Defaults.Exposed › Correzioni › HTTPS e reindirizzamento forzato sicuro

Come correggere HTTPS e reindirizzamento forzato sicuro

L'HTTPS è il lucchetto nella barra del browser — cifra tutto ciò che viaggia tra il tuo sito e i tuoi clienti così non può essere letto o manomesso durante il tragitto. Il reindirizzamento forzato sicuro fa sì che i visitatori atterrino automaticamente su quella versione cifrata, anche quando digitano il tuo indirizzo senza «https://». Insieme sono la cosa più basilare di cui un sito ha bisogno per essere considerato sicuro.

In sintesi per la tua attività: Senza HTTPS, ogni password, numero di carta e messaggio che un cliente ti invia attraversa internet come testo leggibile, e Chrome, Edge, Safari e Firefox marchiano tutti il tuo sito come «Non sicuro» per ogni visitatore prima che legga una parola. Senza il reindirizzamento, anche i siti che hanno un certificato lasciano la primissima visita non protetta. Entrambi ti costano fiducia, vendite e posizionamento nei motori di ricerca — ed entrambi sono gratuiti da sistemare in pochi minuti.

Cosa può costarti

• Un visitatore alla prima visita vede un grosso avviso «Non sicuro» nel momento in cui la tua pagina si carica. La maggior parte pensa che il sito sia falso, rotto o pericoloso e va da un concorrente — e tu non saprai mai di aver perso la vendita.
• Un cliente inserisce i dati della carta o effettua l'accesso su una connessione non cifrata da un bar, un hotel o un aeroporto. Qualcuno sulla stessa rete WiFi li legge in chiaro, e gli addebiti fraudolenti che seguono vengono attribuiti a te.
• L'ufficio acquisti o sicurezza di un cliente più grande fa una scansione veloce prima di firmare, non vede HTTPS o un reindirizzamento forzato sicuro mancante, e mette il contratto in attesa finché non dimostri che è stato sistemato.
• Google ti posiziona sotto i concorrenti che servono HTTPS, così perdi traffico di ricerca in silenzio per anni senza mai collegarlo a questa lacuna.
• Un'autorità di regolamentazione o il tuo provider di pagamenti tratta l'invio non cifrato di dati personali o di carte come una violazione da segnalare, trasformando una correzione gratuita di cinque minuti in un problema di conformità.

Perché è importante. L'HTTPS è il pavimento, non il soffitto, della sicurezza web — è ciò che fa comparire il lucchetto e ciò che impedisce a tutto quello che i tuoi clienti inviano di essere letto o alterato lungo la strada. Il reindirizzamento forzato sicuro chiude la falla che il solo certificato lascia aperta: la gente non digita quasi mai «https://», quindi senza un reindirizzamento la loro prima richiesta viaggia non protetta prima ancora che la versione sicura si carichi. Un sito a cui manca uno dei due sembra pericoloso ai visitatori, si posiziona più in basso nelle ricerche, ed espone dati reali dei clienti — ed è per questo che è il singolo fallimento con il peso maggiore che valutiamo.

Cos’è, in parole semplici

L’HTTPS è la versione sicura e cifrata del tuo sito — quella che mostra un lucchetto nella barra degli indirizzi. Quando un visitatore è su HTTPS, tutto ciò che passa tra il suo browser e il tuo sito (le pagine che vede, i moduli che compila, le sue password, i dati della sua carta) è mescolato così che nessuno in mezzo possa leggerlo o cambiarlo. La versione semplice, HTTP, invia tutto questo come testo leggibile che chiunque sulla stessa rete può intercettare.

Ci sono due parti per farlo bene, e le controlliamo entrambe:

• L’HTTPS è disponibile? Il tuo sito ha un certificato di sicurezza funzionante così da far esistere la versione sicura, col lucchetto? È la più grave delle due — senza, non c’è alcuna cifratura.
• Il tuo sito vi forza i visitatori? Quasi nessuno digita «https://» a mano. Se qualcuno digita solo il nome del tuo dominio, il suo browser prova prima la versione HTTP semplice. Un reindirizzamento forzato sicuro devia automaticamente quella richiesta verso la versione cifrata. Senza, i primi istanti di ogni visita sono non protetti anche quando un certificato ce l’hai.

Li vuoi entrambi. Un certificato senza reindirizzamento è una porta d’ingresso chiusa a chiave che i visitatori possono semplicemente aggirare.

