Defaults.Exposed › Correzioni
Correggi la sicurezza del tuo dominio — guide gratuite passo dopo passo
Guide in linguaggio semplice per correggere ogni problema che valutiamo — SPF, DKIM, DMARC, DNSSEC, TLS, certificati e header di sicurezza HTTP. Ognuna spiega di cosa si tratta, quanto può costare alla tua azienda ed esattamente come configurarlo presso il tuo provider.
- CDN / WAF e hosting
Due letture dell'impianto dietro il tuo sito: se sei dietro uno scudo protettivo (una CDN con un Web Application Firewall, come Cloudflare) che filtra gli attacchi e assorbe i picchi di traffico, e una mappa di chi gestisce davvero il tuo DNS, il tuo sito e la tua email. Entrambi sono informativi nel nostro punteggio — non spostano il tuo voto — ma descrivono quanto sia esposto il tuo server di origine ad attacchi e interruzioni, e quanto siano aggrovigliati i tuoi fornitori. Uno scudo davanti e un insieme di fornitori sensatamente suddiviso è ciò a cui assomigliano le imprese resilienti. - Configurazione dei nameserver (diversità e SOA)
I tuoi nameserver sono l'elenco che dice a tutta internet dove trovare il tuo sito e la tua email. Se sono tutti sulla stessa rete e questa va giù, la tua impresa scompare da internet nello stesso istante — niente sito, niente email, niente — e un'impostazione dell'orologio fatta male su quei server può lasciare le modifiche che fai bloccate per giorni. - Content-Security-Policy (CSP)
Una Content Security Policy è una regola di sicurezza che il tuo sito consegna al browser di ogni visitatore, dicendogli esattamente quale codice è autorizzato a eseguire. Senza, se qualcosa di malevolo finisce mai su una pagina — tramite un box commenti, un plugin violato, o uno script di terze parti — il browser lo eseguirà liberamente, incluso codice che ruba in silenzio i numeri di carta e le password dei tuoi clienti mentre li digitano, con il lucchetto ancora visibile. - Crittografia moderna (versione TLS e cifrari)
Il TLS è il lucchetto che mescola i dati che scorrono tra i tuoi visitatori e il tuo sito. Due cose rendono affidabile quel lucchetto: usare una versione moderna di TLS (non quelle vecchie e rotte), e usare cifrari forti (la vera e propria ricetta della mescolatura). Questa pagina copre entrambi — più alcune impostazioni correlate che non incidono sulla tua valutazione ma vale la pena conoscere. - DKIM
Il DKIM è il sigillo invisibile a prova di manomissione su ogni email che la tua azienda invia. Permette al provider di posta ricevente di confermare che l'email arriva davvero da te ed è giunta inalterata. Senza, la tua posta è più facile da falsificare, più facile da alterare, e ha molte più probabilità di finire nello spam. - DMARC (Protezione dalla contraffazione delle email)
Il DMARC è l'unica impostazione che dice davvero ai provider di posta di tutto il mondo di BLOCCARE le email che falsificano il nome della tua azienda. SPF e DKIM controllano le serrature; il DMARC decide cosa succede quando una contraffazione non supera il controllo — cestinarla, segnalarla o farla passare. Impostato male, il tuo dominio è completamente falsificabile; impostato bene, l'impersonificazione si ferma alla casella di posta. - DNS inverso (PTR)
Il DNS inverso è il tesserino di riconoscimento del server che invia le email della tua azienda. Quando un provider ricevente come Gmail o Microsoft 365 cerca chi c'è dietro l'indirizzo mittente e ottiene un nome che torna, la tua posta sembra legittima. Quando non c'è tesserino — o il nome e il numero non concordano — le tue fatture e i tuoi preventivi perfettamente reali vengono trattati con sospetto e cestinati o rifiutati in silenzio. - DNSSEC
Il DNSSEC è un sigillo digitale sulla rubrica degli indirizzi del tuo dominio. Permette a internet di dimostrare che la risposta alla domanda «dove si trova questo dominio?» è arrivata davvero da te e non è stata manomessa per strada. Senza, la risposta può essere falsificata, e i tuoi visitatori dirottati in silenzio altrove. - Header di isolamento cross-origin (COOP / CORP / COEP)
Tre istruzioni opzionali per il browser che controllano come gli altri siti possono interagire con il tuo: aprirlo in finestre popup, incorporare le sue immagini e i suoi script, o tirare le sue risorse dentro le proprie pagine. Sono rafforzamenti moderni, non un requisito di base, e nel nostro punteggio sono informativi: la loro assenza non abbassa il tuo voto. Ma i due sicuri chiudono una silenziosa falla di phishing e di furto di banda, e il team IT di un compratore attento noterà quando sono presenti. - HSTS (Strict-Transport-Security)
