Blog - Ultime notizie
Hsts – Come Usare Http Strict Transport Security

HSTS – Come usare HTTP Strict Transport Security

È molto importante garantire la sicurezza del tuo sito, soprattutto quando si tratta di proteggersi dagli hacker. Ci sono molte misure da adottare e best practice da seguire per garantire che l’accesso al tuo sito sia bloccato. Se il tuo sito gira su HTTPS, allora una delle misure che ti consigliamo di implementare è l’header di sicurezza HSTS, in quanto può aiutarti a prevenire gli attacchi man-in-the-middle (MitM) e il cookie hijacking.

Cos’è l’HSTS (Strict Transport Security)?

HSTS sta per HTTP Strict Transport Security ed è stato definito dall’IETF nella RFC 6797 nel 2012. È stato creato come soluzione per forzare il browser a utilizzare connessioni sicure quando un sito è in esecuzione su HTTPS. Si tratta di un header di sicurezza che si aggiunge al server web e si riflette nell’header di risposta come Strict-Transport-Security. HSTS è importante perché indirizza le seguenti anomalie:

  • Qualsiasi tentativo da parte dei visitatori di utilizzare la versione non sicura (HTTP://) di una pagina del tuo sito sarà automaticamente inoltrata alla versione sicura (HTTPS://).
  • I vecchi preferiti HTTP salvati nei vari browser e le persone che digitano la versione HTTP del tuo sito ti espongono ad attacchi man-in-the-middle. Si tratta di attacchi in cui l’aggressore altera la comunicazione tra le parti e fa loro credere di essere ancora in comunicazione tra loro.
  • Non consente di ignorare il messaggio del certificato non valido che, a sua volta, protegge il visitatore.
  • Cookie hijacking: Questo può accadere quando qualcuno ruba un cookie di sessione su una connessione non sicura. I cookie possono contenere ogni tipo di preziose informazioni, come informazioni sulla carta di credito, nomi, indirizzi, ecc.

Come settare HSTS sul tuo sito

Di solito si aggiunge un redirect 301 quando si fa un redirect da HTTP a HTTPS. Google ha affermato ufficialmente che è possibile utilizzare insieme sia i redirect 301 del server che l’intestazione HSTS.

Esistono diversi tipi di direttive e/o livelli di sicurezza che possono essere applicati all’intestazione HSTS. Di seguito è riportato il più semplice, che utilizza la direttiva max-age. Questa definisce il tempo in secondi durante il quale il server web deve consegnare solo attraverso HTTPS.

Attivare HSTS in Apache

Aggiungete il seguente codice al tuo file host virtuale.

Header always set Strict-Transport-Security max-age=31536000

Attivare HSTS in NGINX

Aggiungete il seguente codice al file config di NGINX.

add_header Strict-Transport-Security "max-age=31536000";

In effetti, l’aggiunta dell’header HSTS offre dei vantaggi in termini di prestazioni. Se qualcuno prova a visitare il tuo sito via HTTP, invece di creare una richiesta HTTP, questo viene semplicemente reindirizzato alla versione HTTPS.

Preload HSTS

C’è anche il preload HSTS. Questo è fondamentalmente collocare il tuo sito web e/o il tuo dominio in un elenco HSTS approvato, integrato nel browser. Google compila ufficialmente questo elenco ed è utilizzato da Chrome, Firefox, Opera, Safari, IE11 e Edge. Potete trasmettere il tuo sito all’elenco ufficiale HSTS preload.

Tuttavia, per essere idonei, è necessario soddisfare alcuni requisiti aggiuntivi.

  • Il server deve avere un certificato SSL/TLS valido.
  • Reindirizzare tutto il traffico verso HTTPS.
  • Servire HSTS sul dominio principale.
  • Servire tutti i sottodomini su HTTPS, in particolare il sottodominio www, se esiste.
  • La scadenza deve essere di almeno 1 anno (31536000 secondi)
  • Deve essere specificata la direttiva token includeSubdomains
  • Deve essere specificata la direttiva token preload.

Per fare tutto questo è necessario aggiungere all’intestazione HSTS gli ulteriori sottodomini e le direttive di preload.
Di seguito è riportato un esempio dell’intestazione HSTS aggiornata.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

Come verificare l’Header HSTS

Ci sono alcuni semplici modi di controllare se l’HSTS funziona sul tuo sito. Potete lanciare Google Chrome Devtools, fare clic sulla scheda “Network” e guardare nella scheda delle intestazioni. Come potete vedere qui sotto, sul questo sito web viene assegnato il valore HSTS “strict-transport-security: max-age=63072000”.

