Scegliere il giusto certificato HTTPS per il tuo sito Web WordPress
Pubblicato: 2019-09-27Nel nostro post precedente WordPress HTTPS, SSL e TLS – una guida per gli amministratori di siti web, abbiamo spiegato cosa sono HTTPS e tutti gli altri termini tecnici e come funziona. In questo articolo, discutiamo dei certificati HTTPS, dei diversi modi in cui puoi acquisirne uno per il tuo sito Web WordPress e del motivo per cui dovresti o non dovresti pagarne uno. Entriamo subito.
Che cos'è un certificato HTTPS?
Prima di poter discutere i come ei perché dei certificati HTTPS, dobbiamo discutere in primo luogo cos'è un certificato. Un certificato viene utilizzato per:
- crittografare il traffico tra il server web e il browser web,
- verifica che il server web a cui sei connesso sia effettivamente chi afferma di essere (un mezzo di identificazione).
Un certificato HTTPS (certificato TLS) contiene una prova crittografica che un'entità considerata attendibile da un browser può garantire l'identità di quel sito web. Questa entità è chiamata autorità di certificazione (CA). Le CA svolgono un ruolo cruciale quando si tratta di certificati HTTPS.
Puoi pensare a un'autorità di certificazione simile a un "ufficio passaporti" che verifica in modo indipendente la tua identità e ti fornisce un "passaporto" (certificato) per dimostrare la tua identità agli altri. Tuttavia, affinché qualcuno (un browser web) convalidi il tuo "passaporto", deve fidarsi dell'"ufficio passaporti" (Autorità di certificazione) che ha rilasciato il "passaporto" (certificato). Simile a un passaporto, un certificato avrà funzionalità di sicurezza integrate per renderlo difficile da falsificare .
In altre parole, per servire il tuo sito Web su HTTPS, hai bisogno di un'autorità di certificazione che ti fornisca un certificato che dimostri l'identità del tuo sito Web WordPress (sei chi dici di essere).
Diversi tipi di certificati HTTPS
Anche se potrebbe non essere immediatamente ovvio, ci sono 3 diversi tipi di certificati che puoi ottenere:
- Convalida del dominio (DV)
- Convalida dell'organizzazione (OV)
- Convalida estesa (EV).
I certificati DV sono di gran lunga i certificati più comuni. Quando ottieni un certificato DV vedrai la solita interfaccia utente del browser che ti aspetteresti. Nota che questo varia da browser a browser e anche da una versione di browser all'altra, ma di solito vedrai un lucchetto e talvolta la parola "sicuro".
I certificati OV sono più difficili da ottenere rispetto ai certificati DV perché richiedono una maggiore convalida. Tuttavia, sono usati raramente. Hanno lo stesso aspetto per l'utente finale, non offrono vantaggi tangibili rispetto ai certificati DV e costano di più.
Ciò lascia i certificati EV: si suppone che i certificati di convalida estesa richiedano un processo di verifica completo affinché un'organizzazione possa ottenerne uno. Sono notevolmente più costosi e storicamente sono stati trattati in modo leggermente diverso dai browser in termini di interfaccia utente.
Tuttavia, nelle versioni recenti di Chrome, Firefox e Safari, questo indicatore è stato spostato in una sezione molto meno evidente. Ciò è in gran parte dovuto al fatto che non ci sono prove che i certificati EV trasmettano un livello significativo di fiducia agli utenti finali. In alcuni casi, EV può effettivamente causare più confusione agli utenti finali. Tanto che la stragrande maggioranza dei siti Web più popolari di Internet si sta spostando dai certificati EV ai certificati DV.
Che tipo di certificato ti serve per il tuo sito Web WordPress?
Quindi, in breve, vuoi un certificato di convalida del dominio (DV) per il tuo sito Web WordPress. Non c'è un vero motivo per cui dovresti aver bisogno di un certificato di convalida estesa (EV), soprattutto ora che i browser stanno praticamente rimuovendo qualsiasi vantaggio di possederne uno (inoltre, sono anche piuttosto costosi).
Ottenere un certificato HTTPS
Tradizionalmente, ottenere un certificato HTTPS significava pagare un canone annuo a un'autorità di certificazione (CA). Il processo era manuale e piuttosto fastidioso per gli amministratori.
Fortunatamente, nel 2012 Mozilla ha iniziato a lavorare su quello che è diventato noto come Let's Encrypt ; un'autorità di certificazione senza scopo di lucro gestita da Internet Security Research Group (ISRG). Fornisce certificati HTTPS gratuitamente per tutti . Non sorprende che in pochi mesi sia diventata la più grande CA su Internet.
