Proteggi sempre tutti i tuoi siti web con HTTPS, anche se non gestiscono comunicazioni sensibili. Oltre a fornire sicurezza e integrità dei dati fondamentali sia per i siti web sia per le informazioni personali dei tuoi utenti, il protocollo HTTPS è necessario per molte nuove funzionalità del browser, in particolare quelle richieste per le app web progressive.
HTTPS protegge l'integrità del tuo sito web
HTTPS aiuta a impedire a intrusi di manomettere le comunicazioni tra i tuoi siti e i browser degli utenti. Sono inclusi sia gli aggressori intenzionalmente dannosi sia le aziende legittime ma invasive, come gli ISP che inseriscono annunci nelle pagine.
Gli intrusi sfruttano le comunicazioni non protette per indurre con l'inganno gli utenti a fornire informazioni sensibili o a installare malware oppure per inserire le proprie risorse. Ad esempio, alcune terze parti inseriscono annunci che possono interrompere l'esperienza utente e creare vulnerabilità di sicurezza.
Gli intrusi sfruttano ogni risorsa non protetta che si sposta tra i tuoi siti web e i tuoi utenti. Immagini, cookie, script e HTML sono tutti sfruttabili. Le intrusioni possono verificarsi in qualsiasi punto della rete, inclusi il computer di un utente, un hotspot Wi-Fi o un ISP compromesso, giusto per citarne alcuni. HTTPS rende più difficile per gli intrusi accedere alle risorse dei tuoi siti.
HTTPS protegge la privacy e la sicurezza degli utenti
HTTPS impedisce agli intrusi di ascoltare passivamente le comunicazioni tra i tuoi siti web e i tuoi utenti.
Un malinteso comune su HTTPS è che gli unici siti web che necessitano di HTTPS sono quelli che gestiscono comunicazioni sensibili. In effetti, ogni richiesta HTTP non protetta può potenzialmente rivelare informazioni sui comportamenti e sulle identità degli utenti.
Una singola visita a uno dei tuoi siti web non protetti può sembrare benigna, ma alcuni intrusi prendono in considerazione le attività di navigazione aggregate dei tuoi utenti per trarre conclusioni sui loro comportamenti e intenzioni e per anonimizzare le loro identità. Ad esempio, i dipendenti potrebbero divulgare inavvertitamente condizioni di salute sensibili ai propri datori di lavoro semplicemente leggendo articoli medici non protetti.
HTTPS è il futuro del web
Le nuove potenti funzionalità della piattaforma web, come lo scatto di foto o la registrazione di audio
con getUserMedia()
, la possibilità di esperienze nelle app offline con i service worker
o la creazione di app web progressive, richiedono l'autorizzazione esplicita dell'utente
tramite HTTPS. Anche molte API meno recenti, come l'API Geolocation, vengono aggiornate per
richiedere l'autorizzazione per l'esecuzione. HTTPS è un componente chiave dei flussi
di lavoro delle autorizzazioni sia per le funzionalità nuove che per quelle aggiornate.