Un'introduzione ai certificati SSL per WooCommerce

Pubblicato: 2015-12-24

Parte del processo di avvio di un negozio online consiste nel trovare un modo per garantire l'esperienza ai tuoi acquirenti. Vuoi che i tuoi potenziali clienti si sentano al sicuro, ovviamente, e sappiano che i loro dati non cadranno nelle mani sbagliate.

Se non conosci l'eCommerce, potresti aver sentito parlare di certificati SSL o HTTPS come parte di questo processo di sicurezza. E potresti esserne completamente confuso. Rilassati: è normale e possiamo aiutarti.

SSL sembra un argomento complicato, ma una volta che capisci la premessa e perché il tuo negozio potrebbe averne bisogno, non è qualcosa di cui dovrai preoccuparti . In effetti, per la maggior parte dei proprietari di negozi, puoi ottenere un certificato per aggiungere SSL al tuo negozio in pochi minuti.

Esaminiamo cos'è SSL, perché potresti averne bisogno e come puoi ottenere un certificato per il tuo negozio. Alla fine di questo post, la tua confusione dovrebbe essere scomparsa e dovresti essere ancora più preparato per iniziare a vendere online.

Il certificato SSL spiegato

Per capire cos'è un certificato SSL e perché potresti averne bisogno, diamo prima una rapida occhiata alla tecnologia alla base.

Una breve lezione su SSL

SSL sta per "Secure Sockets Layer", sebbene a volte sia anche chiamato "Transport Layer Security" (o TLS). SSL di per sé è un protocollo utilizzato per proteggere e proteggere le transazioni, anche se non necessariamente finanziarie, tra destinazioni su una rete .

SSL si basa sulla crittografia per rendere private queste transazioni. Ogni messaggio trasmesso deve superare un controllo interno per l'integrità di questa crittografia prima che abbia esito positivo. Se il controllo ha esito negativo (a causa di danneggiamento dei dati o di qualsiasi tentativo imprevisto di alterare o acquisire i dati), i dati crittografati non verranno esposti.

Usiamo SSL ogni giorno quando navighiamo su siti Web comuni come Facebook, YouTube e negozi online. La crittografia utilizzata impedisce a chi ha intenti dannosi di intercettare transazioni innocenti come le tue query di ricerca... o pericolose come i dati della tua carta di credito.

Come SSL si applica ai certificati del sito web

Quando un sito Web desidera proteggere le sue transazioni, otterrà un certificato SSL per quel dominio. Il certificato SSL applica la crittografia sopra descritta a tutte le attività del sito Web , inclusi invii di pagine e moduli, transazioni finanziarie e così via. Ciò impedisce il furto di dati o altri attacchi simili.

I certificati SSL contengono anche importanti informazioni sulla sicurezza , tra cui:

  • Nome della ditta
  • Posizione dell'azienda
  • Durata del certificato
  • Dettagli dell'autorità che ha rilasciato il certificato

Ciò consente alle persone che sono incerte sull'autenticità o l'affidabilità di un sito Web di fare clic sull'icona verde del "lucchetto" nel proprio browser per visualizzare ulteriori informazioni. Se ancora non si sentono sicuri, possono uscire dal sito.

Un esempio del tipo di informazioni che puoi vedere durante la revisione di un certificato SSL: in questo caso, il blog Webmaster Central di Google.
Un esempio del tipo di informazioni che puoi vedere durante la revisione di un certificato SSL: in questo caso, il blog Webmaster Central di Google.

Come sapere se un sito Web utilizza SSL/TLS

Esistono due modi rapidi per sapere se un determinato sito Web ha un certificato SSL. Cercare:

  • Un'icona verde "lucchetto" nella barra degli indirizzi, e
  • Un URL che inizia con https invece di http

A seconda di come il sito utilizza SSL, questo potrebbe non essere applicabile a tutte le pagine, come imparerai di seguito.

Come sta cambiando l'utilizzo di SSL

Per molto tempo, lo standard Internet prevedeva che i certificati SSL fossero consigliati solo per domini o pagine specifiche di siti Web in cui sarebbero state trasmesse o ricevute informazioni sensibili (come dati finanziari). Tuttavia, tale raccomandazione sta lentamente cambiando.

