SSL e HTTPS

Home SSL e HTTPS

Perché con un Certificato SSL il tuo sito è sicuro per Google Chrome

Se utilizzate Chrome – il diffusissimo browser di Google – potreste aver notato alcuni cambiamenti nella vostra esperienza di navigazione.
Infatti, con l’aggiornamento di Chrome alla versione 68, pubblicato il 24 luglio 2018, Google concretizza l’impegno nei confronti di un web sempre più sicuro, segnalando come non sicuri i siti sprovvisti di certificato SSL e quindi non conformi al protocollo HTTPS.
L’obiettivo di Google è semplice: etichettare come non sicuri tutti i siti con il vecchio protocollo HTTP, introducendo gradualmente una serie di segnali che allertino l’utenza di un potenziale rischio per la sicurezza della propria privacy. Una politica che non ha tardato a mostrare gli effetti positivi: nonostante la discrezione degli annunci, il traffico su siti non sicuri che richiedono password o carte di credito è in costante diminuzione, evidenziando come un semplice avviso possa mettere al riparo da comportamenti rischiosi. A tal proposito, Google fornisce costantemente dati sull’utilizzo del protocollo HTTPS, su Google e su tutto il web, con un rapporto visibile sul sito https://transparencyreport.google.com .

Google Chrome e Certificati SSL: cosa è cambiato nel tempo

L’adozione dell’ HTTPS come protocollo standard del web fa parte di un percorso cominciato quasi due anni fa con la versione 56 di Chrome (uscita a gennaio 2017), quando il browser ha iniziato a contrassegnare come non sicure le pagine dei siti web con protocollo HTTP, quindi privi di certificato SSL, in cui venivano richieste password, dati personali o bancari. La segnalazione avveniva tramite una piccola etichetta (una “i” cerchiata) che compariva all’interno della barra dell’URL, senza bloccare la navigazione dell’utente o fornire altre segnalazioni. Un ulteriore giro di vite è arrivato pochi mesi dopo con la versione 62 (ottobre 2017), in cui la dicitura non sicuro compariva nel momento in cui l’utente iniziava a compilare un campo di immissione dati, ovvero su qualsiasi pagina contenente un form di ricerca, o anche un semplice campo dove inserire l’email per l’iscrizione a una newsletter.
Gli aggiornamenti 56 e 62 hanno tracciato la strada indicando chiaramente quali obiettivi aveva in mente Google: estendere a tutti i siti l’utilizzo di un certificato SSL per permettere transazioni sicure e garantire la privacy e la sicurezza degli utenti. Col senno di poi, risultano illuminanti le dichiarazioni di Matt Cutts, alla guida del team antispam di Google, che già nell’agosto 2014 segnalava l’importanza dei certificati SSL (e pertanto del protocollo HTTPS), prevedendone un peso sempre maggiore nel definire il posizionamento di un sito all’interno della SERP di Google. Un argomento che rappresenta da sempre una leva importante nel convincere sviluppatori, webmaster e semplicemente chi gestisce un sito all’utilizzo dell’SSL. I segnali dati dal browser, discreti ma sempre più visibili, influenzano invece il comportamento dell’utenza, sempre più educata e propensa a non effettuare operazioni su siti che non offrono adeguate garanzie.

Nasce l’era dell’HTTPS: Chrome 68 e versioni successive

L’aggiornamento di Chrome alla versione 68 apre ufficialmente l’era dell’HTTPS per tutti. La sicurezza diventa una priorità sempre più importante, sia in termini di user experience che di posizionamento. Con questa release, i siti privi di SSL vengono indicati come non sicuri sin da subito, anche se agli utenti non viene richiesto l’inserimento di dati; inoltre vengono penalizzati in termini di posizionamento nella SERP di Google.
Tuttavia le novità introdotte da Google non si fermano certo qui: dalla versione 69 (settembre) sono state fatte ulteriori modifiche agli indicatori sulla barra degli indirizzi. Scompare infatti la barra verde con il testo “Sicuro” e rimane solo il lucchetto grigio a indicare la presenza di un certificato SSL. Il motivo – come dichiarato sul blog Chromium – voce ufficiale del browser di Google – è semplice: il web dovrebbe essere sempre sicuro, e dovrebbero essere segnalati invece solo i siti non sicuri (e quindi senza certificato SSL).

“L’utilizzo dell’HTTPS sul Web è decollato con l’evoluzione degli indicatori di sicurezza di Chrome. Quest’anno faremo altri passi in questa direzione. Gli utenti devono essere consapevoli che il Web è sicuro e devono essere avvisati solo in caso di problemi. Poiché presto inizieremo a contrassegnare tutte le pagine HTTP come “non sicure”, faremo un ulteriore passo verso la rimozione degli indicatori di sicurezza positivi di Chrome, in modo che lo stato predefinito, quindi non segnalato, sia quello sicuro. Chrome lo introdurrà nel corso del tempo, iniziando con l’era dell’HTTPS e la rimozione del testo “Sicuro” a settembre 2018 (Chrome 69).”

Questa lotta ai siti privi di certificati SSL ha la sua naturale evoluzione nell’aggiornamento alla versione 70 di Chrome, da qualche giorno disponibile per piattaforme desktop (Windows, macOS e Linux) e in distribuzione su mobile per Android e iOS.

Con la nuova versione, la timida scritta “Non sicuro” si accenderà di rosso, compilando qualsiasi campo dati all’interno di un sito privo di certificato SSL. Un ulteriore monito per aumentare la consapevolezza degli utenti, che si tradurrà di certo in una minore interazione con i siti non sicuri.