Categorie
News

Come risolvere gli errori di connessione TLS (SSL)? Metodo step by step

Stai riscontrando un errore di connessione SSL e non sai come risolverlo? Troverai la soluzione più semplice e veloce in questo articolo!

Far girare il tuo sito WordPress su una connessione sicura HTTPS oggi non è più una scelta facoltativa: non si tratta solo di sicurezza (in quanto tutta la comunicazione è crittografata), ma anche di una scelta che crea fiducia negli utenti ed un fattore rilevante nel posizionamento dei motori di ricerca. 

Quando parliamo di HTTPS ci riferiamo al classico protocollo di navigazione sul web (HTTP) che viene crittografato mediante un altro protocollo, il Transport Layer Security (TLS) o – in precedenza – il Secure Sockets Layer (SSL). Per questo si parla anche di HTTP over TLS o HTTP over SSL. Oggi, i problemi di prestazioni legati alla crittografia sono stati risolti – per la maggior parte – grazie alle migliorie introdotte nello stesso HTTP a partire dalla sua versione (HTTP/2). Inoltre, il servizio di Let’s Encrypt, creato da un ente no-profit (Internet Security Research Group, ISRG) ha cambiato l’intero settore fornendo un modo semplice per ottenere certificati di sicurezza gratuiti.

Grazie a questi progetti, i web browser come Google Chrome, Mozilla Firefox e Microsoft Edge hanno deciso di “punire” i siti che non funzionano su HTTPS e oggigiorno mostrano avvisi più severi ai potenziali visitatori. Ad esempio, se il tuo web server utilizza versioni “legacy” (non più supportate) del TLS (o addirittura l’ormai obsoleto SSL), potresti riscontrare notifiche come ERR_SSL_OBSOLETE_VERSION in Chrome. Questo tipo di avvisi sono probabilmente l’ultima cosa che vorresti far vedere ai tuoi visitatori!

Quindi, la migrazione da HTTP a HTTPS è oggi un dovere, ma i  proprietari di siti Web possono riscontrare diversi problemi in questa procedura, in particolare gli “avvisi di contenuto misto“. Vediamo come risolverli in questo articolo!

Errore di connessione SSL/TSL e “avviso di contenuto misto”

Un avviso di contenuto misto viene visualizzato nel browser di un utente quando il sito che sta tentando di visitare carica script o contenuti di tipo HTTPS e HTTP contemporaneamente, ma stiamo parlando di protocolli completamente separati – che non sono pensati per convivere!

Quando esegui la migrazione a HTTPS, tutto deve “girare” su quel protocollo, comprese le immagini, i file JavaScript e così via: bisogna quindi garantire un passaggio completo. 

Ecco qualche esempio classico:

  • Hai appena aggiunto un nuovo plug-in al tuo sito, ma gli sviluppatori hanno usato percorsi assoluti (http://tuodominio.com/style.css) nei loro plugin o temi per collegarsi a CSS e JavaScript, invece di usare percorsi relativi (/style.css)
  • Le tue immagini hanno URL hardcoded (come http://tuodominio.com/image.png) che funzionano su HTTP. Questi potrebbero trovarsi all’interno di post, pagine, widget…
  • Ti stai collegando a versioni HTTP di script esterni (jQuery, Font Awesome, ecc.).

Hai incorporato iframe che hanno come fonte dei video esterni, anche in questo caso con script video che utilizzano HTTP invece di HTTPS.

Come risolvere gli errori di connessione SSL/TLS  (“avviso di contenuto misto”) in 4 passi

Puoi seguire i quattro semplici passaggi seguenti per correggere gli avvisi sui contenuti misti. Prenderemo come esempio un sito WordPress, ma la procedura è analoga per qualsiasi piattaforma.  Questo processo presuppone che tu abbia già, da solo o con l’aiuto del tuo sistemista:

  • Installato un certificato di sicurezza (TLS/SSL) sul tuo web server
  • Reindirizzato il sito, sempre a livello web server, da HTTP a HTTPS

Passaggio 1: scopri quali risorse vengono caricate su HTTP

La prima cosa che devi fare è scoprire quali risorse stanno ancora caricando su HTTP, con i conseguenti errori di connessione SSL / TLS di cui stiamo parlando.

