Skip to main content

Perché i siti web dovrebbero utilizzare HSTS

utilizzare HSTS

Perché i siti web dovrebbero utilizzare HSTS, per migliorare la sicurezza e la SEO
Se vuoi maggiore sicurezza, tempi di caricamento più rapidi e SEO più forte per il tuo sito, John Lincoln spiega come e perché dovresti utilizzare HSTS per migliorare l'esperienza dell'utente e del ranking.

Gli utenti del sito e i motori di ricerca non prendono alla leggera la sicurezza del sito web, il che probabilmente è il motivo per cui probabilmente avete sentito parlare di misure di sicurezza aggiuntive come HTTPS.
Ma un livello di sicurezza meno conosciuto chiamato HTTP Strict Transport Security (HSTS) può aiutare a proteggere il tuo sito e l'ottimizzarlo per i motori di ricerca (SEO).

HSTS

HSTS è un'intestazione di risposta che informa il browser che può connettersi a un determinato sito Web tramite HTTPS.
L'HSTS aumenta sia la velocità che la sicurezza dei siti Web HTTPS.
Per comprendere appieno cosa fa l'HSTS, hai bisogno di un pò di conoscenza pratica di HTTPS.
HTTPS (Hyper Text Transfer Protocol Secure) è una versione sicura di HTTP. Quando un utente si connette a un sito tramite HTTPS, il sito Web crittografa la sessione con un certificato SSL (secure sockets layer).
In parole povere, aggiunge un ulteriore livello di sicurezza alla sessione del sito e protegge contro gli hacker che potrebbero cercare di sottrarre informazioni agli utenti web.
Come puoi immaginare, questo è particolarmente utile per l'e-commerce, il banking o altri siti di transazioni come Paypal, che richiedono agli utenti di inserire informazioni sensibili.
Se un sito utilizza o meno HTTPS è chiaramente visibile agli utenti. Quelli che sono sicuri saranno caratterizzati da un simbolo di sicurezza verde dall'URL.

L'HTTPS è stato un fattore di ranking di Google confermato dal 2014
Mentre HTTPS è un enorme miglioramento rispetto al suo predecessore, non è del tutto privo di difetti ed è qui che entra in gioco HSTS.

In che modo l'HSTS aumenta la sicurezza del sito

Uno dei difetti associati a HTTPS è che non è completamente a prova di hacker. Lascia il tuo sito aperto allo stripping SSL. Ciò si verifica quando un hacker cambia la connessione da una connessione crittografata a una versione precedente.
Questo  si verifica spesso con reindirizzamenti 301. Il reindirizzamento 301 di solito avviene in questo modo:
Qualcuno digita examplesite.com nel suo browser.
Poiché examplesite.com utilizza un reindirizzamento 301, il browser inizialmente tenta di caricare http://examplesite.com.
Ciò accade perché il browser non può sapere in anticipo che un sito specifico utilizza HTTPS.

Chrome consente a chiunque di inviare il proprio dominio all'elenco HSTS purché soddisfi i seguenti requisiti:

Submission Requirements
If a site sends the preload directive in an HSTS header, it is considered to be requesting inclusion in the preload list and may be submitted via the form on this site.
In order to be accepted to the HSTS preload list through this form, your site must satisfy the following set of requirements:

1. Serve a valid certificate.
2. Redirect from HTTP to HTTPS on the same host, if you are listening on port 80.
3. Serve all subdomains over HTTPS.
In particular, you must support HTTPS for the www subdomain if a DNS record for that subdomain exists.
4. Serve an HSTS header on the base domain for HTTPS requests:
The max-age must be at least 31536000 seconds (1 year).
The includeSubDomains directive must be specified.
The preload directive must be specified.
If you are serving an additional redirect from your HTTPS site, that redirect must still have the HSTS header (rather than the page it redirects to).

HTTPS deve essere abilitato sul dominio principale e su tutti i sottodomini, in particolare sul dominio www.subdomain se esiste un record DNS. Questo include qualsiasi sottodominio in uso esclusivamente su intranet. La politica HSTS include tutti i sottodomini, con un limite massimo di validità e un contrassegno "pre-caricamento" per indicare che il proprietario del dominio accetta il pre-caricamento.

A partire da ora Firefox, Safari, Opera e Edge utilizzano anche l'elenco precaricato di Chrome , quindi l'opzione è disponibile per domini nella maggior parte dei principali browser.

Quando il server inizialmente chiama la versione HTTP, gli hacker possono entrare e intercettare la richiesta su HTTP non sicuro, che bloccherà il sito dall'utilizzo di HTTPS. C'è una soluzione per questo, rendere il vostro sito ancora più sicuro applicando HSTS.

HSTS forza un sito a caricare su HTTPS, ignorando le chiamate per provare prima una connessione HTTP come nel caso dei reindirizzamenti 301.

Questo essenzialmente elimina il carico HTTP iniziale forzando il browser a ricordare che questo sito supporta effettivamente HTTPS.
In questo modo, il browser caricherà immediatamente la versione sicura ed eliminerà l'opportunità per gli hacker di dirottare la connessione.

Oltre ad aggiungere un ulteriore livello di sicurezza al tuo sito, l'utilizzo di HSTS può anche darti una spinta SEO dal momento che l'utilizzo dell'HSTS rende le tue pagine web sempre più veloci.
Sappiamo che il tempo di caricamento è un grosso problema quando si tratta di classifiche di ricerca e di esperienza utente.
Con l'aumento dell'utilizzo dei dispositivi mobili e l'iniziativa mobile di Google a pieno ritmo, la velocità di caricamento delle pagine è più importante che mai.

All'inizio dell'anno scorso, Google ha pubblicato uno studio con le seguenti conclusioni:
Il tempo medio necessario per caricare completamente la pagina di destinazione mobile media è di 15,3 secondi:
Tuttavia, la ricerca indica anche che il 53% delle persone lascerà una pagina mobile se impiegherà più di tre secondi per caricarsi.

Come applico HSTS?

Prima di abilitare HSTS è necessario che sia installato un certificato SSL valido. Il browser di un utente dovrà vedere l'intestazione HSTS almeno una volta prima che sia in grado di reindirizzare immediatamente a una determinata pagina.
Ciò significa che la prima visita di un utente a un determinato dominio dovrebbe comunque passare attraverso il processo HTTP in HTTPS.
Per eliminarlo il più possibile, Chrome ha creato un elenco di precarichi HSTS .
Questo è un elenco di domini che avranno l'HSTS abilitato automaticamente, in modo che gli utenti possano connettersi

Per abilitare HSTS sul tuo sito, dovrai aggiungere l'intestazione HSTS attivata. Puoi farlo attraverso il tuo sito di hosting o attivarlo da solo.
Link riferimento per test
https://hstspreload.org/

 

  • Visite: 7566