Come utilizzare il protocollo HTTPS e i certificati SSL per proteggere il tuo negozio online

Inviato anni fa, 7 by Anna Koneva, Squadra Ecwid

Quando i clienti acquistano qualcosa dal tuo negozio, condividono con te i loro dati privati, come nome, e-mail, dati della carta di credito. Come commerciante, vuoi proteggere questi dati vulnerabili da hacker, truffatori e ladri di dati. Ciò è fondamentale per creare fiducia con il tuo pubblico.

Puoi e dovresti proteggere i dati dei tuoi clienti e aumentare la fiducia nella tua attività con il protocollo HTTPS e un certificato SSL. Questi strumenti non solo possono migliorare la sicurezza e aumentare la tua affidabilità, ma possono anche aiutare il tuo negozio a classificarsi meglio nei motori di ricerca.

Se tu vendere online con Ecwid, sarai felice di sapere che i dati dei tuoi clienti sono già protetti. Tuttavia, usare un certificato SSL può avere alcuni vantaggi aggiuntivi.

In questo post ti mostreremo come funzionano il protocollo HTTPS e i certificati SSL e come puoi ottenerli per il tuo sito web.

Informazioni sui certificati SSL e sul protocollo HTTPS

Su Internet, tutti i dati vengono trasferiti da un dispositivo all'altro secondo determinate regole o protocolli.

Per i siti web, questo protocollo è chiamato Protocollo di trasferimento ipertestuale (HTTP). Trasferisce i dati che i tuoi clienti inseriscono sul tuo sito web al server che ospita il tuo sito web, e poi aiuta a inviare la risposta al browser. Ad esempio, l'utente preme un pulsante e si apre una nuova pagina, oppure compila il modulo di registrazione e-mail e vede la conferma di una registrazione riuscita.

Il problema con HTTP è che non protegge alcun dato trasferito dai browser ai server. Qualsiasi dato che passa attraverso HTTP è essenzialmente "nudo".

Una buona analogia è pensare a due studenti che si passano bigliettini in classe. Ognuno dei loro compagni può leggere, copiare o persino sostituire il biglietto. Lo stesso vale per i dati dei tuoi clienti: un criminale può rubare i dettagli della carta di credito e i soldi da essa.

Ecco perché è stato creato un nuovo protocollo per la protezione dei dati: HTTPS (Protocollo di trasferimento ipertestuale Assicurate ). Con HTTPS, tutti i trasferimenti di dati tra un utente e un server web sono crittografati. Questa crittografia è così complessa che è quasi impossibile hackerare e utilizzare i dati.

Per poter utilizzare il protocollo HTTPS, il tuo sito necessita innanzitutto di un certificato SSL (Secure Socket Layer).

Un certificato SSL è essenzialmente una chiave per crittografare i dati. Protegge i dati su tre livelli:

Crittografia dei dati. Gli hacker non saranno in grado di vedere quali informazioni un utente ha inserito sul sito o di tracciare le azioni dell'utente su una pagina. Pensalo come una nota scritta con un cifrario: può essere letta solo da qualcuno che conosce la chiave.
L'integrità dei dati. Gli hacker non possono sostituire o distorcere i dati trasmessi. Inoltre, senza conoscere la chiave, è impossibile scrivere, modificare o manipolare i dati, proprio come in una situazione di nota cifrata.
Autenticazione. SSL assicura che un utente si trovi su un sito attendibile e non sulla pagina di un hacker. Se solo due partecipanti conoscono la chiave, sono sicuri di sapere da chi hanno ricevuto la nota. Uno sconosciuto non può passare la propria nota e ottenere le informazioni imbrogliando.

Puoi vedere se un sito è protetto da un certificato SSL tramite il protocollo HTTPS nell'indirizzo URL. La maggior parte dei browser lo indica visivamente sotto forma di icona di lucchetto:

I certificati SSL sono distribuiti da organizzazioni speciali: i centri di certificazione.

Chi dovrebbe usare SSL (e perché)

Il protocollo SSL è obbligatorio per i siti in cui gli utenti inseriscono informazioni sensibili, come i dati della carta di credito. E-commerce I negozi che non vogliono perdere clienti utilizzano già da tempo il protocollo HTTPS.

