E-Commerce più sicuri e visibili con HTTPS e SSL

Postato da: ecomlucera / Aggiornamento, informazionidiservizio, Sicurezza / Nessun commento

HTTPS per l’e-Commerce: introduzione

Quando si avvia un negozio online e si progetta un sito web, devono essere valutati tutti gli elementi che possono migliorarne l’usabilità e l’esperienza utente (UX), pertanto HTTPS e SSL devono essere considerati fin dalle prime battute.

Un elemento sempre più sentito da chi acquista online è il poter sapere che i dati delle proprie transazioni, e non solo quelli, sono in buone mani e al sicuro da possibili furti.

Se la vostra esperienza sull’argomento è ancora agli inizi oppure l’attività e-Commerce è appena stata avviata, potreste aver già sentito diverse opinioni sui certificati SSL e sull’HTTPS, e saprete sicuramente che fanno parte di un sistema di sicurezza per la gestione dei dati, ma questo articolo potrà probabilmente aiutarvi a capire meglio come essi funzionano e il motivo per cui investire risorse e tempo per comprenderli e adottarli.

SSL può assomigliare a un acronimo alieno, ma una volta che avrete capito perché il vostro negozio online potrebbe averne necessità, non sarà così necessario comprendere in modo dettagliato cosa significhi realmente. Nella maggior parte dei casi, grazie al proprio hoster, è possibile ottenerne uno in meno di un’ora.

Cerchiamo quindi di approfondire insieme:

  • perché potreste averne necessità per il vostro negozio online;
  • come prendere una decisione sull’argomento;
  • come ottenere un certificato.

Il certificato SSL, cos’è e come attivarlo

In breve vi spieghiamo che cosa è un certificato SSL, perché dovrebbe essere necessario, e come funziona tecnicamente.

Un breve ripasso

SSL è l’acronimo di “Secure Sockets Layer“, è anche chiamato “Transport Layer Security” (TLS). SSL è prima di tutto un protocollo utilizzato per assicurare e proteggere le transazioni, non solo quelle finanziarie, ma anche tra due nodi che devono comunicare attraverso una rete locale o pubblica.

Esso codifica con un algoritmo di cifratura le transazioni, così da rendere lo scambio di informazioni privato ed esclusivo. Infatti ogni messaggio trasmesso deve passare un controllo per l’integrità della crittografia stessa prima che esso venga ritrasmesso. Se il controllo ha un esito negativo (a causa di corruzione dei dati, o qualsiasi tentativo di modificare o di intercettare i dati), i dati crittografati non verranno trasmessi a loro volta.

In realtà utilizziamo il protocollo SSL ogni giorno, quando navighiamo siti web comuni come Facebook, YouTube, e altri negozi e siti online. La crittografia utilizzata impedisce che una persona o un sistema riescano nell’intento di intercettare le trasmissioni di dati più comuni, come le query di ricerca sul vostro motore di ricerca preferito, oppure altre trasmissioni dati molto più rischiose, come quando inseriamo i dati della nostra carta di credito.

 

Come attivare il certificato SSL per il tuo e-Commerce

Quando si vogliono proteggere le operazioni che avvengono sul proprio sito web, si può richiedere al proprio provider di servizi, di poterne acquistare uno. La crittografia verrà quindi applicata a tutto il sito web, e a tutte le attività che su di esso avvengono. Questo dovrebbe impedire il furto e l’intercettazione dei dati trasmessi server to client e viceversa.

Il certificato SSL acquistato conterrà alcune importanti informazioni di sicurezza che il client può verificare, e che non sono modificabili, come ad esempio:

  • nome azienda;
  • posizione geografica dell’azienda;
  • periodo di validità del certificato;
  • dettagli dell’autorità emittente.

Sono le informazioni che potete liberamente consultare quando nel browser compare il lucchetto verde, che comprova la presenza di un certificato SSL, potrete cliccarci sopra e farvi un’idea della serietà del sito web o del negozio online.

E’ bene quindi ricordare che ci sono principalmente due modi per sapere se un sito web utilizza il protocollo SSL/TLS:

  1. l’icona verde a forma di lucchetto nella barra degli indirizzi del browser;
  2. l’URL che inizia per HTTPS invece di HTTP.

Considerate tuttavia che il sito web potrebbe utilizzare il protocollo sicuro per tutte le pagine oppure solo in quelle destinate ad un certo tipo di operazioni, come il pagamento e la navigazione all’interno dell’area riservata dell’utente.

L’utilizzo del protocollo SSL sta cambiando?

Per diversi anni un certificato SSL era utilizzato in Internet solo per alcuni domini o pagine specifiche di un sito web, e in particolare nelle pagine in cui si sarebbero trasmesse delle informazioni sensibili (dati finanziari soprattutto), ma questa tendenza oggi sta cambiando molto rapidamente.

