Questa connessione non è sicura: sicuramente vi sarete accorti del messaggio che ormai compare in ogni form con campo password. Succede su Chrome, su Firefox e su tutti i maggiori browser, perché?

La risposta al messaggio “Questa connessione non è sicura”

Ad inizio anno, Google ha deciso di rendere il web un posto più sicuro, premiando chi decide di implementare una connessione sicura HTTPS. Abbiamo già visto quale sia la differenza fra HTTP e HTTPS, ed abbiamo anche visto che questo è entrato in breve tempo nei primi 10 fattori di ranking, grazie alla ricerca di SEMRush.

Per fare un breve ripasso, diciamo che:

Una connessione HTTPS è considerata sicura perché le comunicazioni fra le due parti (il vostro PC ed il server) vengono criptate secondo dei parametri noti solamente a loro due, e definiti da un certificato: il certificato SSL.

3 modi per risolvere il messaggio: Questa connessione non è sicura

Ci sono diverse possibilità per risolvere questo problema. In ogni caso, è necessario il passaggio ad una connessione sicura HTTPS, e questa può essere resa disponibile in diversi modi: alcuni gratuiti, altri più dispendiosi, ma noi ci focalizzeremo in ogni caso sui più economici.

Metodo 1: Installazione di un certificato SSL DV

Per rimuovere il messaggio ‘Questa connessione non è sicura’, bisogna passare ad una connessione sicura HTTPS. Diventa quindi necessario installare un certificato SSL: sarebbe il documento che definisce ‘la lingua segreta’ con la quale parleranno i computer che si connettono al vostro sito web. Tutti gli scambi di informazioni avverranno in questa lingua segreta, e nessuno potrà ascoltarla.

HTTPS: la connessione è sicura
Tramite HTTPS, è possibile parlare una lingua conosciuta solo da Browser e Server. In questo modo, chi si mette in ascolto non capisce niente!

 

Per installare un certificato SSL DV, contattate il vostro hosting. Probabilmente, offriranno il certificato gratis, oppure a costo ridotto per il primo anno.

Metodo 2: Installazione di un certificato SSL DV Let’s Encrypt

Let's Encrypt free SSL HTTPS logo - Questa connessione non è sicura

Let’s Encrypt! è una Certificate Authority indipendente che fornisce certificati DV gratuiti particolari, perché hanno bisogno di essere rinnovati ogni 3 mesi. Per rimuovere il messaggio ‘Questa connessione non è sicura’ tramite Let’s Encrypt possiamo:

  1. verificare se il nostro Hosting supporta nativamente Let’s Encrypt
  2. In caso contrario, installare questi certificati a mano, se abbiamo un sistemista nella nostra azienda

La prima situazione è sicuramente la più semplice: installare un certificato Let’s Encrypt sarà semplice come premere un bottone. Nel secondo caso, invece, c’è da verificare anche il nostro hosting. Non tutti gli hosting condivisi, ad esempio, sono compatibili con Let’s Encrypt, ed in quel caso non possiamo farci molto: dovremo acquistare un Certificato SSL DV, spendendo i classici 10€.

Metodo 3: Passare per CloudFlare, un content delivery network

Il terzo metodo è configurare una content delivery network gratuita come CloudFlare. Ci sono tre ragioni per scegliere questa modalità:

  • Il nostro hosting è molto, molto lento e per qualche ragione non ci va/non possiamo cambiarlo
  • Il nostro hosting non supporta Let’s Encrypt
  • Non ci va/non possiamo spendere 100€ all’anno per un hosting più performante ed un certificato DV

Senza stare a sindacare sulla validità delle ragioni di cui sopra nel caso del non ci va, vediamo un secondo come funziona CloudFlare.

CloudFlare sta nel mezzo, fra server e PC del visitatore

CloudFlare è una rete di distribuzione dei contenuti. In poche parole, prende i contenuti dal nostro server, li carica su propri server più vicini al visitatore, e li mostra al visitatore. Rispetto al grafico nella prima immagine, quindi, ci troviamo in questa situazione:

Questo sito non è sicuro: cosa succede con una content delivery network
Questo sito non è sicuro: cosa succede con una content delivery network

Alcune caratteristiche:

  • La connessione Browser <> CDN avviene sempre tramite protocollo HTTPS, con un certificato particolare, condiviso, che copre più domini diversi. Questo certificato ha minore authority rispetto ad un DV, però fa comunque apparire il nostro sito in verde, e quindi ci va bene.
  • La connessione Browser <> Nostro Server può avvenire sia in HTTP che in HTTPS, a seconda di come è configurato il nostro server. Non è una connessione continua: la CDN si collegherà ogni tanto al server, solo per verificare se ci sono contenuti da aggiornare.

Diciamo quindi che questa soluzione garantisce minore sicurezza, ma comunque fa sparire i vari messaggi fastidiosi dai browser, come il famoso ‘Questo sito non è sicuro’ o ‘Questa connessione non è sicura’:

Questa connessione non è sicura - Firefox
Firefox 52 mostra un avviso di sicurezza sui campi di login se non si usa una connessione sicura

Ci sono inoltre altri svantaggi, che potrebbero essere fastidiosi per alcuni:

  • Alle volte, CloudFlare è leggermente più lento di un sito web configurato bene in Europa
  • Per usare CloudFlare o altre CDN, dovremmo modificare la configurazione dei NS. Tutte le modifiche future alla Zona DNS andranno effettuate sia sull’hosting, che su CloudFlare
  • I browser molto vecchi non digeriscono con facilità il certificato condiviso di CloudFlare

Però, in determinate situazioni, può essere una soluzione viabile!

Quindi cosa devo fare per levare il messaggio ‘Questo sito non è sicuro’?

Se dopo aver letto questo articolo hai ancora dubbi, puoi contattarci e li risolveremo in breve tempo. La cosa importante è passare ad HTTPS entro fine anno perché Google ha già annunciato che a breve verranno predisposti messaggi di sicurezza anche per i semplici form di contatto, e non solo per quelli di login!

Conviene quindi correre ai ripari il prima possibile, altrimenti i nostri visitatori potrebbero iniziare a lamentarsi. 😉