Introduzione
Negli ultimi anni, HTTPS l'adozione è in rapido aumento (Google fornisce a rapporto sulla trasparenza che mostra questo progresso in modo più visivo). HTTPS utilizza SSL /TLS certificati per proteggere i dati ed è uno dei più importanti meccanismi di sicurezza del browser contro le minacce informatiche. Il settore web ora incoraggia (o richiede) HTTPS in sostituzione di HTTP non sicuro.
Tuttavia, questa maggiore sicurezza ha inevitabilmente aumentato la complessità operativa sia per gli utenti dei browser che per gli amministratori dei server Web. HTTPS dipende da componenti che possono potenzialmente fallire e produrre oscuri messaggi di errore.
Inoltre, gli avvisi di sicurezza non significano necessariamente che il server o il browser sia sotto attacco. Anche i certificati scaduti, revocati o configurati in modo errato possono produrre messaggi simili. Per questo motivo, molti utenti possono confondersi (o infastidirsi) e ignorare gli errori HTTPS, anche se ignorare i messaggi di errore di sicurezza può essere piuttosto pericoloso. (In effetti, i provider di browser stanno rendendo gli avvisi di sicurezza sempre più difficili da aggirare.)
Gli amministratori affrontano l'ulteriore preoccupazione che la visualizzazione coerente degli avvisi di sicurezza dei loro siti web per i visitatori possa avere un effetto negativo sulla reputazione del sito. È fondamentale che gli amministratori del sito esaminino e risolvano rapidamente qualsiasi problema sottostante.
Per aiutare in questo, esamineremo alcuni dei più comuni avvisi di errore HTTPS, spiegheremo cosa significano e suggeriremo come gli amministratori possono rimediare.
"Non attendibile per questo sito web"
SSL /TLS i certificati sono generalmente emessi da entità di terze parti chiamate Autorità di certificazioneo CAs. CA (come SSL.com) firmano crittograficamente ogni certificato che emettono. Ciò consente ai browser di confermare che il certificato per un determinato sito Web è stato emesso da una CA attendibile (una che è già stata aggiunta agli archivi dei certificati del browser).
L'errore "Non attendibile" indica che un server Web ha presentato un certificato firmato con una firma digitale che il browser non riconosce. Un browser mostrerà questo messaggio di errore in due casi:
- Il server utilizza un non attendibile auto-firmato certificato o
- L'installazione del certificato sul server non è riuscita, quindi il browser non può verificare correttamente la sua autenticità.
I certificati autofirmati sono esattamente come i normali certificati, ma vengono creati localmente dagli amministratori del server Web anziché dalle autorità di certificazione attendibili. Tali certificati potrebbero essere utilizzati per URL interni, pagine statiche o siti Web a basso traffico.
Poiché i certificati autofirmati non sono collegati a una CA attendibile, i browser non li considerano automaticamente affidabili. Un utente deve ignorare manualmente un avviso di sicurezza (in genere dicendo al browser di "considerare attendibile" il certificato autofirmato) prima di poter visitare il sito. La procedura varia da browser a browser e, a meno che tu non sappia esattamente chi ha emesso il certificato non attendibile (e perché), ti consigliamo di evitare di aggirare tali avvisi
Il secondo caso si verifica quando l'installazione non riesce (o viene eseguita in modo errato). Un evento comune è di tralasciare i certificati intermedi, detti anche catena di certificati, durante l'esecuzione dell'installazione. Ciò interrompe la catena di fiducia dalla CA al certificato del sito Web, pertanto i browser non riconoscono il certificato come attendibile e presentano questo errore ai visitatori.
Quando si riceve l'errore "Non attendibile", considerare la pagina visitata. È altamente improbabile che una pagina ad alto traffico o una che gestisce informazioni riservate dell'utente (come carte di credito, indirizzi di fatturazione e così via) utilizzi un certificato autofirmato.
Pertanto, potrebbe essere una delle due possibilità: il server (o la connessione) è stato dirottato (e gli aggressori hanno sostituito il certificato originale con il proprio) o l'amministratore ha tentato di aggiornare il certificato del server e ha fallito da qualche parte nel processo.
Per motivi di cautela, si consiglia agli utenti di evitare di utilizzare qualsiasi sito Web che visualizza questo errore fino alla risoluzione del problema sottostante.
Come correggere un errore "Non attendibile"
Non è consigliabile utilizzare certificati autofirmati per pagine esterne o rivolte a Internet come pagine di accesso o check-out dei clienti. In effetti, la maggior parte dei documenti sugli standard e le certificazioni, come PCI-DSS, richiedono l'uso di certificati correttamente firmati da un'autorità di certificazione accreditata per qualsiasi operazione delicata.
Se hai acquistato un certificato da un'autorità di certificazione e riscontri ancora questo errore, dovresti verificare che l'installazione non abbia prodotto errori e che tu abbia seguito correttamente i passaggi. Se ciò non aiuta, è necessario contattare l'autorità di certificazione emittente per ulteriore assistenza.