La posta in gioco per l’azienda

È il segnale più basilare del fatto che un sito sia sicuro — e, cosa cruciale, è uno che i tuoi clienti possono vedere da soli. Ogni browser moderno (Chrome, Edge, Safari, Firefox) etichetta un sito senza HTTPS come «Non sicuro» proprio nella barra degli indirizzi, e mostra un avviso se qualcuno prova a digitare in un modulo. I tuoi visitatori non hanno bisogno di sapere cos’è un certificato per reagire a quella parola.

Oltre all’avviso visibile, questo incide su tre cose che ai titolari interessano direttamente: la fiducia (la gente abbandona i siti che sembrano pericolosi), il posizionamento nei motori di ricerca (Google usa l’HTTPS come fattore di posizionamento da anni e favorisce i siti sicuri), e l’esposizione reale (i dati inviati su HTTP semplice possono davvero essere letti da altri sulla stessa rete). È anche il tipo di cosa che l’ufficio sicurezza di un cliente più grande controlla in pochi secondi durante la due diligence — e non averla può bloccare una trattativa.

Quanto può costarti

• L’abbandono silenzioso. Un potenziale cliente clicca da un risultato di ricerca o da un annuncio, e la pagina si carica con un badge grigio «Non sicuro» — o peggio, un avviso a tutto schermo. Non ti scrive per chiedere perché; chiude semplicemente la scheda e clicca sul risultato successivo. Hai pagato per quella visita e l’hai persa prima che leggesse una parola, e niente nelle tue statistiche ti dice perché.
• Un accesso o un pagamento intercettato. Un cliente accede o paga mentre è su una WiFi condivisa in un hotel o un bar. Poiché la connessione non è cifrata, qualcuno lì vicino cattura la sua password o il numero di carta in chiaro. La frode che segue viene segnalata come la tua violazione, e sei tu a gestire le telefonate arrabbiate e gli storni.
• L’affare che si blocca. Un potenziale cliente più grande è pronto a firmare, ma il suo processo di acquisto include un controllo di sicurezza veloce del tuo sito. Il risultato segnala l’assenza di HTTPS, o un reindirizzamento forzato sicuro mancante. Di colpo stai spiegando una lacuna di sicurezza basilare invece di chiudere — e il contratto aspetta, o va in silenzio a un concorrente che ha superato il controllo.
• La perdita lenta di posizionamento. Due aziende offrono la stessa cosa; una serve HTTPS sicuro e una no. I motori di ricerca spingono quella sicura più in alto. Nel corso dei mesi perdi un costante rivolo di traffico gratuito e non lo colleghi mai a questa singola impostazione.
• Contenuti iniettati che non hai mai scritto. Su una connessione non cifrata, chiunque sia in mezzo — una rete pubblica losca, un router compromesso — può inserire pop-up falsi, offerte truffaldine o malware nelle tue pagine mentre un visitatore le carica. A quel visitatore, sembra che l’abbia fatto il tuo sito.

Cos’è davvero

Quando un browser si connette a un sito tramite HTTPS, succedono due cose. Primo, il sito presenta un certificato — una credenziale rilasciata da un’autorità fidata che dimostra che il sito è chi dichiara di essere. Secondo, il browser e il server concordano una chiave di cifratura e la usano per mescolare tutto ciò che si scambiano. Il nostro primo controllo, HTTPS disponibile, chiede semplicemente: possiamo stabilire una connessione TLS sicura al tuo sito sulla porta sicura standard (443) e ottenere indietro un certificato valido? Se sì, il lucchetto può comparire e la cifratura è attiva. Se no, non c’è alcuna versione sicura del tuo sito — ed è il singolo fallimento più pesante che valutiamo.

Il secondo controllo, il reindirizzamento forzato sicuro, copre una falla che il solo certificato lascia aperta. La gente digita «tuaazienda.com», non «https://tuaazienda.com». Quella richiesta nuda va prima alla versione HTTP semplice. Un reindirizzamento è un’istruzione di una riga che dice «invia chiunque arrivi sulla versione insicura dritto a quella sicura». Il nostro controllo chiede: quando richiediamo il tuo indirizzo HTTP semplice, il tuo sito ci devia verso HTTPS? Se lo fa, ogni visitatore finisce protetto indipendentemente da come ha digitato il tuo indirizzo. Se non lo fa, quel primo salto non protetto trasporta in chiaro tutto ciò che il browser invia — cookie, dati dei moduli.

Com’è fatto un «buono»: un certificato valido e fidato così il lucchetto compare su ogni pagina, e ogni richiesta HTTP semplice reindirizzata automaticamente alla versione HTTPS (idealmente con un reindirizzamento permanente «301», che trasferisce anche il tuo posizionamento nei motori di ricerca in modo pulito all’indirizzo sicuro).

