Nel maggio 2016 Google ha comunicato che avrebbe premiato il posizionamento nella SERP di chi avesse utilizzato il protocollo SSL nel proprio sito web. 

Per accelerare questa trasformazione, nel febbraio 2017 Google ha fatto leva sul proprio browser (che ha conquistato il 60% del mercato) e con Mozilla ha iniziato a segnalare come "non sicuri" qualsiasi sito che non utilizzava la criptazione dei dati, pur gestendo i dati sensibili dell'utente o la sua password.

Siti non sicuri e Certificati SSL

In pochi mesi si è diffuso il timore di penalizzazioni e la corsa a certificare ogni tipo di sito è iniziata, ma cerchiamo di comprendere di cosa stiamo parlando, quale soluzione scegliere, i pro e i contro di ciascuna, quali esigenze soddisfano le diverse opzioni. 

Ricordo che i certificati vengono emessi esclusivamente da Certification Authorities (CA) in possesso di particolari requisiti di sicurezza, la maggior parte di esse sono affidabili ma purtroppo ne abbiamo incontrate alcune che sono state censurate dai browser per non aver rispettato i protocolli. 

Esiste inoltre Let's Encrypt, un'organizzazione creata da due fondazioni del settore IT ed una un'Università Americana che ha l'obiettivo di automattizare la creazione, la validazione, il rilascio di certificati.

I certificati di Let's Encrypt sono gratuiti. A volte sono disponibili su server che hanno un pannello di controllo, come PLESK, altri invece devono essere installati dall'amministratore di sistema. Anche pianetaitalia.com consente di attivare i certificati Let's Encrypt.

Tipologie di certificato SSL

Esistono 4 tipologie di certificati, che coprono il 95% delle richieste che abbiamo ricevuto negli ultimi mesi:

• Domain validated (DV), la prima esigenza criptare le comunicazioni;
• Organization Validation (OV), accanto alla barra dell'indirizzo compare il nome della società titolare del dominio verificata dalla CA;
• Extended Validation (EV), oltre al nome dell'organizzazione vengono verificati altri parametri aziendali compare una barra verde con il lucchetto;
• Wildcard Validation (WV), sono quelli di terzo livello.

Certificati SSL gratuiti e a pagamento: vantaggi e svantaggi

• Entrambi crittografano le comunicazioni proteggendo dal MIM (Man in the Middle);
• Quelli gratuiti possono essere utilizzati solo per quelli di tipo DV, per la validazione del dominio. Quelli a pagamento ovviamente coprono tutte le esigenze;
• I certificati a pagamento hanno una garanzia a partire da 10.000 USD. Quelli gratuita nessuna;
• I certificati gratuiti non offrono nessuna difesa nei casi di phishing, in quanto la CA non verifica l'identità dell'organizzazione/titolare del dominio;
• I certificati a pagamento offrono assistenza e supporto, quelli gratuiti ovviamente nessuno;
• I certificati a pagamento hanno un'infrastruttura ridondata, grazie ai proventi reinvestiti dalla vendita, Let's Encrypt ha avuto il 19 maggio i server down con il disagio occorso a tutti i siti che lo utilizzano.
• Nessuna barra verde se utilizzi i certificati di tipo gratuito.

I certificati gratuiti possono essere utilizzati per siti molto semplici, come un blog o un sito vetrina, ma se si tratta di un e-commerce, attraverso il quale si organizzano le vendite o di un sito web che gestisce prenotazioni alberghiere questo è sconsigliato.

L'ultima parola rimane al cliente se preferisce risparmiare e mettere a repentaglio la riservatezza dei propri dati a fronte di poche decine di Euro.