"La tua connessione non è sicura"
Alcuni browser potrebbero indicare che la connessione è "non privata" anziché "non sicura", ma tutti si riferiscono allo stesso problema: il certificato del server non può essere convalidato. Qui, il browser interromperà la connessione al sito Web e mostrerà invece questo messaggio di errore. I certificati non possono essere convalidati quando vengono revocati o scaduti.
I certificati digitali possono essere revocati per molte ragioni e le CA affidabili mantengono i servizi per visualizzare pubblicamente i loro certificati revocati. (Questi includono Elenco di revoche di certificatis (CRL) e Protocollo di stato del certificato online (OCSP) responder.) I browser si consultano con questi servizi prima di fidarsi di un certificato. Gli utenti che si imbattono in certificati revocati dovrebbero evitare di utilizzare il sito Web, poiché ciò potrebbe compromettere la loro connessione.
Anche i certificati SSL scadono naturalmente dopo un periodo di tempo e devono essere rinnovati. Ciò aiuta a garantire che tutte le credenziali siano controllate periodicamente, offrendo una ragionevole garanzia che il certificato copre un server controllato da un proprietario legittimo e non un malintenzionato.
Come correggere l'errore "Non sicuro"
Si consiglia di rinnovare i certificati prima che scadano per evitare questo errore. SSL.com i clienti possono utilizzare il nostro servizio di avviso di scadenza integrato per avvisare della scadenza del certificato imminente.
"Contenuto misto"
Un avviso di contenuto misto si riferisce a componenti di siti Web HTTPS che vengono recuperati su HTTP. Esempi comuni includono immagini remote, script o qualsiasi altro elemento trasmesso in modo non sicuro (anche se sullo stesso server).
Gli aggressori possono sfruttare connessioni HTTP non protette per compromettere il browser (o anche il computer) di un visitatore. Nonostante l'evidente rischio, molti siti web utilizzano ancora HTTP per recuperare componenti remoti. Per mettere in guardia gli utenti dalle connessioni a contenuto misto, i browser mostrano un indicatore di sicurezza negativo.
Gli utenti dovrebbero evitare tutte queste connessioni se possibile, ma sfortunatamente numerosi siti Web legittimi non hanno ancora risolto questo problema. Pertanto, consigliamo di usare cautela e prudenza quando si sceglie di visitare siti Web che visualizzano l'avviso di contenuto misto.
Come correggere un avviso "Contenuto misto":
Gli amministratori devono cercare nel codice sorgente del proprio sito Web gli URL che iniziano con http://. Per impedire ai browser di mostrare l'avviso di contenuto misto, sostituire tutti gli URL HTTP con HTTPS (ovvero dovrebbero iniziare con https://) URL che puntano alla stessa risorsa. I seguenti frammenti mostrano un esempio:
Dovrebbe cambiare in:
Se il server remoto supporta già HTTPS, puoi semplicemente modificare gli URL nel codice sorgente. Tuttavia, se non hai il controllo del server remoto, dovrai negoziare con la terza parte che controlla il server o trovare un servizio diverso con supporto HTTPS per eliminare questo avviso.
"Nome non corrispondente"
I browser mostrano questo messaggio di errore quando un server presenta un certificato digitale per un nome di dominio diverso. Ciò può verificarsi perché il dominio del certificato è stato errato (ad es. Certificato richiesto per domain.org invece di domain.com) durante l'acquisto del certificato, a causa di un'errata configurazione (che presenta un altro certificato anziché quello previsto) o perché il certificato non copre più domini o sottodomini utilizzati nel sito Web.
Come correggere l'errore "Name Mismatch"
Se il dominio non è stato digitato correttamente, è necessario contattare l'autorità di certificazione emittente per possibili soluzioni.
La configurazione errata può essere risolta aggiornando il sito per utilizzare il certificato corretto.
Infine, se si gestisce un sito Web che contiene più domini (o sottodomini), considerare l'utilizzo di a Certificato SAN (Subject Alternative Name) anziché diversi certificati individuali. Un singolo certificato SAN può proteggere centinaia di domini diversi e persino domini jolly (ad es *.ssl.com) oltre ad essere molto più facile da gestire e mantenere rispetto a più certificati (per non parlare del fatto che potrebbe essere più facile sul tuo portafoglio).
Conclusione
Si può pensare a HTTPS come a una scatola nera, ma in realtà è una raccolta di componenti interconnessi che devono funzionare in armonia affinché sia efficace. I messaggi di avviso che abbiamo descritto sono una parte fastidiosa ma vitale di Internet. Ci auguriamo che fornire una conoscenza di base di questi messaggi possa aiutare a proteggere gli utenti e rendere gli amministratori più efficienti.
Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.
