Un sito web sicuro al 100% non esiste
Un sito non è mai completamente al sicuro. Ogni giorno, nuovi attacchi informatici sono progettati per colpire i siti più impensabili, perfino il tuo. Fa tutto parte di un progetto più grande, si cercano le vulnerabilità nei piccoli sistemi, fino a raggiungere l’obiettivo prefissato, come: rubare dati sensibili o mandare ko grosse reti.
Anche il tuo sito web potrebbe essere soggetto a un attacco, per questo è molto importante essere sempre in linea con le policy di sicurezza già conosciute e affidarsi a un server sicuro. In questo modo, avrai la garanzia di aver ridotto al minimo la vulnerabilità del tuo sito.
I certificati digitali sono davvero utili?
Un Certificato Digitale è un documento elettronico che associa a una chiave pubblica l’identità di un utente, che può essere una persona o un server.
Un certificato digitale è molto utile per semplificare le operazioni di identificazione degli utenti sul web. Infatti, con un unico file sono trasmesse tutte le componenti del certificato: la chiave pubblica, i dati identificativi del proprietario e il periodo di validità. Tutte queste informazioni permettono di identificare in modo univoco l’utente sul web. La sicurezza e l’affidabilità delle informazioni contenute nel certificato sono garantite dall’Autorità di Certificazione, che in fase di emissione lo firma con la sua chiave privata. Sia in Italia, sia a livello internazionale, ci sono diversi Enti di Certificazione autorizzati che si occupano proprio di questo.
Le sigle dei Certificati utilizzati sul web: SSL e SSL EV
I certificati più diffusi sono quelli basati sul protocollo SSL (Secure Socket Layer) progettati per garantire la sicurezza nelle applicazioni e utilizzati sul web per garantire una connessione sicura, per lo scambio di dati. Ti sarà sicuramente capitato di notare che su alcuni siti o pagine nella barra degli indirizzi compare un lucchetto giallo e HTTPS al posto del semplice HTTP.
Questo cambiamento indica che lo scambio dei dati dal server al tuo pc, e viceversa, avviene mediante HTTP su protocollo sicuro SSL. Altre volte, invece, il lucchetto diventa di colore verde. In questo caso, il certificato è di tipo SSL Extended Validation, che implica controlli di sicurezza ancora più rigorosi.
Attualmente, nella maggior parte dei siti web solo alcune pagine interne utilizzano questo tipo di certificati. Solitamente si sceglie di proteggere alcune pagine, come quelle in cui avvengono le transazioni finanziare o le registrazioni.
Una piccola checklist su come avere un sito web sicuro
Non esiste una guida definitiva per avere un sito web sicuro, a prova di pirata informatico, ma possiamo darti dei validi consigli per aumentarne la sicurezza. Un punto di partenza per prevenire gli attacchi del 2016.
Per prima cosa utilizza un server sicuro e controlla gli accessi, aggiornando regolarmente le password, e inoltre controlla che i registri e le chiavi di crittografia private siano al sicuro da accessi non autorizzati.
In seguito, verifica la validità dei certificati di sicurezza utilizzati sul tuo sito. E’ buona norma rinnovarli, in tempo utile, altrimenti all’utente sarà mostrato un avviso di sito o pagina non sicura. Fidati, con un messaggio del genere, gli utenti scappano perché ti considerano poco affidabile.
E’ molto importante per chi ti visita di avere l’idea di stare in un posto sicuro. Puoi aumentare questa sensazione dedicando uno spazio o un’intera pagina per mettere in mostra i marchi dei certificati, e delle Autorità di certificazione, utilizzati sul sito e per spiegare, anche con semplici termini, le policy di sicurezza adottate.
Per aumentare ulteriormente la user experience, dal punto di vista della sicurezza, puoi passare da certificati SSL a certificati SSL EV, quelli del lucchetto verde per intenderci meglio. Oppure puoi scegliere di implementare la protezione HTTPS “Always On SSL”. Questo significa estendere i controlli di sicurezza a tutte le pagine del sito web, senza limitarsi alle sole pagine in cui avvengono gli scambi di dati sensibili, come ad esempio: i dati personali o i quelli della carta di credito.
L’ultimo consiglio che ti vogliamo dare è quello fondamentale, cioè di “rimanere sempre aggiornato”, o di affidarti a esperti che ti aggiornino, sulle ultime minacce informatiche, in modo da avere un sito sempre al top. E’ sempre meglio prevenire attacchi di: spoofing, intercettazione dei dati, watering hole, diffusione di malware e chi più ne ha più ne metta!
Quest’articolo vuole essere solo un’infarinatura generale sul tema della sicurezza per i siti web nel 2016. Hai bisogno di un server sicuro per il tuo sito web? Possiamo studiare con te una offerta personalizzata e affidabile per la tua azienda.
Hai domande o qualcosa da aggiungere? Siamo qui per dare una risposta alle tue perplessità!