Ma spesso i negozi online proteggono solo pagine di registrazione e pagamento con SSL, perché sono gli unici posti in cui i loro clienti condividono dati personali. Il resto del sito web funziona spesso con l'insicuro HTTP.

Oggi, HTTPS è un requisito imprescindibile per ogni pagina web. Le ragioni sono molteplici.

I browser segnalano i siti non protetti

Chrome e Firefox, due dei browser più diffusi al mondo, contrassegnano visivamente i siti che non utilizzano SSL.

Per ora è visibile solo un'icona grigia informativa. Ma in futuro, i browser pianificare di cambiare l'indicatore di sicurezza a un triangolo rosso per le pagine su HTTP. I tuoi clienti sono abituati a vederlo come un indicatore di "avviso".

Di conseguenza, il mancato utilizzo del protocollo SSL può indurre gli utenti a non acquistare dal tuo sito web.

L'utilizzo di SSL migliora le classifiche

Nel 2014, Google ha annunciato che avrebbe preso in considerazione l'utilizzo di SSL come segnale di ranking. Ciò significava che i siti che utilizzavano SSL avrebbero ottenuto un incremento nel traffico dei motori di ricerca.

Requisiti del servizio di pagamento

Un numero crescente di servizi di pagamento ha HTTPS come requisito per lavorare con loro. Ad esempio, Apple Pay lavori esclusivamente con HTTPS.

Aumenta la fiducia

Le preoccupazioni sulla sicurezza dei pagamenti sono una delle 10 principali cause di abbandono del carrello. Quando aggiungi un certificato SSL al tuo negozio, comunichi visivamente agli utenti che i loro dati di pagamento sono al sicuro.

Maggiore fiducia, ovviamente, significa maggiori vendite.

Se vuoi che i tuoi clienti trovino facilmente il tuo negozio sui motori di ricerca e si fidino di te più facilmente, non rimandare il passaggio a HTTPS.

Come ottenere un certificato SSL e passare a HTTPS

Per passare a HTTPS, devi prima acquistare e installare un certificato SSL sul sito web. Questo processo può essere semplice o più complesso per alcuni negozi, a seconda del tipo di sito che hai.

1. Stai utilizzando un sito istantaneo Ecwid

Chiunque si sia registrato su Ecwid ottiene un sito web con un incassato negozio online. Questo sito è completamente gratuito per tutti gli utenti.

Potresti conoscerlo come il Sito istantaneo Ecwid.

Se utilizzi questo sito, allora disponi già di un certificato SSL di default. Un negozio online su un sito Ecwid Instant Site è conforme agli standard internazionali per la trasmissione sicura dei dati.

Provalo subito: vai sul tuo Instant Site e guarda attentamente la barra degli indirizzi nel browser. Vedrai un'icona a forma di lucchetto verde con il messaggio "Sicuro" accanto all'URL. Stai certo che il tuo negozio online è sicuro.

Vuoi collegare il tuo sito istantaneo al tuo dominio personalizzato (in modo che reindirizzi a mysite.com e non ilmiosito.ecwid.com)?

Ottieni un certificato SSL gratuito per questa azione anche. Basta seguire questi passaggi:

Accedi al tuo negozio Ecwid, quindi vai su Impostazioni → Sito istantaneo e clicca sul pulsante "Cambia indirizzo".
Clicca sul campo “Usa il tuo dominio” e segui le istruzioni che appaiono sullo schermo.

2. Hai aggiunto Ecwid sul tuo sito web

Puoi creare un negozio Ecwid su in qualsiasi sito e sii gentile con la sicurezza dei dati dei clienti. Ad esempio, questo può essere un blog WordPress, un Adobe Muse sito web o la tua pagina HTML statica.

Nel caso in cui tu abbia scelto questa strada, non devi preoccuparti affatto della sicurezza dei dati dei tuoi clienti. Poiché i dati vengono trasferiti tramite i nostri server altamente protetti, tutti i dati vengono conservati ed elaborati su Ecwid Protetto da SSL server.

Se hai aggiunto Ecwid al tuo sito web che non ha un certificato SSL, i tuoi clienti non vedranno l'icona del "lucchetto" di sicurezza da nessuna parte, tranne che durante il pagamento, cosa che potrebbe risultare frustrante.

