SSL Shaming: i clienti combattono le cattive pratiche di sicurezza

I tuoi clienti hanno le idee chiare. Vogliono visitare il tuo sito, trovare e acquistare ciò di cui hanno bisogno, ma soprattutto vogliono che i loro dati siano al riparo da occhi indiscreti. 

Sei sicuro di garantire tutto questo nel tuo sito web? Oggigiorno il pericolo di essere il bersaglio del SSL shaming è molto alto. 

In questo articolo chiariremo questa tendenza che sta interessando migliaia di brand online e gli eventuali motivi per i quali se ne può cadere vittime. Buona lettura!   

Quando i browser aggiornano le loro interfacce utente, gli utenti possono imbattersi in messaggi di errore, avvisi che suggeriscono che le connessioni non sono private o che i dati non sono al sicuro. 

Molto spesso questi avvisi impediscono agli utenti di completare le transazioni sul tuo sito web e questo è un problema. Un enorme problema perchè molto probabilmente hai appena perso un cliente! 

Molto spesso gli utenti decidono di condividere questa loro esperienza negativa attraverso i loro profili social come ad esempio Twitter. Il social dei “cinguettii”, come visto con Spotify e GitHub, è la piattaforma preferita quando c’è da denunciare un malfunzionamento relativo ai certificati SSL / TLS.  

Questa pratica si chiama SSL Shaming ed è una tendenza in forte crescita negli ultimi tempi. Sono sempre di più, infatti, i post con l’hashtag #sslshaming che chiedono alle aziende di proteggere i loro sito con certificati SSL/TLS adeguatamente configurati. 

Non commettere anche tu questi errori, che tu sia una Pmi o una grande azienda non fa alcuna differenza. Se non hai abilitato HTTPS o il tuo certificato digitale è scaduto, oppure non è configurato correttamente, i clienti lo scopriranno e chiederanno spiegazioni a riguardo.

Se la risposta a questa domanda è negativa, vuol dire che non hai ancora spostato il tuo sito web su HTTPS. Immagina la rabbia che provano i tuoi clienti quando visitano il tuo sito web e viene mostrato un messaggio di avviso come questo.

Leggi alcuni messaggi di clienti che si sono rivolti a Twitter per denunciare che il sito in cui stavano navigando non ha il protocollo HTTPS attivo.

Questi sono tutti esempi di SSL shaming attraverso cui gli utenti chiedono alle aziende di proteggere il loro sito web. Se sei una di quelle aziende che ancora non utilizza un certificato SSL /TLS, è solo questione di tempo, verrai scoperto anche tu.

La semplice installazione di un certificato SSL / TLS non basta, devi anche assicurarti che il tuo server sia configurato correttamente. Se questo non avviene, i tuoi clienti potrebbero visualizzare messaggi di errore sul tuo sito web.

Non è così grave come non avere affatto un certificato  SSL / TLS, ma dà comunque la cattiva impressione che tu non stia prestando sufficiente attenzione alla sicurezza del tuo sito. In entrambi i casi stai comunque perdendo la fiducia dei tuoi utenti e danneggiando l’immagine del tuo brand. 

Le crittografie SSL / TLS sulla configurazione del server devono essere gestite e allineate con le migliori pratiche. Il tuo server dovrebbe accettare solo TLS 1.2 e 1.3. Puoi scoprire se il tuo server è configurato correttamente utilizzando lo strumento SSL Checker di GlobalSign.

Un altro aspetto da tenere in considerazione per evitare la pratica dello SSL shaming è ovviamente il rinnovo dei certificati digitali. Purtroppo i certificati SSL / TLS non sono eterni e possono avere una durata massima di 13 mesi. 

Una comoda opzione per gestire il ciclo vitale di più certificati digitali, è una piattaforma come Managed PKI. Questo ti dà una vista complessiva di tutte le scadenze imminenti e puoi rinnovare i certificati con un semplice clic.

Un’altra possibilità è quella di utilizzare strumenti per la gestione automatizzata del ciclo di vita dei certificati SSL / TLS. Soluzioni PKI completamente automatizzate come Auto Enrollment Gateway (AEG), infatti, permettono l’automazione dei certificati per server e dispositivi mobile, facilitando la gestione, riducendo il tempo necessario e i costi associati alla gestione di un gran numero di certificati SSL / TLS.  

Qualcosa che molte organizzazioni ancora sottovalutano è che i certificati SSL / TLS non sono tutti uguali. Sebbene tutti crittografino le comunicazioni tra server e client, in realtà sono molto diversi in termini di quantità di informazioni sull’identità incluse e di come queste vengono mostrate nei principali browser. 

In sostanza esistono tre livelli che sono: 

• Convalida del dominio (DV): è il livello più semplice. L’autorità di certificazione (CA) attesta che sei il proprietario di un determinato dominio. Purtroppo gli hacker possono ottenere abbastanza facilmente un certificato SSL DV e utilizzarlo su un sito Web di phishing.
• Convalida dell’organizzazione (OV): l’identità dell’organizzazione viene controllata e inclusa. ma, a differenza di un certificato EV, per visualizzare le informazioni sull’identità della tua azienda gli utenti del tuo sito dovranno visualizzare i dettagli.
• Convalida avanzata (EV): viene eseguita una verifica rigorosa dell’identità dell’organizzazione. Un certificato EV include la maggior parte dei dati aziendali, offrendo la massima credibilità al sito.

Se vuoi veramente che i tuoi clienti si fidino,un certificato SSL EV è la soluzione migliore, poiché la tua identità verificata è presentata in primo piano. Al contrario, se accetti gli estremi di pagamento e le informazioni personali con un certificato DV, il tuo cliente non può essere sicuro che ti stiano davvero fornendo quelle informazioni a te e non ad un hacker.

I clienti sono la cosa più importante per la tua azienda, vero? Se è così allora devi assicurarti di offrire loro la migliore esperienza utente possibile quando questi visitano il tuo sito web.

Per far questo investi e segui le migliori pratiche di navigazione sicura, così da fornire la massima fiducia ai tuoi clienti. Ricorda che Top SSL, rivenditore ufficiale GlobalSign, è al tuo fianco e ti gli strumenti e i prodotti SSL per imprese e privati che vogliono garantire la sicurezza dei propri utenti, rispondere alle minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati SSL / TLS. Non perdere altro tempo prezioso, contattaci!