Ricorda che questi avvisi potrebbero verificarsi solo in alcune aree del tuo sito, non a livello globale. Passa alla pagina in cui viene visualizzato l’avviso e avvia Chrome DevTools premendo:

Windows o Linux: F12 o CTRL + Maiusc + I

macOS: Cmd + Opt + I

Oppure, aprendo Chrome DevTools dal menù degli strumenti del tuo browser.

Prima di tutto, puoi controllare la tab Console. Tieni presente che potrebbe essere necessario aggiornare la pagina dopo aver aperto Chrome DevTools per caricare correttamente tutto quello che ci serve. 

Se sono presenti errori di connessione SSL / TLS (contenuto misto), verranno evidenziati in rosso o giallo. In genere, sono accompagnati da informazioni che spiegano che “Questa richiesta è stata bloccata; il contenuto deve essere servito su HTTPS.” Ciò significa che le impostazioni del browser sono configurate per bloccare automaticamente qualsiasi contenuto HTTP.

Nel tentativo di garantire che le pagine vengano caricate solo su HTTPS, Chrome ha iniziato a bloccare i contenuti misti per impostazione predefinita con Chrome 79. Più di recente, ha rilasciato le funzionalità per avviare “l’aggiornamento” automatico (reindirizzamento ad HTTPS) di immagini e contenuti misti. Anche in caso sia Chrome ad ovviare alle mancanze del sito in questo modo, ci avviserà di averlo fatto.

Altra ipotesi è guardare nella tab Sicurezza di Chrome DevTools. Questo ti mostrerà eventuali origini non sicure e le relative richieste bloccate (che, nuovamente, corrispondono ai famosi errori di connessione SSL / TLS).

Se non stai utilizzando Chrome o desideri semplicemente un rapido riepilogo degli errori, puoi anche utilizzare uno strumento gratuito come Why No Padlock, che esegue la scansione di una singola pagina e ti mostra tutte le risorse non sicure.

Se invece sei preoccupato per il resto del tuo sito, potresti volerlo controllare “in blocco”. Ecco alcune opzioni consigliate per farlo:

  • C’è uno strumento gratuito chiamato SSL Check dell’azienda JitBit, che puoi utilizzare per eseguire la scansione del tuo sito HTTPS e cercare immagini e script non sicuri che attiveranno un messaggio di avviso nei browser. Il numero di pagine scansionate è limitato a 400 per sito web.
  • Se stai utilizzando un sito WordPress, potresti considerare SSL Insecure Content Fixer –  un plug-in di WordPress che puoi installare sul tuo sito per scoprire errori che portano ad avvisi di contenuto misto. È gratuito e eseguirà anche automaticamente correzioni per risolvere gli errori.

L’utilizzo di uno qualsiasi degli strumenti di cui sopra può aiutarti a risparmiare tempo nel dover controllare manualmente ogni pagina del  sito per errori di connessione. Per una valutazione approfondita dei potenziali errori, potresti prendere in considerazione l’utilizzo di una combinazione di tutte queste soluzioni.

Passaggio 2: verifica se le risorse HTTP sono accessibili tramite HTTPS

Il passaggio successivo è confermare che le risorse caricate su HTTP siano accessibili su HTTPS. Molto probabilmente lo sono, e devi solo aggiornare i collegamenti.

Basta prendere un indirizzo con “http”, sostituirlo con “https” e verificare che anche quest’ultimo venga caricato. Pertanto, dobbiamo semplicemente fare una ricerca e sostituire i riferimenti sul nostro sito.

Prova Hosting4Agency su un sito a tua scelta per 30 giorni e confronta le prestazioni prima/dopo il periodo di prova!

Passaggio 3: esegui un “ricerca e sostituisci”

Per quello che è il nostro obiettivo (la soluzione di errori SSL / TLS), bisogna passare per una fase di “ricerca e sostituisci”, e per nostra fortuna esistono molti strumenti adatti allo scopo, specialmente su WordPress.

