Proteggi sempre tutti i tuoi siti web con HTTPS, anche se non gestiscono comunicazioni sensibili. Oltre a fornire sicurezza e integrità dei dati fondamentali sia per i tuoi siti web che per le informazioni personali dei tuoi utenti, HTTPS è obbligatorio per molte nuove funzionalità del browser, in particolare quelle richieste per le app web progressive.
HTTPS protegge l'integrità del tuo sito web
HTTPS aiuta a impedire agli intrusi di manomettere le comunicazioni tra i tuoi siti e i browser dei tuoi utenti. Gli intrusi includono sia gli autori di attacchi intenzionalmente dannosi sia aziende legittime, ma intrusive, come gli ISP che inseriscono annunci nelle pagine.
Gli intrusi sfruttano le comunicazioni non protette per indurre gli utenti a fornire informazioni sensibili o installare malware oppure per inserire le proprie risorse. Ad esempio, alcune terze parti inseriscono annunci che possono interrompere l'esperienza utente e creare vulnerabilità di sicurezza.
Gli intrusi sfruttano ogni risorsa non protetta che passa tra i tuoi siti web e i tuoi utenti. Immagini, cookie, script e HTML sono tutti sfruttabili. Le intrusioni possono verificarsi in qualsiasi punto della rete, ad esempio sulla macchina di un utente, su un hotspot Wi-Fi o su un ISP compromesso, solo per citarne alcuni. HTTPS rende più difficile per gli intrusi accedere alle risorse dei tuoi siti.
HTTPS protegge la privacy e la sicurezza dei tuoi utenti
HTTPS impedisce agli intrusi di ascoltare passivamente le comunicazioni tra i tuoi siti web e i tuoi utenti.
Un malinteso comune su HTTPS è che gli unici siti web che richiedono HTTPS sono quelli che gestiscono comunicazioni riservate. Infatti, ogni richiesta HTTP non protetta può potenzialmente rivelare informazioni sui comportamenti e sulle identità dei tuoi utenti.
Una singola visita a uno dei tuoi siti web non protetti potrebbe sembrare innocua, ma alcuni malintenzionati esaminano le attività di navigazione aggregate dei tuoi utenti per dedurre i loro comportamenti e le loro intenzioni e deanonimizzare le loro identità. Ad esempio, i dipendenti potrebbero divulgare inavvertitamente condizioni di salute sensibili ai loro datori di lavoro semplicemente leggendo articoli medici non protetti.
HTTPS è il futuro del web
Nuove potenti funzionalità della piattaforma web, come scattare foto o registrare audio con getUserMedia(), attivare esperienze con app offline con i service worker o creare app web progressive, richiedono l'autorizzazione esplicita dell'utente tramite HTTPS. Molte API precedenti vengono anche aggiornate in modo da richiedere l'autorizzazione per l'esecuzione, ad esempio l'API Geolocation. HTTPS è un componente chiave dei flussi di lavoro per le autorizzazioni sia per le funzionalità nuove che aggiornate.