Questa connessione non è sicura: sicuramente vi sarete accorti del messaggio che ormai compare in ogni form con campo password. Succede su Chrome, su Firefox e su tutti i maggiori browser, e non dipende da WordPress, ma dall’assenza del certificato SSL sul tuo hosting provider.
Cerchiamo di capire perché otteniamo questo messaggio, anche se stiamo utilizzando l’ultima versione di WordPress e tutti i plugin sono aggiornati.
La risposta al messaggio “Questa connessione non è sicura” quando visiti il tuo sito WordPress
Nel lontano 2018, Google ha deciso di rendere il web un posto più sicuro, premiando chi decide di implementare una connessione sicura HTTPS. Abbiamo già visto quale sia la differenza fra HTTP e HTTPS, ed abbiamo anche visto che questo è entrato in breve tempo nei primi 10 fattori di ranking, grazie alla ricerca di SEMRush.
Per fare un breve ripasso, diciamo che:
Una connessione HTTPS è considerata sicura perché le comunicazioni fra le due parti (il vostro PC ed il server) vengono criptate secondo dei parametri noti solamente a loro due, e definiti da un certificato: il certificato SSL. Questo livello di sicurezza entra in funzione prima del caricamento di WordPress ed occorre quando browser e server si mettono d’accordo sulla “lingua” da parlare.
3 modi per risolvere il messaggio su WordPress
Che tu stia utilizzando WordPress o no, ci sono diverse possibilità per risolvere questo problema. In ogni caso, è necessario il passaggio ad una connessione sicura HTTPS attraverso l’installazione di un certificato SSL. Questi certificati sono garantito da un ente terzo (la CA – Certificate Authority) e possono essere installato in diversi modi. Inoltre, alcuni certificati sono gratuiti, altri più dispendiosi, ma questo non ha un impatto sul livello di sicurezza fornito.
Noi perciò ci focalizzeremo in ogni caso sui più economici.
Quale plugin installare per risolvere il problema?
Se il sito web della tua attività è stato realizzato con WordPress, probabilmente avrai provato ad installare qualche plugin per risolvere il problema: fra i più famosi c’è ovviamente Really Simple SSL. Oppure, avrai provato ad installarne più d’uno, senza però riuscire a risolvere del tutto il problema.
Ebbene, devi sapere che tutto ciò è perfettamente inutile. Per risolvere problemi al certificato SSL non c’è bisogno di alcun plugin, bisogna solo sapere dove mettere mano, avere le giuste competenze e il messaggio sparirà senza installare nulla.
Metodo 1: Installazione di un certificato SSL DV sul nostro hosting WordPress
Per rimuovere il messaggio ‘Questa connessione non è sicura’, bisogna passare ad una connessione sicura HTTPS. Diventa quindi necessario installare un certificato SSL. Il certificato SSL, in sostanza, sarebbe il documento che definisce ‘la lingua segreta’ con la quale parleranno i computer che si connettono al vostro sito web.
Tutti gli scambi di informazioni avverranno in questa lingua segreta, e nessuno potrà ascoltarla.
Per installare un certificato SSL DV, il più delle volta è sufficiente contattare il vostro hosting. Probabilmente, offriranno un certificato gratis, oppure a costo ridotto per il primo anno, mentre per i successivi questo in genere si attesta sui 10-15€/anno.
Metodo 2: Installazione di un certificato SSL DV Let’s Encrypt
Let’s Encrypt! è una Certificate Authority indipendente che fornisce certificati DV gratuiti particolari, perché hanno bisogno di essere rinnovati ogni 3 mesi. Per rimuovere il messaggio ‘Questa connessione non è sicura’ tramite Let’s Encrypt possiamo:
- verificare se il nostro Hosting supporta nativamente Let’s Encrypt
- In caso contrario, installare questi certificati a mano, se abbiamo un sistemista nella nostra azienda
La prima situazione è sicuramente la più semplice: installare un certificato Let’s Encrypt sarà banale come premere un bottone. Nel secondo caso, invece, c’è da verificare anche il nostro hosting. Non tutti gli hosting condivisi, ad esempio, sono compatibili con Let’s Encrypt, ed in quel caso non possiamo farci molto: dovremo acquistare un Certificato SSL DV, spendendo i classici 10€.