Nell'agosto del 2014, Google ha annunciato che la sicurezza del sito Web sarebbe stata aggiunta come "segnale di ranking leggero" per i risultati nel suo motore di ricerca . Ciò significava che un sito Web protetto con SSL/TLS aveva maggiori possibilità di posizionarsi più in alto per una query rispetto a uno non protetto, supponendo che tutti gli altri fattori fossero gli stessi.

Dall'annuncio:

[S]abbiamo eseguito test tenendo conto se i siti utilizzano connessioni crittografate e sicure come segnale nei nostri algoritmi di ranking di ricerca. Abbiamo visto risultati positivi, quindi stiamo iniziando a utilizzare HTTPS come segnale di ranking. Per ora è solo un segnale molto leggero […] mentre diamo ai webmaster il tempo di passare a HTTPS. Ma nel tempo potremmo decidere di rafforzarlo, perché vorremmo incoraggiare tutti i proprietari di siti Web a passare da HTTP a HTTPS per proteggere tutti.

Nell'ultimo anno, le potenziali implicazioni di questo cambiamento hanno indotto molti proprietari di siti Web, non solo i proprietari di negozi, a crittografare i propri siti con certificati SSL completi, modificando i propri URL in "https" anziché in "http".

Tuttavia, ciò non richiede a nessuno di proteggere l'intero sito con SSL . Se lo desiderano, i proprietari di siti Web e negozi possono comunque posizionare tutte le loro pagine sensibili su un sottodominio e acquistare un certificato solo per quel dominio, lasciando il resto delle pagine non crittografate.

Come sapere se il tuo negozio online ha bisogno di SSL

Leggendo tutto questo, potresti essere convinto di aver bisogno di un certificato SSL. Dopotutto, la sicurezza è importante per te, giusto?

Tuttavia, se non acquisisci o memorizzi dati sensibili, potresti non aver effettivamente bisogno di un certificato . Potrebbe sembrare strano, quindi approfondiamo.

Lo scenario più comune che fa sì che i proprietari dei negozi siano esentati dalla necessità di SSL è l'utilizzo di un processore di pagamento fuori sede, ad esempio PayPal. Questo perché PayPal è responsabile dell'acquisizione e dell'archiviazione di tutte le informazioni di pagamento sensibili dei tuoi clienti, quindi non vengono mai archiviate nel tuo database .

I processori di pagamento fuori sede hanno i propri standard di sicurezza, certificati e metodi per trasferire in modo sicuro i dati da e verso il tuo negozio. Pertanto non hai necessariamente bisogno di SSL, perché lo avranno coperto.

Se non memorizzi alcuna informazione di pagamento sensibile, potresti non aver bisogno di SSL.
Se non memorizzi alcuna informazione di pagamento sensibile, potresti non aver bisogno di SSL.

Un altro scenario è se non si consente ai clienti di creare account o accessi che coinvolgono password di alcun tipo. Anche se utilizzi un gateway di pagamento di terze parti completamente fuori sede, potresti comunque avere clienti che creano account con te per salvare i loro indirizzi di spedizione e fatturazione .

Sebbene si tratti di informazioni molto meno sensibili, molti clienti tendono a utilizzare la stessa password per ogni account. Quindi un po' di reverse engineering potrebbe portare un hacker ad ottenere l'accesso, diciamo, all'account di posta elettronica di un acquirente, al conto bancario... lo chiami. Ciò significa che, a meno che la creazione dell'account non sia disabilitata nel tuo negozio, avrai bisogno di SSL per proteggere tali password e accessi .

Per ricapitolare, i due fattori che possono eliminare SSL come requisito sono:

  • Utilizzo di un gateway di pagamento completamente fuori sede e
  • Assolutamente nessuna funzionalità di account o password consentita dai clienti

Se non disponi di entrambi questi fattori, avrai bisogno di un certificato per il tuo negozio. E anche se lo fai, dovresti comunque prenderlo in considerazione , data la possibilità che HTTPS diventi più importante per le classifiche e la tranquillità dei clienti in futuro.