Non siamo fan di strumenti come Really Simple SSL. È meglio non fare affidamento su una soluzione come questa a lungo termine, in quanto non correggono il problema alla radice, ma si limita a fare dei reindirizzamenti. Dato che – speriamo! – non ritornerai a HTTP in seguito, è meglio farlo nel modo giusto e aggiornare i tuoi URL HTTP direttamente nel database.

Piuttosto, è preferibile uno strumento come Better Search Replace, che si occupa anche di dati serializzati e crittografati. Per usare questo plugin, dopo averlo installato, basta fare così:

  • Vai alla pagina Strumenti del tuo sito e fai clic su Better Search Replace
  • Successivamente, nel primo campo, inserisci il valore che desideri cercare nel database, ossia l’indirizzo del sito con HTTP, ad esempio http://www.ilmiosito.com
  • Nel secondo campo inserisci il valore di destinazione, ossia https://www.iliosito.com 
  • Seleziona tutte le tabelle del database
  • Lascia pure le altre opzioni di default, ma (a meno che tu abbia dubbi amletici!) rimuovi pure l’opzione del “dry run”, ossia la simulazione della sostituzione, in modo che i cambiamenti siano effettivi
  • Lancia l’operazione premendo sull’apposito pulsante e aspetta che abbia finito: al termine, vedrai un sommario di tutte le sostituzioni effettuate.

In alternativa, puoi anche fare un “cerca e sostituisci” con la WP-CLI, ma una lunga esperienza sul tema ci porta a preferire Better Search Replace. Laddove ci troviamo ad avere a che fare con database enormi, che (a causa del timeout PHP o del web server) questo plugin non riesce a gestire, allora consigliamo Search Replace DB della Interconnectit, che è utilizzabile in qualunque sito con PHP e MYSQL.

Passaggio 4: conferma che gli avvisi sui contenuti misti siano spariti!

Dopo aver finito di eseguire la ricerca e la sostituzione, è l’ora di controllare che abbiamo davvero risolto gli errori di connessione SSL TLS. Per questo, ti consigliamo di ricontrollare il tuo sito per confermare che gli avvisi di contenuto misto sono spariti.

La procedura di sostituzione è relativamente lineare, ma non priva di insidie: un errore nelle sostituzioni massive significa, perlomeno, la necessità di recuperare un backup! Inoltre, non è detto che tutto vada così liscio: ad esempio, se il nostro sito è stato fatto con Elementor, oppure con il framework BeTheme, potrebbero volerci degli strumenti appositi e specialistici, che non sono quelli generali visti in questo articolo.

Errore di connessione SSL: Riepilogo 

L’ultimo aspetto che devi prendere in considerazione, è che i possibili tipi di errore di connessione SSL / TLS sono molti e in questo articolo ti abbiamo mostrato come risolverne soltanto uno, cioè quello legato ai contenuti del sito web.

Ma i motivi per cui gli errori si possono verificare nuovamente in realtà sono molteplici e ogni circostanza richiede una soluzione specifica. Come puoi immaginare, dover apprendere tutte le soluzioni e soprattutto, saperle applicare tempestivamente, richiederebbe un enorme dispendio di tempo ed energie per chi non è già esperto in questo campo. 

Perciò rivolgersi a dei professionisti in questo caso è sicuramente la strada migliore da percorrere, specialmente se il tuo desiderio è quello di mantenere sempre i tuoi siti web aggiornati, veloci e protetti. 

Potresti così guadagnare molto più tempo per le tue attività principali, rimediare alle “brutte sorprese” che sono sempre dietro l’angolo ed evitare lamentele di ogni tipo da parte dei tuoi clienti. 

Se queste necessità coincidono anche con le tue, allora possiamo fare al caso tuo! Rivolgendoti a noi, non solo potresti adeguare il tuo sito agli standard HTTPS moderni, ma otterresti anche tutte le garanzie ulteriori che offre la nostra agenzia, come i record CAA e lo HSTS.

Per maggiori informazioni sui nostri vantaggi e per richiedere una prova gratuita dei nostri servizi, clicca su questo link

Condividi su: