelle Ricerche Google

Il nuovo algoritmo del motore di ricerca Google tende ad avere un occhio di riguardo per i siti web che utilizzano HTTPS per impostazione predefinita. Il colosso della ricerca spera che questa mossa incoraggi le aziende a implementare la crittografia HTTPS. Si tratta di un approccio vincente sia per i proprietari di siti web sia per i visitatori, poichè i siti web protetti compariranno più in alto tra i risultati di ricerca di Google.

Enable Persistent SSL

Immagina di chiudere a chiave la porta d'ingresso di casa ma di lasciare spalancata la porta sul retro. Questo è sostanzialmente ciò che accade quando i siti web utilizzano Intermittent SSL per proteggere soltanto determinate pagine, come i login e le transazioni. Alcune aziende sono convinte che basti applicare Intermittent SSL ad alcune aree dei loro siti web per essere protette contro il furto di dati e gli hacker, ma in realtà stanno lasciando il resto del loro sito completamente esposto e vulnerabile agli attacchi.

Ottieni Migliori Posizionamenti Nelle Ricerche Su Google

Uno dei principali endorsement nell'abilitazione di Alway On SSL è arrivato da Google il 6 agosto 2014, tramite il suo blog di sicurezza informatica. L'intenzione è quella di dare maggior peso (un miglior posizionamento tra i risultati di ricerca) ai siti web interamente crittografati in HTTPS.

Il motivo è piuttosto semplice, secondo gli analisti delle tendenze dei webmaster di Google, Zineb Ait Bahajji e Gary Illyes. "Vorremmo incoraggiare tutti i proprietari di siti Web a passare da HTTP a HTTPS per tenere tutti al sicuro sul Web. Gran parte di ciò è garantire che i siti Web che le persone accedono da Google siano sicuri." Il loro messaggio non avrebbe potuto essere più chiaro: "Ci auguriamo di vedere più siti Web che utilizzano HTTPS in futuro." Si tratta di incoraggiare i siti Web a cambiare il modo in cui si proteggono per il meglio - e di proteggere completamente i dati in transito su Internet.

Proteggere l'Intera User Experience

Abilitare Always On SSL è una misura di sicurezza fondamentale ed economicamente vantaggiosa, che fornisce protezione end-to-end ai visitatori dei siti web. Non si tratta di un prodotto, servizio o rimpiazzo per il tuo Certificato SSL già esistente, quanto piuttosto un diverso approccio alla sicurezza, che prende atto della necessità di proteggere la sessione dell'utente nella sua interezza, non soltanto la schermata di login. Always On SSL prevede l'utilizzo di HTTPS esteso a tutto il sito, ma consiste anche nell'impostare la secure flag per tutti i cookies della sessione, in modo da impedire l'invio dei loro contenuti tramite connessioni HTTP non criptate. Soluzioni aggiuntive, come Extended Validation (EV) e HSTS, possono rafforzare ulteriormente la tua infrastruttura contro attacchi del tipo Man-In-The-Middle.

Imposta la Secure Flag Per Tutti i Cookies Della Sessione

Un cookie temporaneo può essere impostato con una "secure" flag opzionale, che comunica al browser di contattare il server di origine utilizzando soltanto HTTPS ogniqualvolta esso restituisca questo cookie. L'attributo Secure dovrebbe essere interpretato dall'user agent come segnale di sicurezza da parte del server, indicando che la sessione intende proteggere i contenuti del cookie. Questa soluzione aiuta a impedire che i cookies vengano inviati tramite http, anche nel caso in cui l'utente effettui (o venga portato con l'inganno ad effettuare) una richiesta browser al server Web tramite HTTP.

Aumenta Sicurezza E Fiducia Con I Certificati Extended Validation (EV)

Per una maggiore protezione contro gli exploits raccomandiamo ai siti web di considerare l'impiego di Certificati SSL Extended Validation (EV). I siti protetti da EV sono sottoposti a una rigorosa procedura di verifica stabilita dal CA Browser Forum, a cui collaborano più di 30 autorità leader nel settore della certificazione e distributori di software per browser.

Questa procedura di verifica conferma l'identità e l'esistenza degli operatori di siti web utilizzando affidabili fonti di terze parti. Gli utenti che visitano un sito web protetto da Certificato SSL EV vedranno una barra verde e il nome dell'organizzazione nella barra degli indirizzi URL, ottenendo una rassicurazione visiva sull'identità dell'operatore.

Implementa HSTS Per Prevenire Attacchi Attivi

Le connessioni HTTPS sono spesso iniziate quando i visitatori vengono reindirizzati da una pagina http o quando cliccano un link (ad esempio un pulsante di login) che li conduce a un sito HTTPS. Ad ogni modo, è possibile lanciare un attacco Man-In-The-Middle durante questa transizione da una connessione non protetta ad una protetta, in modo passivo oppure facendo credere alla vittima di cliccare un link HTTP ad un sito web legittimo (per esempio tramite un'email di phishing).

La più efficace difesa contro questo tipo di attacchi consiste nell'implementare HTTP Strict Transport Security (HSTS) per il tuo sito web. Questa specifica fornisce ai siti web un modo per dichiararsi accessibili soltanto tramite connessioni protette, e/o agli utenti un modo per interagire con tali siti soltanto su connessioni protette.