Proteggi sempre tutti i tuoi siti web con HTTPS, anche se non gestiscono comunicazioni sensibili. Oltre a fornire requisiti di sicurezza fondamentali e integrità dei dati sia per i tuoi siti web che per le informazioni personali degli utenti, HTTPS è obbligatorio per molte nuove funzionalità del browser, in particolare quelle richieste per le app web progressive.
HTTPS protegge l'integrità del tuo sito web
HTTPS aiuta a impedire agli intrusi di manomettere la comunicazione tra i tuoi siti e i browser dei tuoi utenti. Gli intrusi includono sia malintenzionati che aziende legittime ma intrusive, come i provider di servizi internet che inseriscono annunci nelle pagine.
Gli intrusi sfruttano le comunicazioni non protette per indurre con l'inganno gli utenti a fornire informazioni sensibili o a installare malware oppure per inserire le proprie risorse. Ad esempio, alcune terze parti inseriscono annunci che possono compromettere l'esperienza utente e creare vulnerabilità di sicurezza.
Gli intrusi sfruttano ogni risorsa non protetta che viaggia tra i tuoi siti web e i tuoi utenti. Immagini, cookie, script e HTML sono tutti sfruttabili. Le intrusioni possono verificarsi in qualsiasi punto della rete, inclusi il computer di un utente, un hotspot Wi-Fi o un ISP compromesso, solo per citarne alcuni. HTTPS rende più difficile l'accesso alle risorse dei tuoi siti da parte di intrusi.
HTTPS protegge la privacy e la sicurezza dei tuoi utenti
HTTPS impedisce agli intrusi di ascoltare passivamente le comunicazioni tra i tuoi siti web e i tuoi utenti.
Un errore comune relativo a HTTPS è che gli unici siti web che ne hanno bisogno sono quelli che gestiscono comunicazioni sensibili. Infatti, ogni richiesta HTTP non protetta può potenzialmente rivelare informazioni sui comportamenti e sulle identità degli utenti.
Una singola visita a uno dei tuoi siti web non protetti potrebbe sembrare innocua, ma alcuni intrusi esaminano le attività di navigazione aggregate degli utenti per trarre inferenze sui loro comportamenti e sulle loro intenzioni e per deanonimizzare le loro identità. Ad esempio, i dipendenti potrebbero divulgare inavvertitamente condizioni di salute sensibili ai propri datori di lavoro semplicemente leggendo articoli medici non protetti.
HTTPS è il futuro del web
Le nuove e potenti funzionalità della piattaforma web, come scattare foto o registrare audio
con getUserMedia(), attivare esperienze app offline con i service worker
o creare app web progressive, richiedono l'autorizzazione esplicita dell'utente
tramite HTTPS. Anche molte API precedenti vengono aggiornate per richiedere l'autorizzazione
per l'esecuzione, ad esempio l'API Geolocation. HTTPS è un componente chiave dei flussi di lavoro delle autorizzazioni per le funzionalità nuove e aggiornate.