fb-pixel
Logo Supporthost
Log in

Sito non sicuro: come risolvere

Maggio 6, 2021 / Pubblicato in:  da Ivan Messina
Nessun commento

All’apertura di alcuni siti web o alcune pagine nello specifico può comparire l’avviso di sito non sicuro. Questo genere di avviso compare su diversi browser e serve ad allertare gli utenti durante la navigazione.

Vediamo a cosa è dovuto l’avviso e come risolvere il problema quando capita con il tuo sito.

Sito non sicuro: cosa significa?

L’avviso di sito non sicuro compare in diversi browser, ma è stato soprattutto Google con il suo browser di punta a battersi per la sicurezza dei siti.

Chrome ha introdotto l’avviso gradualmente e già nella versione 62 rilasciata ad aprile 2017, il browser di Google mostrava l’avviso “sito non sicuro” nella barra degli indirizzi non appena il visitatore inseriva dei dati.

Con la versione 68 di Chrome, rilasciata a luglio 2018, Google ha deciso di indicare l’avviso non sicuro per tutti i siti in http e questo è quello che succede ancora oggi.

In particolare per aiutare gli utenti a definire il livello di sicurezza dei siti web Chrome utilizza tre indicatori differenti.

Il primo, a forma di lucchetto, sta a indicare i siti sicuri.

Sito Sicuro Lucchetto

L’icona a forma di i può mostrare informazioni aggiuntive o rappresentare un sito non sicuro. Basta ad esempio cliccare sull’icona per ottenere informazioni. In questo caso che ti porto come esempio il browser ci avvisa che la connessione non è sicura.

Sito Non Sicuro Chrome

La terza icona, a forma di triangolo, è accompagnata anche dalla scritta “non sicuro”. In questo caso, facendo click sull’icona per maggiori informazioni, possiamo vedere che la connessione non è sicura e che il browser ci suggerisce di non inserire dati che potrebbero finire nella mani sbagliate.

Sito Non Sicuro

In alcuni casi, ad esempio quando il certificato non viene convalidato, compare un avviso a schermo intero come questo:

La Connessione Non E Privata Errore A Schermo Intero

L’avviso di sito non sicuro ci avverte, quindi, che la nostra connessione con quella pagina non è sicura. Questo significa che le informazioni inviate e ricevute attraverso la pagina non sono protette e, proprio per questo sono a rischio.

Un eventuale hacker potrebbe leggere, modificare o rubare le informazioni scambiate attraverso quella pagina. Proprio per evitare che questo accada Google e altri browser avvisano gli utenti delle potenziali minacce.

È importante precisare che l’avviso di sito non sicuro non deve essere confuso con la presenza di malware o virus nel sito. L’avvertenza, infatti, indica solo che la connessione con quella pagina non è sicura. Se non devi inserire dati sensibili in un sito etichettato come non sicuro, non corri quindi rischi.

In maniera simile a Chrome, anche Firefox avvisa i suoi utenti quando visitano un sito non sicuro con un avviso di questo tipo:

Connessione Non Sicura Firefox

Perché “questo sito non è sicuro”?

L’avviso di sito web non sicuro può comparire anche solo in alcune pagine del sito e non su tutte. Il browser, infatti, ci avvisa quando ci stiamo collegando ad una pagina che utilizza il protocollo HTTP e non HTTPS.

Il protocollo HTTP è quello che veniva utilizzato inizialmente, prima che venisse introdotto un sistema più sicuro. Non a caso la “s” in HTTPS sta proprio per secure, il protocollo HTTPS, quindi, è in grado di garantire una connessione sicura. In sostanza la differenza tra i due protocolli è che l’HTTPS utilizza una cifratura che rende sicura la comunicazione in ingresso e in uscita.

Viene da sé l’importanza di adottare come standard il protocollo HTTPS, importanza tra l’altro evidenziata ancora una volta da Google. Per incentivare l’adozione del protocollo HTTPS, il colosso di Mountain View, ha deciso di utilizzarlo come fattore di ranking.

Già dal 2014, infatti, Google ha iniziato a modificare l’algoritmo in modo da favorire i siti che utilizzano una connessione sicura adeguandosi allo standard HTTPS.

Sito non sicuro: come risolvere

Come ho spiegato prima, Chrome utilizza tre indicatori diversi per dare informazioni sulla sicurezza della pagina che stai visitando. Le icone a forma di lucchetto, o l’avviso di sito non sicuro, compaiono nella barra degli indirizzi proprio accanto all’URL della pagina a cui sei connesso.

Facendo click su questa icona puoi visualizzare informazioni più dettagliate sulla connessione al sito, il certificato e i cookie.

Connessione Non Sicura Certificato Non Valido

Concentriamoci sul certificato, nell’esempio qui sopra alla voce certificato leggi Non valido, ma Chrome e altri browser ti avvisano che stai visitando un sito non sicuro anche se il certificato SSL è valido. Perché? Come ti dicevo prima, l’avviso si riferisce al protocollo con cui avviene la connessione.

Questo significa che se anche solo un contenuto della pagina viene caricato in HTTP e non in HTTPS, il sito non viene considerato sicuro.

I motivi per cui comparirà l’avviso, quindi, sono dovuti al fatto che l’intera pagina, o anche solo qualche elemento di essa, sta utilizzando la connessione HTTP.

