Migliorare il posizionamento sui motori di ricerca

Google® utilizza un nuovo algoritmo di posizionamento per la ricerca che considera più favorevolmente i siti web che utilizzano HTTPS per impostazione predefinita. Il gigante della ricerca spera che questa mossa incoraggi le aziende a implementare la crittografia HTTPS. Sarà un vantaggio sia per i proprietari dei siti web che per i visitatori, poiché i siti web sicuri appariranno più in alto nei risultati di ricerca di Google®.

Abilitare l'SSL persistente

Immaginate di chiudere a chiave la porta d'ingresso della vostra casa ma di lasciare spalancata la porta sul retro. Questo è essenzialmente ciò che accade quando i siti web utilizzano l'SSL intermittente, per proteggere solo alcune pagine, come i login e le transazioni. Alcune aziende pensano di essere protette contro il furto di dati e le violazioni applicando l'SSL intermittente solo ad alcune aree del loro sito web, ma in realtà lasciano il resto del sito completamente esposto e vulnerabile agli attacchi.

Ottenere un posizionamento di ricerca più elevato su Google

Un importante sostegno all'abilitazione dell'SSL sempre attivo è arrivato da Google® il 6 agosto 2014 tramite il suo blog sulla sicurezza online. L'intenzione è quella di dare maggior peso (migliori risultati di ricerca) ai siti web che sono completamente crittografati con HTTPS.

Il motivo è piuttosto semplice, secondo gli analisti di Google® webmaster trends Zineb Ait Bahajji e Gary Illyes. "Vorremmo incoraggiare tutti i proprietari di siti web a passare dall'HTTP all'HTTPS per mantenere tutti al sicuro sul web. Una parte importante di questo processo consiste nell'assicurarsi che i siti web a cui si accede da Google® siano sicuri". Il messaggio non poteva essere più chiaro: "Ci auguriamo di vedere un numero maggiore di siti web che utilizzano HTTPS in futuro". Si tratta di incoraggiare i siti web a cambiare in meglio il modo in cui si proteggono e a proteggere completamente i dati in transito su Internet.

Proteggere l'intera esperienza dell'utente

L'attivazione dell'SSL sempre attivo è una misura di sicurezza fondamentale ed economica che fornisce una protezione end-to-end ai visitatori dei siti web. Non si tratta di un prodotto, di un servizio o di una sostituzione del certificato SSL esistente, ma piuttosto di un approccio alla sicurezza che riconosce la necessità di proteggere l'intera sessione dell'utente, non solo la schermata di accesso. Always On SSL inizia con l'uso di HTTPS in tutto il sito, ma significa anche impostare il flag di sicurezza per tutti i cookie di sessione, per evitare che il loro contenuto venga inviato tramite connessioni HTTP non criptate. Misure aggiuntive, come Extended Validation (EV) e HSTS, possono rafforzare ulteriormente l'infrastruttura contro gli attacchi man-in-the-middle.

Impostare il flag di sicurezza per tutti i cookie di sessione

Un cookie di sessione può essere impostato con un flag opzionale "sicuro", che indica al browser di contattare il server di origine utilizzando solo HTTPS ogni volta che invia il cookie. L'attributo Secure deve essere considerato un consiglio di sicurezza da parte del server all'interprete, che indica che è nell'interesse della sessione proteggere il contenuto del cookie. Questa misura aiuta a prevenire l'invio di cookie tramite HTTP, anche se l'utente accidentalmente effettua (o viene ingannato) una richiesta del browser al server Web tramite HTTP.

Migliorare la sicurezza e la fiducia con i certificati EV (Extended Validation)
Per una maggiore protezione contro gli exploit, consigliamo ai siti web di prendere in considerazione l'utilizzo di certificati SSL EV (Extended Validation). I siti protetti da EV sono sottoposti a un rigoroso processo di verifica stabilito dal CA Browser Forum, una collaborazione tra più di 30 autorità di certificazione leader e fornitori di software per browser.

Questo processo di verifica conferma l'identità e l'esistenza degli operatori del sito web utilizzando fonti terze affidabili. Gli utenti che visitano un sito web protetto da un certificato SSL EV vedranno una barra verde e il nome dell'organizzazione nella barra dell'URL, fornendo una rassicurazione visiva dell'identità dell'operatore del sito web.

Implementare l'HSTS per prevenire gli attacchi attivi

Le connessioni HTTPS vengono spesso avviate quando i visitatori vengono reindirizzati da una pagina HTTP o quando fanno clic su un link (ad esempio un pulsante di accesso) che li indirizza a un sito HTTPS. Tuttavia, è possibile sferrare un attacco man-in-the-middle durante questa transizione da una connessione non protetta a una sicura, sia passivamente sia ingannando una vittima che fa clic su un collegamento HTTP a un sito web legittimo (ad esempio, tramite un'e-mail di phishing).

La difesa più efficace contro questo tipo di attacchi è l'implementazione di HTTP Strict Transport Security (HSTS) per il vostro sito web. Questa specifica definisce un modo in cui i siti web possono dichiararsi accessibili solo tramite connessioni sicure e/o in cui gli utenti possono interagire con determinati siti solo tramite connessioni sicure.