L'HSTS è un'istruzione di una riga che il tuo sito dà a ogni browser: «torna sempre da me sulla connessione sicura e cifrata — mai su quella insicura». Senza, il tuo lucchetto può essere strappato via in silenzio su una WiFi condivisa, e la primissima visita al tuo sito è esposta. - HTTPS e reindirizzamento forzato sicuro
L'HTTPS è il lucchetto nella barra del browser — cifra tutto ciò che viaggia tra il tuo sito e i tuoi clienti così non può essere letto o manomesso durante il tragitto. Il reindirizzamento forzato sicuro fa sì che i visitatori atterrino automaticamente su quella versione cifrata, anche quando digitano il tuo indirizzo senza «https://». Insieme sono la cosa più basilare di cui un sito ha bisogno per essere considerato sicuro. - Protezione dal clickjacking (X-Frame-Options)
Una semplice istruzione che dice ai browser di non lasciare che altri siti carichino di nascosto il tuo sito all'interno delle loro pagine. Senza di essa, un truffatore può nascondere le tue pagine reali, con il cliente già autenticato, dietro una pagina falsa e indurre i tuoi clienti a cliccare su cose che non avrebbero mai voluto: approvare un pagamento, cambiare una password, concedere un accesso. - Protezione dal MIME-sniffing (X-Content-Type-Options)
Un header di una sola riga che impedisce ai browser di indovinare cosa sia davvero un file. Senza di esso, un file che qualcuno carica sul tuo sito, o un file presente sulle tue pagine, può essere interpretato male dal browser ed eseguito come codice: è proprio così che alcuni attacchi trasformano un caricamento dall'aria innocua in un modo per rubare le sessioni dei tuoi clienti. - Record CAA
Un record CAA è una breve istruzione nelle impostazioni del tuo dominio che indica quali società di certificati sono autorizzate a emettere il certificato di sicurezza del «lucchetto» per il tuo sito. Con esso attivo, nessun'altra società può creare di nascosto un certificato valido a tuo nome. - Record MX (Configurazione della posta)
Un record MX è il cartello che dice al resto del mondo dove recapitare le email indirizzate al tuo dominio. Se manca o è rotto, ogni messaggio inviato alla tua azienda — richieste dei clienti, reimpostazioni password, fatture, contratti — rimbalza dritto al mittente. Niente MX, niente casella di posta. - Referrer-Policy
Una Referrer-Policy è un'istruzione di una sola riga che il tuo sito consegna al browser di ogni visitatore e che controlla quanta parte del tuo indirizzo web viaggia con lui quando clicca un collegamento verso un altro sito. Senza di essa, l'indirizzo completo della pagina su cui si trovava — termini di ricerca, numeri di conto, link di reimpostazione, percorsi di pagine interne e tutto il resto — viene consegnato in silenzio al sito successivo su cui atterra, inclusi inserzionisti, società di analisi e ovunque punti un collegamento. - Salute del certificato TLS
Il tuo certificato SSL/TLS è la carta d'identità digitale che dimostra che un visitatore sta davvero parlando con il tuo sito — non con un impostore — e alimenta il lucchetto nel browser. Questo controllo guarda se quel certificato sia valido e fidato, non sul punto di scadere, e costruito con crittografia forte e moderna. - SPF (Sender Policy Framework)
L'SPF è la riga nelle impostazioni del tuo dominio che elenca quali servizi di posta sono autorizzati a inviare email a nome della tua azienda. Senza, chiunque nel mondo può inviare email che sembrano arrivare da te — e le tue email autentiche hanno più probabilità di finire nello spam dei clienti. - Supporto IPv6
IPv6 è la versione più nuova e molto più grande del sistema di indirizzamento di internet, introdotta perché quella vecchia (IPv4) ha esaurito lo spazio. Aggiungere il supporto IPv6 significa che il tuo sito e la tua email possono essere raggiunti sia sulla rete moderna sia su quella vecchia. Nel nostro punteggio è informativo — non averlo non abbassa il tuo voto — ma è un reale problema di copertura: una fetta crescente di clienti mobili e dall'estero si connette su reti solo IPv6, e ti raggiunge senza intoppi solo se lo supporti. La correzione è gratuita e vive nella tua configurazione DNS e di hosting.