Possiamo riconoscere diverse situazioni e risolvere caso per caso, come vedremo nel prossimo paragrafo. Prima, però, vediamo come escludere un problema con il certificato SSL.

E se il problema è il certificato SSL?

Se, invece, ci fosse un problema con il certificato SSL, cercando di visitare il sito ti ritroveresti davanti ad una pagina di errore del certificato SSL specifica che ti avvisa che il certificato non è valido o è scaduto.

In ogni caso per verificare che il certificato SSL del tuo sito sia valido puoi utilizzare il checker di SSLShopper. Ti basta incollare l’indirizzo nel campo e cliccare su Check SSL per avere informazioni sulla validità del certificato del sito.

Ssl Checker

Puoi verificare la validità del certificato anche direttamente dal browser, cliccando sull’icona del lucchetto, o nel caso di sito non sicuro sulle altre icone di cui abbiamo parlato prima.

Nel caso in cui il certificato non fosse valido o fosse scaduto dovrai acquistarne uno. Con SupportHost tutti i piani dall’hosting condiviso, hosting WordPress, VPS cloud hosting e server dedicati hanno il certificato SSL di Let’s Encrypt già incluso. Se hai esigenze diverse puoi anche acquistare un certificato SSL che si adatti al tuo sito.

Il sito non è in HTTPS

Il caso più comune è che il sito utilizzi ancora il protocollo HTTP e non l’HTTPS, o che non sia stato impostato correttamente durante il passaggio. Se non hai ancora adottato il protocollo HTTP puoi seguire il nostro post su come passare da http a https.

Controlla il redirect da HTTP ad HTTPS

È anche possibile che siano disponibili due versioni del sito (una in HTTP e una in HTTPS). In questo caso, ovviamente, visitando la versione HTTP il browser avviserà che il sito non è sicuro.

Per risolvere basta reindirizzare i visitatori dalla versione HTTP a quella HTTPS. Dopo il passaggio da HTTP a HTTPS devi impostare un reindirizzamento permanente (redirect 301) in modo che chiunque stia visitando il tuo sito lo faccia tramite la connessione sicura. Anche in questo caso puoi seguire i passaggi descritti nel nostro post per impostare il redirect da HTTP a HTTPS.

Presenza di contenuti misti

Un’altra possibilità è quella che nella pagina siano presenti contenuti misti chiamati in inglese mixed content. Vale a dire che parte del contenuto della pagina, come un’immagine, un CSS o uno JavaScript siano caricati in HTTP. In questo caso browser come Chrome avvisano i visitatori del sito con questo genere di avvertenza in cui comunicano che la connessione non è completamente protetta.

Connessione Non Completamente Protetta

Se collegandoti al tuo sito vedi un avviso del genere devi capire quali sono i contenuti che vengono caricati in modo non sicuro.

Raramente può essere che il tema di WordPress carichi le immagini di Gravatar senza usare il protocollo HTTPS. In altri casi anche alcuni plugin possono caricare alcune risorse tramite protocollo HTTP e mostrare, quindi, l’errore.

Di solito gli sviluppatori di temi e plugin non fanno errori di questo tipo. Se il tuo sito mostra questo tipo di errore molto probabilmente l’errore è stato creato nei contenuti o nelle personalizzazione del tema.

Ad esempio potresti aver inserito immagini in http nell’editor oppure un’immagine con url http in un CSS personalizzato.

Per eseguire una scansione del tuo sito alla ricerca di contenuti caricati in HTTP puoi usare il servizio gratuito whynopadlock.

Il servizio esegue una scansione della tua pagina, e ti avvisa in caso di errori, come ad esempio questo form che invia i dati tramite connessione non sicura:

Errore Contenuto Misto Whynopadlock

O questa immagine che viene caricata sul sito usando il protocollo http invece che https:

Errore Mixed Content WordPress

Ricordati che questo strumento esegue l’analisi sulla singola pagina e non su tutto il sito.

Conclusioni

Abbiamo visto in quali casi nei siti web può comparire l’avviso di sito non sicuro. Questo errore può interessare solo alcune specifiche pagine o l’intero sito e può essere dovuto al fatto che il sito non utilizza il protocollo HTTPS.

In alcuni casi sono solo alcuni elementi della pagina che vengono caricati con un protocollo non sicuro (http) e basta capire quali sono per correggere l’errore.

L’avviso di sito non sicuro compariva sul tuo sito web? Sei riuscito a risolvere seguendo i passi del nostro articolo? Fammi sapere qual era il problema che interessava il tuo sito.

Potrebbe interessarti anche:

Attacco Hacker
Il mio sito WordPress è sotto attacco hacker: case study
In questo articolo voglio analizzare, insieme a te, una problematica sorta ad un nostro cliente, gestore di alcuni siti web […]
Come Passare Da Http A Https Con Wordpress
Come passare da http a https con WordPress
Abbiamo pubblicato sul nostro blog delle informazioni relative a Google Chrome e come si comporterà in futuro relativamente ai siti […]
Errore Certificato Ssl
Errore SSL, Certificato non valido
È ormai noto che Google penalizza pesantemente tutti i siti sprovvisti di certificato SSL, ma quando visitiamo un sito e compare […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

crossmenu