Ecco alcuni modi in cui puoi acquistare e utilizzare certificati SSL per diversi creatori di siti web:

wix: Puoi usare un certificato SSL gratuitamente con Wix. Dovrai prima abilitare questo certificato andando nelle impostazioni, quindi seguendo le istruzioni.

Weely: puoi aggiungi automaticamente a n Certificato SSL per il tuo sito Weebly.

Joomla, WordPress, Drupal: Dovrai acquistare un certificato SSL dal tuo registrar di domini o da un provider di hosting e installarlo sul tuo sito web seguendo le istruzioni (probabilmente avrai bisogno di uno sviluppatore):

Autocostruito siti web: acquista un certificato SSL dal tuo provider di hosting/dominio e installalo tu stesso o con l'aiuto del tuo responsabile IT.

Segui le istruzioni riportate di seguito per scoprire i diversi tipi di certificati SSL e dove acquistarli.

Tipi di certificati SSL

In sostanza, ci sono 3 tipi di certificati. Differiscono nella velocità di emissione e nell'entità delle ispezioni del venditore.

1. Certificati con convalida del dominio (DV)

L'opzione più semplice. Una volta acquistato un certificato DV SSL, riceverai un link per verificare la proprietà del dominio sul tuo indirizzo email elencato.

DV viene emesso quasi istantaneamente. È anche l'opzione più economica, con alcuni venditori che lo offrono addirittura gratuitamente.

2. Certificati con convalida dell'organizzazione (OV)

Per ottenere un certificato SSL OV, è necessario confermare l'esistenza della propria società o LLC, fornendo il emissione di certificati autorità i documenti necessari.

Un certificato SSL OV può richiedere 1-3 giorni per ottenerlo. Questo certificato deve sempre essere pagato.

3. Certificato con convalida estesa (EV)

Un certificato EV può essere riconosciuto dal nome della società su uno sfondo verde vicino all'indirizzo del sito web. Potresti averli visti sui siti web finanziari:

Prima che un SSL EV possa essere rilasciato, l'autorità di certificazione esegue un controllo approfondito. Può richiedere 3-10 giorni e ancora di più, per ottenere un certificato EV.

Questo certificato è particolarmente adatto per banche e sistemi di pagamento.

DV, OV, EV - indipendentemente indipendentemente dal tipo di certificato SSL che scegli, tieni presente che tutti proteggono i tuoi dati allo stesso modoEcco perché puoi usare l'opzione più economica, un SSL di base con verifica del dominio, senza preoccuparti della tua sicurezza. Dovrai rinnovare regolarmente il tuo certificato SSL: se il certificato non viene rinnovato l'anno prossimo, non solo perderai la tua protezione, ma il sito potrebbe anche non essere aperto per la maggior parte degli utenti.

Un certificato SSL costerà circa $ 50/anno. Alcuni provider vendono varianti più costose, ma dovresti evitare di spendere troppo. La sicurezza dei dati di base offerta rimane la stessa, indipendentemente dal fatto che tu acquisti un SSL da $ 50 o da $ 150.

Sebbene alcuni provider offrano certificati SSL gratuiti, si tratta di varianti fortemente "annacquate" senza alcun beneficio. Non dovresti acquistare il primo che vedi.

I certificati SSL sono emessi da "centri di fiducia". Alcuni dei centri di fiducia più popolari sono:

Comodo
Symantec
Digicert
geotrust

Puoi acquistare certificati emessi da questi centri da registrar di domini, siti web di hosting e rivenditori SSL. Inoltre, ci sono anche certificati gratuiti.

Di seguito ti aiuteremo a comprendere meglio le opzioni.

1. Acquista un certificato SSL dal registrar di domini o dal servizio di hosting

La maggior parte dei registrar di domini e dei servizi di hosting vendono anche certificati SSL. In alcuni casi, il registrar potrebbe persino emettere un certificato gratuito come regalo o acquisto.

Acquistare da un registrar di domini o da un servizio di hosting funziona benissimo perché semplifica il passaggio da HTTP a HTTPS.

Ecco alcune opzioni popolari:

Vai papà - $ 57/anno per sito web
Bluehost - gratuito a $ 49,9/anno
Namecheap - a partire da $ 9/anno
eNom - $ 12,95 / anno
SiteGround - SSL gratuito all'acquisto dell'hosting

Se il tuo registrar di dominio o web host offre anche certificati SSL, ti consigliamo di acquistarne uno da loro, anche se è leggermente più costoso. Questo ti farà risparmiare ore quando sarà il momento di installare il certificato e passare a HTTPS.

