• User

    Https/ ssl certificates

    Salve.
    Il mio sito Web non ha un protocollo HTTPS.

    1. Questo puo' incidere nei risultati delle ricerche su Google?
    2. Come posso risolvere questo problema? Dovrei comprare un certificato SSL?
    3. Ho sentito che Google fa distinzione tra certificati SSL affidabili e non affidabili. Dove posso acquistare un certificato SSL affidabile che sarà accettato da Google?

    Grazie in anticipo per qualsiasi chiarimento verrà fornito.


  • Moderatore

    Ciao

    1. Di solito no ma io sono sempre dell'idea che implementarlo è meglio.
    2. Di solito l'hosting lo fornisce gratis
    3. Vedi punto 2 sopra

  • User

    ok. Grazie


  • User Attivo

    @frank79 said:

    Salve.
    Il mio sito Web non ha un protocollo HTTPS.

    1. Questo puo' incidere nei risultati delle ricerche su Google?

    Si'. HTTPS e' uno dei "ranking signals" (https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html)

    1. Come posso risolvere questo problema? Dovrei comprare un certificato SSL?

    Dipende. Il tuo hosting potrebbe offrirli gratis per es. via integrazione con Let's Encrypt (una Certificate Authority gratuita). Credo ci siano altri tipi di certificati gratuiti ma non li ho mai utilizzati.

    1. Ho sentito che Google fa distinzione tra certificati SSL affidabili e non affidabili. Dove posso acquistare un certificato SSL affidabile che sarà accettato da Google?

    Non esistono certificati "affidabili" e certificati "non affidabili". Dipende dalla Certificate Authority, se e' riconosciuta. Anche i certificati gratuiti di Let's Encrypt vanno piu' che bene nella maggioranza dei casi.


  • User Attivo

    Aggiungo qualche riga per completare le risposte di SkyLinx e Sermatica:

    Per quanto riguarda l'affidabilità, se è intesa come integrità delle informazioni trasmette e autenticità del sito a cui si è connessi è sufficiente un certificato DV (Domain Validation) gratis o a pagamento poco importa, la cosa fondamentale è che la CA che rilascia il certificato sia affidabile.

    Tuttavia la sicurezza di HTTPS è legata anche ad alcune best practice da seguire dopo l'installazione del certificato:

    • Reindirizzamento degli utenti da HTTP ad HTTPS, aggiungendo un redirect 301 nel file htaccess
    • Ottimizzazione della configurazione SSL del server, abilitando come protocolli supportati solamente TLS dalla version 1.2 in su e disabilitando completamente SSL che è ormai vulnerabile
    • Attivazione del protocollo HSTS, aggiungendo un'intestazione al file htaccess, che consente una maggiore protezione contro attacchi MiTM (tramite i quali una terza parte si interpone tra sito ed utente per "rubare" le info trasmesse)

    Mi permetto di inserire un'ottima risorsa sui certificati SSL/TLS a cui ho dato un mio piccolo contributo servermanaged.it/blog/certificati-ssl/#I_Certificati_SSL_best_practices_dopo_linstallazione