Hsts – Come Usare Http Strict Transport Security

Hsts – Come Usare Http Strict Transport Security

Per controllare l’header strict-transport-security attraverso uno strumento esterno puoi effettuare la scansione del tuo sito con uno strumento online gratuito come securityheaders.com, che ti dirà se l’header strict-transport-security viene applicato o meno.

Effetti dell’HSTS sulla SEO

Dopo che il tuo sito web è stato approvato e incluso nell’elenco di HSTS preload, potreste notare avvertimenti da parte di Google Search Console, o altri strumenti SEO di terze parti, sui redirect 307. Questo perché, quando qualcuno tenta di visitare il tuo sito via HTTP, adesso nel browser avviene un redirect 307 invece di un redirect 301. Di solito, un redirect 307 viene utilizzato solo per i reindirizzamenti temporanei. Un redirect 301 viene, invece, utilizzato per gli URL che sono stati spostati in modo permanente. Quindi non dovrebbe usare un redirect 301? E che dire degli effetti sulla SEO?

Beh, in realtà, un redirect 301 avviene comunque dietro le quinte. Il redirect 307 avviene a livello di browser, non a livello di server. È possibile far girare il sito su uno strumento che controlla il redirect a livello di server, come httpstatus, e vedrai che, in realtà, un redirect 301 c’è ancora. Pertanto, non dovete preoccuparti che l’header HSTS possa avere un impatto sulla tuo SEO.

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Contattami se ti servono informazioni relative a HSTS – Come usare HTTP Strict Transport Security





    Servizi correlati

    Conoscenza di CMS

    Conoscenza di CMS

    I principali CMS che conosco sono: Wordpress, Drupal, Prestashop, Magento. In questa breve lista li ho messi in ordine di esperienza acquisita.

    Gestire un sito web

    Gestire un sito web

    Hai commissionato un sito web, con gallerie fotografiche, slide show, animazioni JQuery e lo lasci invariato per anni? Pensi che il tuo biglietto da visita in internet debba rimanere statico come la brochure che hai fatto stampare e che viene...

    La mia conoscenza del CMS Wordpress

    La mia conoscenza del CMS Wordpress

    Sviluppo siti internet in Wordpress da almeno 15 anni e in questo tempo ho avuto modo di personalizzarlo in ogni modo, in ambito di vendita o di lead generation

    Standard di sicurezza

    Standard di sicurezza

    Valutare se un sito è stato bucato o meno, quali standard di sicurezza usare per evitare che questo succeda di nuovo. Applicare il certificato HTTPS alla navigazione e fare in modo che tutte le url vengano redirette in navigazione sicura,...

    Altri servizi

    API

    API

    Uso e gestione delle varie librerie Api esistenti: Google Analytics, Google Maps, Fatture in cloud, Sendowl, Ebay, Amazon, ecc.. Lettura di dati tramite JSON, ecc…

    Conoscenza di CMS

    Conoscenza di CMS

    I principali CMS che conosco sono: Wordpress, Drupal, Prestashop, Magento. In questa breve lista li ho messi in ordine di esperienza acquisita.

    Creazione di Landing Page

    Creazione di Landing Page

    La landing page è una pagina specifica che viene raggiunta da un visitatore dopo aver cliccato solitamente su un link o su un annuncio pubblicitario. E’ strutturata in modo da espandere l’argomento trattato nel link o annuncio e per convertire...

    Gestire un sito web

    Gestire un sito web

    Hai commissionato un sito web, con gallerie fotografiche, slide show, animazioni JQuery e lo lasci invariato per anni? Pensi che il tuo biglietto da visita in internet debba rimanere statico come la brochure che hai fatto stampare e che viene...

    Invio email, gestione, creazione, G Suite

    Invio email, gestione, creazione, G Suite

    Gli strumenti per l’invio dei messaggi elettronici sono molti e tutti diversi. Alcuni mettono a disposizione molti strumenti, altri meno. Alcuni sono flessibili, altri meno. E comunque può succedere che l’email non arrivi al destinatario per i molteplici motivi: DKIM,...

    Matomo

    Matomo

    Se stai cercando un’alternativa libera a Google Analytics per monitorare il tuo sito web, Matomo è la scelta giusta per te. Questo software open source ti offre una vasta gamma di strumenti per analizzare i visitatori del tuo sito, come...

    Moduli e GDPR

    Moduli e GDPR

    GDPR, Privacy policy, cookie policy, moduli per la raccolta dei dati conformi allo standard della privacy policy, analisi e determinazione di quello che serve per essere in regola col regolamento GDPR.

    Servizi di Hosting

    Servizi di Hosting

    Ti trovi con un sito internet già portato a termine ma che sembra lento, poco navigabile (in termini di velocità) o a volte ti trovi schermate di errore (solitamente di memory limit) che non sai come interpretare, ma che spariscono...