Metodo 3: Passare per CloudFlare, un content delivery network
Il terzo metodo è configurare una content delivery network gratuita come CloudFlare. Ci sono tre ragioni per scegliere questa modalità:
- Il nostro hosting è molto, molto lento e per qualche ragione non ci va/non possiamo cambiarlo
- Il nostro hosting non supporta Let’s Encrypt
- Non ci va/non possiamo spendere 100€ all’anno per un hosting più performante ed un certificato DV
Senza stare a sindacare sulla validità delle ragioni di cui sopra nel caso del non ci va, vediamo un secondo come funziona CloudFlare.
CloudFlare sta nel mezzo, fra server e PC del visitatore
CloudFlare è una rete di distribuzione dei contenuti. In poche parole, prende i contenuti dal nostro server, li carica su propri server più vicini al visitatore, e li mostra al visitatore. Rispetto al grafico nella prima immagine, quindi, ci troviamo in questa situazione:
Alcune caratteristiche:
- La connessione Browser <> CDN avviene sempre tramite protocollo HTTPS, con un certificato particolare, condiviso, che copre più domini diversi. Questo certificato ha minore authority rispetto ad un DV, però fa comunque apparire il nostro sito in verde, e quindi ci va bene.
- La connessione Browser <> Nostro Server può avvenire sia in HTTP che in HTTPS, a seconda di come è configurato il nostro server. Non è una connessione continua: la CDN si collegherà ogni tanto al server, solo per verificare se ci sono contenuti da aggiornare.
Diciamo quindi che questa soluzione garantisce minore sicurezza, ma comunque fa sparire i vari messaggi fastidiosi dai browser, come il famoso ‘Questo sito non è sicuro’ o ‘Questa connessione non è sicura’:
Ci sono inoltre altri svantaggi, che potrebbero essere fastidiosi per alcuni:
- Alle volte, CloudFlare è leggermente più lento di un sito web configurato bene in Europa
- Per usare CloudFlare o altre CDN, dovremmo modificare la configurazione dei NS. Tutte le modifiche future alla Zona DNS andranno effettuate sia sull’hosting, che su CloudFlare
- I browser molto vecchi non digeriscono con facilità il certificato condiviso di CloudFlare
Però, in determinate situazioni, può essere una soluzione viabile!
Ho ancora problemi dopo aver seguito le indicazioni
Anzitutto devi sapere che il certificato SSL e la connessione HTTPS deve essere impostata dal proprietario del sito web o e-commerce che cerchi di visitare, quindi se stai solamente cercando di visitare il sito web, contatta il gestore ed avvisali della tua problematica.
Se dopo aver letto questo articolo hai ancora dubbi e sei il proprietario del sito web che presenta il problema, devi sapere che potrebbe essere necessario intervenire su alcuni aspetti specifici del sito web e/o della configurazione dell’hosting per assicurarsi che TUTTI i contenuti vengano serviti ai visitatori attraverso connessione sicura HTTPS.
I nostri servizi di sviluppo web per WordPress
La cosa importante è passare ad HTTPS il prima possibile. Grazie ai nostri servizi di sviluppo web riusciamo a far fronte a qualsiasi esigenza in merito, risolvendo i tuoi problemi in breve tempo.
Avere WordPress correttamente configurato di fianco ad un certificato SSL valido è fondamentale per garantire la sicurezza dei tuoi utenti. Una connessione sicura infatti:
- Permette virtualmente di eliminare il rischio di attacchi hacker del tipo MIM (Man in the Middle)
- Consente una gestione dei dati inseriti nei form conforme al GDPR, perché eventuali informazioni sensibili risultano inaccessibile durante la loro acquisizione
Conviene quindi correre ai ripari il prima possibile, altrimenti i nostri visitatori potrebbero iniziare a lamentarsi. 😉
Puoi quindi contattarci e risolveremo tutto velocemente.
vorrei passare a HTTPS
Salve Vito, puoi scrivere a hello@sito.agency con tutti i dettagli, oppure compilare il form in questa pagina per una valutazione gratuita della tua situazione. A presto! 🙂