Siti sicuri e certificato SSL
Da gennaio 2017 Google, nell’ambito del suo progetto per un web più sicuro, segnala tutti i siti che usano il protocollo di comunicazione “http” (HyperText Transfer Protocol) come non sicuri, si rende necessario disporre di un indirizzo web con https ((HyperText Transfer Protocol over Secure Socket Layer). Questo migliora la visibilità sui motori di ricerca, e garantisce maggiore sicurezza sul web.
Dal 6 marzo 2017 l’I.I.S. A. Prever, anche se non chiede o memorizza dati da parte degli utenti, nel suo percorso di trasparenza ed al fine di non essere riconosciuto come sito non sicuro o pericoloso per l’uso del protocollo http, attraverso il proprio Internet Provider (IP) ha chiesto ed ottenuto il certificato SSL DV (Secure Sockets Layer Domain Validated). I certificati messi a disposizione dall’IP sono stati poi configurati e attivati su ogni dominio.
Avrete perciò notato che qualcosa è cambiato sulla barra degli indirizzi. Il nome www.iisprever.gov.it, è preceduto da un lucchetto e il protocollo non è più http ma https.
Il lucchetto e la s, stanno a significare che è stato installato un certificato di sicurezza SSL (Secure Socket Layer).
Questo è un protocollo standard che protegge le comunicazioni via Internet e assicura che le informazioni sensibili digitate dagli utenti attraverso moduli di registrazione o login o moduli di pagamento (come password, dati personali e numeri di carte di credito) rimangano riservate e non vengano intercettate da terzi, tutto questo grazie alla comunicazione criptata tra il client e il server web.
Il certificato funziona così: quando si verifica la prima comunicazione tra il computer che usi (client) e il computer che invia le informazioni, (server web), quest’ultimo invia il proprio certificato digitale al browser che ne verifica la validità e se tutto è regolare dà il via a una connessione sicura tra client e server web.
Di certificati SSL ne esistono di diversi tipi, alcuni proteggono di più, altri un po’ di meno, alcuni sono gratuiti, altri a pagamento, alcuni sono validi per un solo dominio e altri per più domini, anche qui una bella giungla. I costi possono variare da pochi euro ad oltre i mille euro a seconda del numero di domini su cui va installato, e del tipo di certificato.
Sicuramente chi ha siti di e-commerce, o deve proteggere dati sensibili, deve assicurarsi di possedere un certificato molto sicuro, quindi dovrà spendere molto.
Inizialmente si voleva acquistare un certificato con protezione media il cui costo di 80 € annui più IVA sembrava ragionevole, poi dopo ulteriori verifiche, si apprende che il costo doveva essere sostenuto per ogni dominio e siccome l’istituto ha 4 domini, (Gestione dei tirocini, magazzino, Spazioprever, e il dominio principale issprever.gov.it) la cifra diventava un po’ impegnativa.
Riflettendo sul fatto che nei nostri domini, non sono inseriti dati sensibili e non si fanno versamenti online, in accordo con la presidenza, si è deciso di installare su ogni dominio, un certificato gratuito che, in caso di future necessità, potrà essere sostituito da un certificato con maggiore protezione.
Il certificato installato è Let’s Encrypt, ed è un certificato validato da certification authority (CA) e reso disponibile dal nostro ISP (Internet Service Provider) Serverplan.
Let’s Encrypt fornisce un meccanismo gratuito ed automatizzato di generazione di certificati ssl, però, offre la validazione del solo dominio, senza alcuna verifica dell’identità della società o la possibilità di proteggere anche i sottodomini, ma questo non ci preoccupa poiché non abbiamo sottodomini.
È una protezione minima, ma facendo riconoscere il dominio, il browser non apre la schermata dove dice sito non sicuro e impone l’apertura di un’eccezione sul browser, cosa che potrebbe mettere in difficoltà alcuni utenti che potrebbero non sapere come procedere.