Hai bisogno di SSL? Come ottenere un certificato (due modi)

Il modo standard per proteggere il tuo negozio con SSL fino a poco tempo era pagare una terza parte per un certificato. Ora c'è un'altra opzione, tuttavia, come accennato durante The State of the Word al WordCamp US.

Ecco due modi per proteggere il tuo negozio e rendere felici i tuoi clienti.

Pagare un certificato

I certificati SSL possono essere acquistati da un'ampia varietà di terze parti . Molti rivenditori di domini li offrono ai loro clienti (a volte anche in bundle con il tuo nome di dominio) e ci sono anche società indipendenti che vendono solo certificati SSL.

La soluzione migliore potrebbe essere quella di iniziare con l'azienda da cui hai acquistato (o stai pianificando di acquistare) il nome di dominio del tuo negozio per determinare se offre certificati o qualsiasi tipo di pacchetto. In caso contrario, una semplice ricerca dovrebbe mostrare più opzioni affidabili.

Prima di acquistare, dedica qualche minuto a considerare attentamente il tipo di certificato di cui hai bisogno . I certificati SSL di base coprono solo un dominio, ad es. esempio.com o sottodominio.esempio.com. Ma puoi anche acquistare certificati multidominio o certificati "jolly" per coprire più sottodomini (esempio1.dominio.com, esempio2.dominio.com...).

Il prezzo dei certificati a pagamento varia in genere da $ 30 a $ 50 all'anno per domini singoli e fino a $ 300 all'anno per opzioni multidominio o con caratteri jolly.

Certificati gratuiti da Let's Encrypt

L'Internet Security Research Group (ISRG) ha attualmente un programma chiamato Let's Encrypt in versione beta pubblica. Let's Encrypt consente a chiunque di proteggere il proprio sito con SSL/TLS gratuitamente, offrendo in modo efficace ai proprietari di siti Web e negozi un certificato SSL gratuito e permanente .

Il problema: Let's Encrypt non è così semplice come lavorare con un registrar di domini per acquistare e installare il tuo certificato. Inoltre è ancora in versione beta, quindi sono possibili bug. Tuttavia, è ancora completamente gratuito e open source.

Un diagramma di Let's Encrypt che mostra come funzionano i loro certificati.
Un diagramma di Let's Encrypt che mostra come funzionano i loro certificati.

Se sei interessato a seguire questa strada, ti consigliamo di inviare la documentazione Let's Encrypt al tuo sviluppatore, che può determinare il plug-in e il client di cui hai bisogno per il tuo server e gestire il processo di installazione del certificato per te.

Le conseguenze di non avere un certificato

Potresti chiederti "cosa succede se ignoro tutto questo e non ottengo un certificato SSL?"

In verità, potrebbe non succedere nulla. Ma potrebbero esserci anche conseguenze disastrose, tra cui:

  • Gli acquirenti perdono fiducia in te perché il tuo negozio sembra non protetto
  • Individui sgradevoli "spoofing" il tuo negozio perché non c'è modo di dimostrare che sei il vero proprietario o produttore dei tuoi beni
  • Un hacker che utilizza il reverse engineering per dirottare l'e-mail, i social media o un altro account online di un cliente con le informazioni ottenute dal tuo negozio
  • Furto di dati personali o finanziari sensibili archiviati sul tuo server
  • Il contraccolpo pubblico e il potenziale contraccolpo finanziario causato da uno qualsiasi degli eventi di cui sopra

Come puoi vedere, è meglio pagare semplicemente per un certificato SSL e avere la tranquillità che rischiare. Anche avere potenziali clienti che ti infastidiscono per quell'icona del lucchetto mancante - e potenzialmente uscire senza acquistare perché manca - vale circa $ 30 all'anno, non credi?

SSL non deve essere una questione complicata

Ci auguriamo che questa introduzione ai certificati SSL per l'eCommerce ti abbia aiutato a capire un po' meglio perché potresti (o meno) aver bisogno di un certificato per il tuo negozio online.

Con un po' di fortuna, SSL e la sicurezza del negozio dovrebbero sembrare molto più facili da comprendere ora. Ma se hai altre domande, saremo più che felici di risponderti nei commenti qui sotto! Chiedi via, siamo sempre qui per aiutarti.