Oltre ad essere semplicemente una CA gratuita, Let's Encrypt è stata rivoluzionaria perché è stata la prima CA a utilizzare il protocollo ACME. Il protocollo ACME consente il rinnovo automatico del certificato. Ciò consente a Let's Encrypt di creare certificati con una durata più breve (90 giorni), che è più sicuro. Inoltre, gli amministratori di sistema non devono preoccuparsi di rinnovare i propri certificati grazie a strumenti come Certbot.
Crittografiamo le limitazioni dei certificati HTTPS
Sebbene ci siano migliaia di articoli online su come far funzionare Let's Encrypt per il tuo sito Web WordPress, è importante rendersi conto che potrebbero esserci casi in cui potresti non essere in grado di utilizzare i loro certificati. Ciò è particolarmente vero se stai pagando un certificato HTTPS come parte del tuo piano di hosting web o se non hai il pieno controllo del tuo server web.
In questo caso, controlla se puoi utilizzare un certificato Let's Encrypt con l'assistenza clienti del tuo provider di hosting prima di spendere soldi per un certificato. Al giorno d'oggi, la maggior parte dei servizi di hosting WordPress supporta i certificati Let's Encrypt.
Se non è possibile utilizzare un certificato Let's Encrypt con il tuo piano di hosting, potresti aver bisogno di un certificato HTTPS commerciale o potresti potenzialmente utilizzare un servizio firewall/CDN di WordPress online. La maggior parte di loro offre certificati HTTPS gratuiti come parte dei loro servizi.
Impostazione del tuo WordPress su HTTPS
Oltre a ottenere un certificato HTTPS e abilitare HTTPS sul tuo server web, ti consigliamo anche di assicurarti che anche il tuo sito WordPress sia configurato per HTTPS. Sebbene tu possa farlo senza l'uso di plug-in, è probabilmente più facile per la maggior parte degli amministratori di WordPress utilizzare un plug-in popolare come Really Simple SSL. Con un tale plugin ti assicuri che tutti i tuoi link puntino correttamente alla versione HTTPS del tuo sito web.
È anche importante notare che i motori di ricerca trattano i siti Web HTTP e HTTPS come siti diversi . Pertanto, a meno che tu non l'abbia già fatto, dovresti anche inviare il tuo sito HTTPS a Google Search Console.
I certificati HTTPS gratuiti sono davvero validi?
Molti proprietari di siti Web WordPress sono ancora scettici sull'utilizzo del certificato HTTPS gratuito di Let's Encrypt. Alcuni sono preoccupati di ritrarre un'immagine che non prendono sul serio la sicurezza, quindi temono di perdere clienti. Alcuni altri pensano che i certificati HTTPS gratuiti non siano buoni come quelli a pagamento. Non li biasimo: nessun buon prodotto/servizio è davvero disponibile gratuitamente. Tuttavia, questo è un caso diverso.
Let's Encrypt è gratuito per te come utente, ma non è un progetto gratuito. Possono emettere certificati HTTPS gratuiti grazie a sponsor come Google, Facebook, Microsoft, Cisco e molti altri! Quindi supponiamo che tutte queste grandi aziende stiano pagando per il certificato HTTPS del tuo sito Web WordPress.
Let's Encrypt è un'autorità di certificazione in piena regola. Non c'è niente di diverso, soprattutto in termini di capacità di crittografia, tra i certificati TLS gratuiti di Let's Encrypt e uno a pagamento. Detto questo, non c'è nulla di male nel pagare un certificato HTTPS, se puoi giustificare il costo.
HTTPS rende il mio sito "sicuro"?
Sfortunatamente, nulla è sicuro al 100% e HTTPS non fa certamente eccezione a questa regola. HTTPS è solo una piccola parte del programma di sicurezza del tuo sito Web WordPress. Permette:
- i tuoi utenti per connettersi in modo sicuro al tuo sito web senza che le loro comunicazioni vengano intercettate da occhi indiscreti sulla stessa rete.
- aiuta con parte della sfida costante che è la sicurezza del sito web.
Tuttavia, non è un proiettile d'argento: mentre dovresti indubbiamente implementare e applicare HTTPS, ciò non significa che hai finito di proteggere il tuo sito Web WordPress.
Cos'altro posso fare per garantire che il mio sito Web WordPress sia sicuro?
C'è molto che puoi fare per migliorare la sicurezza del tuo sito Web WordPress. Ti consigliamo di iniziare con quanto segue:
- Usa un firewall WordPress,
- Applica politiche password efficaci di WordPress,
- Installa un plug-in di monitoraggio dell'integrità dei file,
- Tieni un registro di tutte le modifiche che si verificano su WordPress,
- Mantieni aggiornati il core di WordPress, tutti i plugin, i temi e i software che utilizzi.