2. Ottieni un certificato SSL gratuito

Se il tuo web host/registrar non vende certificati SSL o se il tuo budget è limitato, puoi optare per un certificato gratuito. I certificati gratuiti sono disponibili solo in un formato: Domain Validation (DV). Questo è sufficiente per proteggere i dati.

Consigliamo i seguenti servizi:

Cloudflare

Cloudflare offre certificati SSL gratuiti con un abbonamento fino a 15 anni. Oltre alla protezione dei dati, ha altri vantaggi come la protezione di base dagli attacchi DDoS e l'accelerazione automatica del tuo sito web.

Ci sono anche degli svantaggi:

Funziona solo nei nuovi browser. Se i tuoi clienti utilizzano browser più vecchi (più vecchi di Internet Explorer 11, Firefox 2, Opera 8, Google Chrome v5.0.342.0, Safari 2.1, Mobile Safari per iOS 4.0, Android 3.0 (Honeycomb), Windows Phone 7), non vedranno "https" sul tuo sito web.
Un certificato generale protegge più siti contemporaneamente. Tuttavia, proteggerà il tuo sito web proprio come uno individuale.
Cloudflare ti chiederà di utilizzare i dati del suo server e il traffico del tuo sito web passerà attraverso i server Cloudflare, il che potrebbe causare una riduzione della velocità di caricamento (anche se non necessariamente).

Questi svantaggi non sono critici e, in generale, Cloudflare è ottimale per coloro che non sono pronti a spendere soldi per un certificato SSL ma vogliono iniziare a proteggere i dati dei propri clienti. Se si sceglie tra rimanere su HTTP o ottenere un certificato SSL da Cloudflare, si consiglia di scegliere la seconda opzione.

Per ottenere un certificato SSL da Cloudflare, iscriviti e seguire le istruzioni.

Let's Encrypt

Si tratta di un servizio gratuito che non presenta gli svantaggi di Cloudflare, ma presenta i suoi limiti.

Let's Encrypt offre certificati solo per tre mesi, quindi dovrai impostare il rinnovo automatico, che richiederà l'accesso alle impostazioni del server del tuo sito web (disponibili su VPS hosting come Amazon AWS, Linode, Digital Ocean). Ciò significa che probabilmente avrai bisogno di un amministratore di sistema.

Esistono due opzioni per ottenere un certificato SSL da Let's Encrypt:

Manualmente su letencrypt.org tramite Sezione “Modalità manuale”
Semi-automaticamente o automaticamente (a seconda del software del server del tuo negozio online) tramite Certbot.

3. Acquista un certificato SSL da un rivenditore

Se non vuoi perdere tempo a modificare un certificato Let's Encrypt e non hai voglia di usare Cloudflare, puoi acquistare un certificato SSL da uno dei rivenditori:

Scegli il rivenditore che preferisci e ricorda che non ha molto senso acquistare l'opzione più costosa, poiché tutti proteggeranno bene il tuo sito web.

Come non perdere traffico quando si passa a HTTPS

Quando si passa da HTTP a HTTPS, l'indirizzo del sito cambia per i robot di ricerca (da → https://yoursite.com). This can negatively affect your rankings in search engines.

Leggi I consigli di Google per mantenere il tuo ranking e persino migliorarlo. Ti consigliamo vivamente di leggerli per evitare di perdere clienti se installi un certificato SSL da solo. Puoi anche chiedere al team di supporto del tuo creatore di siti se queste condizioni sono state soddisfatte con la loro migrazione HTTP → HTTPS.

***

Riassumiamo i nostri consigli:

Se utilizzi Ecwid Instant Site, non avrai problemi: l'intero sito web è su HTTPS.
Per i siti web Wix e Weebly, abilita il certificato SSL nelle impostazioni.
Se vendi sul tuo sito web, verifica con il tuo provider di dominio/hosting se hai un certificato SSL. In caso contrario, richiedilo.
Se il tuo provider di dominio/hosting non vende certificati SSL, puoi ottenerne uno gratuito su Cloudflare o acquistarlo da un rivenditore.

Circa l'autore

Anna è una content creator presso Ecwid. Ama le grandi città, la pasta e i film di Woody Allen.