Come sistemarlo (gratis, ~15 minuti)

Passa questa sezione alla tua persona IT o al supporto del tuo provider di hosting — la correzione è gratuita. Entrambe le parti di questo non costano nulla: i certificati fidati sono gratuiti e si rinnovano da soli, e attivare il reindirizzamento è una singola impostazione sulla maggior parte delle piattaforme. Non serve alcun prodotto a pagamento per superare questo controllo.

Ci sono due cose da attivare. Sulla maggior parte degli hosting moderni, fare la prima spesso rende la seconda un interruttore di un clic.

1. Ottieni un certificato così l’HTTPS funziona (il lucchetto).

• Cloudflare: se il tuo sito è dietro Cloudflare, l’SSL è gestito per te. Imposta la modalità SSL/TLS su «Full» (o «Full (strict)» se anche il tuo server di origine ha un certificato).
• Creatori di siti e hosting gestito (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, la maggior parte degli hosting web di Microsoft 365 / Google Workspace): l’HTTPS è fornito automaticamente; assicurati solo che sia abilitato nelle impostazioni del sito/dominio — di solito non c’è nulla da installare.
• Hosting cPanel: apri SSL/TLS Status ed esegui AutoSSL, che rilascia un certificato Let’s Encrypt gratuito.
• Il tuo server (VPS): installa Let’s Encrypt con Certbot — sudo certbot --nginx -d tuodominio.com (o --apache). Recupera e installa un certificato gratuito e configura il rinnovo automatico.
• Qualsiasi altra cosa: contatta il supporto del tuo provider di hosting e chiedi di «abilitare un certificato SSL gratuito per il mio dominio». Quasi tutti lo offrono senza costi.

2. Forza ogni visitatore su HTTPS (il reindirizzamento).

• Cloudflare: SSL/TLS → Edge Certificates → attiva «Always Use HTTPS». Questo è tutto il lavoro.
• Creatori di siti (Squarespace, Wix, Shopify, ecc.): cerca un interruttore «Force HTTPS» o «Secure (HTTPS)» nelle impostazioni del sito e attivalo.
• Nginx: aggiungi un blocco server sulla porta 80 che restituisce un reindirizzamento permanente — return 301 https://$host$request_uri;.
• Apache (.htaccess): abilita il rewriting e reindirizza ogni richiesta non-HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (hosting Windows): installa il modulo URL Rewrite e aggiungi una regola di reindirizzamento «HTTP to HTTPS».

Dopo che entrambi sono attivi, provalo: digita il tuo indirizzo con http:// semplice davanti e conferma che il browser salti automaticamente alla versione https:// col lucchetto, e che il lucchetto compaia sulle tue pagine principali.

Errori comuni

• Certificato installato, ma nessun reindirizzamento. La lacuna più comune. Vedi il lucchetto quando visiti il tuo stesso sito (perché il tuo browser ha ricordato l’HTTPS), quindi dai per scontato di aver finito — ma i nuovi visitatori che digitano il dominio nudo atterrano comunque prima su HTTP. Prova sempre esplicitamente la versione http:// semplice.
• Contenuto misto. La tua pagina si carica su HTTPS ma richiama un’immagine, uno script o un font da un vecchio indirizzo http://. I browser lo bloccano o declassano il lucchetto a un avviso. Aggiorna quei riferimenti a https:// (o a link relativi). La maggior parte delle piattaforme ha un report «contenuto misto» o «contenuto insicuro» che li trova.
• Un reindirizzamento temporaneo (302) invece di uno permanente (301). Un 302 funziona per i visitatori ma dice ai motori di ricerca che lo spostamento è temporaneo, quindi il valore di posizionamento non si trasferisce in modo pulito al tuo indirizzo sicuro. Usa un 301 permanente.
• Reindirizzare solo il dominio nudo, non il «www» (o viceversa). Assicurati che sia tuodominio.com sia www.tuodominio.com finiscano su HTTPS, altrimenti un percorso resta esposto.
• Lasciar scadere un certificato. Un certificato scaduto genera un errore del browser a tutto schermo che ferma i visitatori di colpo. I certificati gratuiti Let’s Encrypt si rinnovano da soli; se ne hai comprato uno manualmente, imposta un promemoria sul calendario ben prima della scadenza.

FAQ

Vedi le domande qui sopra — coprono il «posso farlo da solo» non tecnico, la differenza tra avere un lucchetto e forzare il reindirizzamento, il costo e il rinnovo del certificato, se i siti vetrina ne hanno bisogno, e come questo si collega all’HSTS.

FAQ