Nel mese di Agosto del 2014 Google ha infatti annunciato che la sicurezza di un sito web, sarebbe stato un ulteriore punto a favore del rank per il suo motore di ricerca.

Ha anche dichiarato che, solo momentaneamente, tale relazione avrebbe avuto un’incidenza relativa ma che in futuro la stessa sarebbe aumentata e non di poco.

Questo si traduce nel fatto che se il sito web è protetto da un certificato SSL/TLS ha una possibilità maggiore di essere trovato con una query su Google. Al contrario verrà penalizzato un sito che pur trattando gli stessi contenuti o prodotti, risulta privo dei certificati di sicurezza.

Uno dei buoni propositi di Google è quello di rendere internet più sicura: va da sé che chi acquista e utilizza un certificato SSL, dichiara implicitamente e pubblicamente la propria identità e non è più un anonimo gestore di un sito web. E ciò rappresenta certamente un fattore di sicurezza aggiuntivo.

Il successivo potenziale di questo cambiamento ha indotto numerosi proprietari di siti web, non solo e-Commerce, a implementare per tutte le pagine il protocollo HTTPS con un certificato SSL.

E anche se di fatto non è un obbligo proteggere l’intero sito web (come segnalato nessuno ci vieta infatti di applicare la protezione solo ad alcune pagine web) il numero di siti full-HTTPS è in rapida ascesa.

Il tuo negozio online ha bisogno di un certificato SSL?

Ora siete convinti che sia necessario acquistare un certificato SSL per il vostro sito web? Fosse anche solo per il detto “la sicurezza viene prima di ogni altra cosa”, ma è proprio così?

Non proprio, ad esempio se sul sito web non vengono raccolti dati sensibili degli utenti, oppure se il vostro negozio online utilizza Paypal come gateway per il pagamento, non dovrete conservare alcun dato sensibile, e quindi l’implementazione del protocollo HTTPS rimarrebbe un’opzione.

Ecco spiegato perché il comunicato di Google ha diffuso un certo malcontento, perché in un certo senso ha discriminato l’HTTP rispetto l’HTTPS, senza ad esempio spiegare che il protocollo sicuro necessita di maggiori risorse e consuma più banda, dettaglio questo da non sottovalutare quando ci sono centinaia di migliaia di connessioni contemporanee.

Ricapitolando, ci sono quindi almeno due casi in cui potreste tranquillamente fare a meno del certificato SSL:

  1. l’utilizzo di un gateway di pagamento esterno;
  2. se non date ai vostri utenti la possibilità di registrarsi e di avere un proprio account sul vostro sito web nel quale registrare informazioni sensibili.

Diventa invece consigliabile l’adozione del protocollo HTTPS se il sito è un negozio online, sia per la vostra serenità che per quella dei vostri attuali e futuri clienti e visitatori.

Come puoi ottenere il certificato SSL?

I certificati SSL possono essere acquistati da diversi fornitori specializzati, oppure da chi gestisce il vostro dominio o il vostro web server. Ci sono anche offerte in bundle con l’acquisto del primo dominio, oppure tale opzione è spesso sottoscrivibile e associabile direttamente alla formula di hosting che state già utilizzando.

Prima di acquistarlo però valutate bene le vostra necessità, ovvero se vi occorre un certificato solo per il dominio principale oppure che funzioni anche per tutti i sotto-domini; valutate il certificato con greenbar (con il nome dell’azienda per esteso dopo il lucchetto nella barra del browser), oppure che rilasci una firma da apporre a tutte le pagine del sito per fare capire a chi le visualizza che sono sicure. Infine ci sono anche certificati in bundle con anti-malware che verificano costantemente il codice dell’intero sito web.

I costi varieranno in base alle loro funzionalità e in rapporto alla formula assicurativa offerta dall’autorità emittente (limitata solo al fatto che qualcuno possa riuscire a forzare il tipo di crittografia utilizzato per generare le chiavi del suddetto e rispetto a un danno o un furto realmente subito).

Possibili conseguenze per un e-Commerce che non utilizza SSL/TLS

Difficile prevedere ogni tipo di scenario. Potrebbe non accadere nulla come invece potrebbero esserci delle conseguenze molto serie:

  • gli acquirenti potrebbero perdere fiducia nel vostro negozio online poiché appare loro come insicuro;
  • individui malintenzionati potrebbero clonare parzialmente il vostro server web, visto che non c’è modo di controllare dal certificato chi sia il reale proprietario, per poi organizzare delle truffe con la vostra identità;
  • un hacker potrebbe attaccare il vostro server per ottenere i dati dei vostri clienti o delle transazioni economiche (forse è la cosa più grave in assoluto);
  • l’eventuale danno economico o di immagine causato dai punti precedenti

E dunque SSL sia!

Commenta:


*

Dove siamo? ? clicca per visualizzarci su google map
%d blogger hanno fatto clic su Mi Piace per questo: