Cosa significa “La tua connessione non è privata”? | Come correggere gli errori SSL

Cosa significa l’errore “La tua connessione non è privata”?

Gli utenti potrebbero occasionalmente trovarsi bloccati nel raggiungere un sito web da una “connessione non è un messaggio privato “. Questo errore significa che la connessione tra il client (il dispositivo dell’utente, come un laptop o un tablet) e il server (l’host del sito web) non è crittografata, anche se il dispositivo client si aspettava che fosse crittografata.

Di conseguenza, gli aggressori saranno in grado di vedere cosa fa l’utente sul sito web: i messaggi tra il client e il server vengono inviati in testo normale, invece di essere codificati tramite crittografia. Inoltre, il client non è in grado di verificare che sia connesso al server corretto.

Questo è il motivo per cui il browser dirà “La tua connessione non è privata” o “La tua connessione non è sicura”: non può verificare il server web né crittografare i messaggi per impedire agli aggressori di leggerli.

Questo errore è causato da un problema con il certificato SSL del sito web: manca, oppure è scaduto, o non è stato emesso da un’autorità di certificazione legittima, oppure il client non può accedervi per qualche altro motivo. I certificati SSL sono necessari per servire i siti web su connessioni HTTPS sicure.

Un certificato SSL non valido o mancante è quasi l’equivalente crittografico di un cassiere in un negozio all’angolo che chiede l’identificazione a un uomo per provare che è vecchio abbastanza per acquistare alcolici, e invece di produrre una carta d’identità rilasciata dal governo, tira fuori un pezzo di carta su cui qualcuno ha scritto: “Quest’uomo si chiama Jeff e ha 22 anni”. Questo, ovviamente, è identificazione non legittima. L’uomo in effetti potrebbe non avere 22 anni, e del resto l’uomo potrebbe non essere nemmeno chiamato Jeff. Il cassiere ha ragione a rispondere con sospetto e interrompere del tutto la transazione.

Molto come Jeff, un sito web senza un certificato SSL non può dimostrare la sua identità. Inoltre, un sito web senza un certificato SSL non può “criptare le comunicazioni – immagina se la mancanza di una carta d’identità da parte di Jeff significasse che chiunque nel mondo potesse sentire improvvisamente la conversazione tra Jeff e il cassiere.

  • In Google Chrome, il messaggio di errore è: “La tua connessione non è privata”, seguito da “Gli autori di attacchi potrebbero tentare di rubare le tue informazioni da”
  • In Mozilla Firefox, ” s: “La tua connessione non è sicura”
  • In Microsoft Edge, “s anche” La tua connessione non è sicura “

Spesso gli utenti possono continuare a pagina nonostante questo messaggio, sebbene non sia consigliato. Senza HTTPS, sono possibili diversi attacchi informatici.

Che cos’è un certificato SSL? Che cos’è HTTPS?

Un certificato SSL verifica la proprietà di un sito web e rende possibile l’apertura di una connessione crittografata e sicura. È un file di testo installato su un server web con informazioni come:

  • Data di scadenza del certificato
  • Il nome di dominio per cui è stato emesso il certificato
  • Quale persona, organizzazione o dispositivo possiede il dominio
  • L’autorità di certificazione che ha emesso il certificato
  • La chiave pubblica

Un certificato SSL è necessario per crittografare le comunicazioni da e verso un sito Web utilizzando SSL, o TLS, crittografia. Questo è noto anche come HTTPS.

Se i dati sono crittografati con TLS / SSL, quando qualcuno intercetta i dati andando avanti e indietro tra client e server, a loro sembra una sciocchezza casuale. Se i dati non sono crittografati, qualcuno può intercettarli e leggerli facilmente. La crittografia è come una busta che protegge il contenuto di una lettera personale mentre passa attraverso la posta.

Che cosa causa questo errore SSL?

Una serie di problemi con il certificato SSL può causare l’errore “La tua connessione non è privata”:

Il sito web “s SSL il certificato non è valido o manca. il suo potrebbe essere il caso per una serie di ragioni. Può significare che il certificato SSL presentato elenca il sito Web sbagliato, che il certificato SSL è scaduto o che non esiste alcun certificato SSL quando previsto, ad esempio se un utente digita https://www.example.com in un browser, ma example.com non ha HTTPS.

Il certificato SSL non elenca le variazioni del nome di dominio. Ad esempio, il certificato SSL potrebbe elencare www.example. com, ma non example.com (senza “www”). Ciò accade quando la sezione SAN (Subject Alternative Name) di un certificato SSL non è compilata correttamente. Di conseguenza, il sito web ha un certificato SSL funzionante, ma “è una mancata corrispondenza tra l’URL digitato dall’utente e ciò che è elencato nel certificato. Il browser quindi considera il certificato non valido.

Il server web ha presentato un certificato SSL per il sito web sbagliato. Ciò può accadere quando più siti Web sono ospitati in un indirizzo IP.Se ciascuno di questi siti Web ha il proprio certificato SSL, il server potrebbe non sapere quale certificato SSL mostrare quando un dispositivo client tenta di connettersi in modo sicuro a uno dei siti Web, proprio come quando un pacchetto viene spedito a un complesso di appartamenti ma il numero dell’appartamento non è incluso nell’indirizzo. Un’estensione del protocollo TLS denominata SNI aiuta a prevenire questo errore.

Altre possibili cause includono:

  • Il certificato è autofirmato, il che significa che è stato generato dall’operatore del sito web invece di un’autorità di certificazione di terze parti
  • Il browser non riconosce l’autorità di certificazione che ha emesso il certificato
  • Symantec ha emesso il certificato SSL (tutti i certificati SSL emessi da Symantec non sono affidabili dai principali browser)
  • Il certificato SSL potrebbe avere funzionalità non supportate (come l’utilizzo dell’hash SHA-1 invece di SHA-256)
  • L’orologio del dispositivo client è impreciso e di conseguenza non è in grado di verificare se il certificato SSL è scaduto

Come correggere questi errori del certificato SSL

Per gli utenti

Aggiorna la pagina: Le connessioni di rete comportano molte comunicazioni avanti e indietro tra client e server che per lo più passano inosservate dall’utente. Qualsiasi numero di queste comunicazioni potrebbe non andare correttamente. per questo motivo, è possibile risolvere una serie di errori riprovando e ricaricando la pagina.

Svuota la cache del browser: un browser memorizza alcune informazioni e i contenuti dei siti Web visitati in precedenza in una posizione di archiviazione temporanea nota come “cache”. Svuotare la cache del browser e provare a caricare nuovamente la pagina può avere un effetto simile all’aggiornamento della pagina: il sito web ha una lavagna pulita dal punto di vista del browser e il browser può provare a stabilire nuovamente le connessioni corrette. In alternativa, gli utenti possono anche aprire la pagina in modalità di navigazione in incognito (Chrome), in modalità privata (Firefox e Safari) o in modalità InPrivate (Edge); in queste modalità il browser non accede alla cache.

Reimposta l’orologio: gli utenti possono anche provare a reimpostare l’orologio del proprio computer, che potrebbe essere impreciso, facendo sì che il dispositivo rifiuti erroneamente un certificato SSL scaduto o non valido.

Aggiungi “www”: per aggirare gli errori SAN, gli utenti possono provare a ridigitare il nome del dominio in modo che includa “www” (o qualunque sia il prefisso del dominio).

Usa un browser diverso o aggiorna il browser: le versioni precedenti dei browser potrebbero non supportare le funzionalità necessarie per la crittografia TLS (come SNI). Assicurati di utilizzare le versioni più recenti dei browser.

Per i proprietari di siti web

Ottieni un nuovo certificato SSL: se il certificato è scaduto, obsoleto o autofirmato, un sito web dovrà ottenerne uno nuovo da un’autorità di certificazione (Cloudflare offre certificati SSL gratuiti, insieme a certificati personalizzati per le aziende clienti).

Assicurati che la SAN sia compilata e che i sottodomini siano inclusi: se il certificato SSL è altrimenti valido, assicurati che tutti i vengono elencate le variazioni egittime del dominio. Inoltre, dovrebbero essere elencati i sottodomini – blog.example.com oltre a www.example.com.

Se un sito web non ha HTTPS, assicurati che tutti i backlink siano solo HTTP: Se un utente inavvertitamente tenta di caricare un URL su HTTPS quando il sito web utilizza solo HTTP, potrebbero ricevere questo errore, perché il browser ha tentato di ottenere il certificato SSL del sito web quando non ce n’è uno. Oltre a correggere i backlink, un sito web dovrebbe impostare up reindirizza a HTTP nel caso in cui qualcuno tenti di caricarlo tramite HTTPS. Inoltre, si consiglia vivamente che tali siti Web ottengano certificati SSL.

Cosa significa “La tua connessione a questo sito non è sicura”?

In Chrome, questo messaggio viene visualizzato quando si fa clic su “Non protetto” nella barra del browser quando si è su un sito HTTP. Significa che il sito Web non dispone di un certificato SSL e non utilizza SSL / TLS per la crittografia traffico da e verso il sito. I browser in genere non bloccano i siti Web che non dispongono di HTTPS, ma gli utenti dovrebbero evitare di inserire dati personali, come l ogin credenziali, dati di carte di credito o numeri ID rilasciati dal governo, su siti web non HTTPS.

In che modo Cloudflare aiuta a prevenire questo tipo di errori?

Cloudflare offre SSL / TLS gratuito crittografia per qualsiasi sito Web con SSL universale. I siti Web con crittografia TLS di Cloudflare non dovrebbero riscontrare la maggior parte di questi errori, sebbene dispositivi client configurati in modo errato potrebbero comunque farli apparire di tanto in tanto. Ulteriori informazioni sui certificati SSL gratuiti di Cloudflare. Verifica la presenza di potenziali errori SSL / TLS su Cloudflare Centro diagnostico.

Leave a Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *