John Smith
You have 4 new messages
L’acronimo HSTS sta per HTTP Strict Transport Security ed è una procedura di sicurezza per le comunicazioni sul web. Si tratta di un metodo impiegato dai siti web per indicare ai browser che le comunicazioni con questo devono avvenire attraverso il canale HTTPS. Il protocollo HTTPS rappresenta ormai lo standard per le connessioni sicure, in quanto capace di proteggere la comunicazione dagli attacchi e dai dirottamenti di sessione.
In presenza di questa dichiarazione, i browser impediscono connessioni non sicure del vecchio standard (HTTP), o almeno dovrebbero, dal momento che il suo supporto non è ancora universale sui browser mobile.
[divilifeshortcode id=’9530′]
Vediamo come funziona in pratica nell’esperienza di tutti i giorni questa direttiva. Quando un utente digita la url direttamente dalla barra degli indirizzi, possono verificarsi diversi casi:
Come anticipato, il principale vantaggio di adottare questo standard sta nella maggiore sicurezza delle connessioni. Come si è visto infatti, ad ogni connessione viene applicata l’intestazione https prima la richiesta venga risolta.
Non solo; se per qualunque motivo la connessione non è considerata sicura, ad esempio a causa di un certificato TSL giudicato non affidabile, il browser mostra un messaggio di errore all’utente bloccando la connessione.
HSTS si rivela poi uno strumento di grande importanza nel caso di attacchi “man-in-the-middle” dove cioè una connessione sicura viene convertita in una connessione in chiaro. HSTS in questa situazione si rivela cruciale perché indica al browser che le connessioni al sito devono utilizzare un certificato SSL o TSL valido.
C’è tuttavia un caso nel quale HSTS non assicura la totale sicurezza: alla prima connessione al sito, chi effettua l’attacco ha la possibilità manomettere l’intestazione HSTS rendendo la connessione soggetta a vulnerabilità. A questo scopo alcuni browser hanno iniziato ad aggiungere preventivamente ne proprio elenco i siti con HSTS. Questa funzionalità è detta HSTS preload.
L’attivazione di HSTS può e dovrebbe avvenire su diversi livelli, browser e hosting:
Dal momento che i domini vengono aggiunti e rimossi dalla lista di precaricamento al rilascio di una nuova versione del browser, i tempi perché questo aggiornamento sia disponibile potrebbero non essere brevissimi.
Durante i test per l’implementazione di HSTS sui browser è possibile che a causa di alcuni errori nel configurare il metodo, la connessione al sito venga bloccata. In questo caso occorre eliminare i dati dalla cache HSTS del browser. Ognuno di questi ha la sua procedura specifica che può essere effettuata in pochi semplici passaggi.
Attenzione però che una volta che un dominio viene aggiunto nella lista di precaricamento dei browser, l’eliminazione della cache non sarà sufficiente per resettare le impostazioni. Per scongiurare di vedere il proprio sito bloccato occorre assicurarsi preventivamente di avere accesso completo a tutte le risorse tramite HTTPS per un periodo sufficiente per poter intervenire in caso di problemi.
I vantaggi dell’adozione di HSTS e HTTPS non si limitano tuttavia al campo della sicurezza. Google ha dichiarato ormai da qualche anno che i siti serviti con protocollo HTTPS godono di una preferenza. Questo si traduce nella conferma che di fatto HTTPS sia diventato un ranking factor.
Certo, non si tratta di un fattore che permette a un sito in quinta pagina di competere per le prime posizioni della SERP, tuttavia è ormai chiaro che adottare una connessione sicura ha ormai un valore anche per il ranking.
Se questo non bastasse, ormai i browser come Chrome e Firefox indicano palesemente che un sito con http non è sicuro. Anche gli utenti meno esperti – forse soprattutto questi – sono quindi scoraggiati ad entrarvi, con conseguenze nefaste per il traffico e ancora una volta, indirettamente, per il ranking.
Dotarsi di una connessione sicura con HSTS/HTTPS e certificati TLS/SSL aggiornati è ormai una strada inevitabile per chi non vuole rischiare di vedersi penalizzare dai motori di ricerca e dagli utenti stessi.