    Social Network, Google Merchant

    Social Network, Google Merchant

    Come usare i social network in modo da rendere in tuo sito internet interconnesso ad essi. Invio di articoli ai Social Network, invio prodotti attraverso i feed, Google Merchant.

    Standard di sicurezza

    Standard di sicurezza

    Valutare se un sito è stato bucato o meno, quali standard di sicurezza usare per evitare che questo succeda di nuovo. Applicare il certificato HTTPS alla navigazione e fare in modo che tutte le url vengano redirette in navigazione sicura,...

    Sviluppo di siti internet

    Sviluppo di siti internet

    Nel corso degli anni ho acquisito un’ottima conoscenza dello sviluppo di siti web. Ho lavorato su un’ampia gamma di progetti che mi hanno richiesto di sviluppare diverse competenze. Ho lavorato a piccoli siti web con solo una o due pagine,...

    Tutti i prodotti Google

    Tutti i prodotti Google

    Uso quotidianamente tutti i prodotti Google e ne sperimento le loro potenzialità. Tutti i giorni ho a che fare con Gmail, Gsuite, Google Analytics, Google Tag Manager, Google Search Console, Drive, Youtube, My Business, Maps, Documenti, Fogli (Google Sheet), Presentazioni,...

    Hai un problema con il web?

    Il tuo sito internet non vuole funzionare? Vuoi rinnovarlo o sistemarlo? Hai un’idea di integrazione ma non sai se è possibile realizzarla o meno?

    Testimonianze

    Ho avuto il piacere di collaborare con Sara in diversi miei progetti. Ho sempre apprezzato la cura e l’impegno con cui prende in carico i suoi compiti. Tra le sue doti migliori spiccano la puntualità e la disponibilità nel risolvere questioni non prettamente attinenti alla sua area…

    Incredibile mente. Non conosce sosta finchè la problematica non viene risolta. Ha trasformato il mio sito vetrina costruito con un CMS desueto in un Ecommerce Drupal + Ubercart. I prodotti sono stati importati nel nuovo CMS attraverso un import e un crawler interamente scritto a mano.

    Stavo avendo problemi con la Web Agency a cui mi ero affidato. Mi avevano promesso un sistema di booking online completamente personalizzato. Ma non riuscivano a portarlo a termine. Per fortuna, ad un certo punto del progetto, è intervenuta Sara, che lo ha portato a termine.

    Skills in cui sono forte

    PHP7
    Html5
    Sviluppo web
    Google Analytics
    API di qualsiasi tipo
    Google Tag Manager
    jQuery
    Css3
    Trasferimento e acquisto domini
    Wordpress
    Drupal

    Recensioni

    Flavio Corò
    Flavio Corò
    22/09/2023
    Ho avuto il piacere di contattare la Sig.ra Sara tramite suggerimento da parte di un mio cliente per riisolvere una pratica burocratica/lavorativa e devo dire che la VELOCITÀ, PROFESSIONALITÀ, e COMPETENZA fanno parte del Suo bagaglio lavorativo,qualita al giorno d'oggi per niente scontate.Pienamente soddisfatto.
    Sonico Beauty
    Sonico Beauty
    17/01/2023
    Sara ci ha aiutato a risolvere piu' problemi in pochi minuti e con molta professionalità. Massima disponibilità e grande conoscenza nel mondo web. Assolutamente consigliata. Grazie mille
    Studio Legale Avvocato Armando Baffioni Venturi
    Studio Legale Avvocato Armando Baffioni Venturi
    07/11/2022
    Contattata tramite il suo sito web si è rivelata una persona affabile e preparata, pronta nel recepire le mie necessità e nel darmi le indicazioni corrette da seguire. Assolutamente da consigliare anche per assistenze e consulenze da remoto.
    Hermann Gils
    Hermann Gils
    28/10/2022
    Molto esperta, preparata e competente!
    Antonio Cimadomo
    Antonio Cimadomo
    07/08/2022
    Definire La Sig.a Sara Gasparini persona capace, Umile, molto intelligente e disponibile è il minimo che si possa fare. E' stata una grande emozione per me averla 'scovata'. Persone come Sara alzano, e di tanto, il livello sociale/culturale. Ringrazio ancora Sara per esserci.... Antonio p.s. Peccato ci siano solo 5 stelle :-(
    Max R_DJ
    Max R_DJ
    16/06/2021
    Molto professionale e preparata, ha risolto subito un mio problema inerente alle recensioni Google sul mio sito web. Complimenti Sara!
    Fabrizio Aureli
    Fabrizio Aureli
    18/03/2021
    Ottima collaboratrice

    Lasciami una recensione