21 Dic HTTPS: quali elementi del sito non sono sicuri?
Con la corsa alla messa in sicurezza dei siti web che si sta verificando negli ultimi tempi, capire quali elementi del sito non sono sicuri dopo il passaggio da HTTP ad HTTPS è diventato pressoché vitale. Diciamo che se devi realizzare un sito da zero parti avvantaggiato, poiché una volta acquistato dominio e piano hosting non ti resta che richiedere al tuo provider l’installazione del certificato SSL ed il gioco è fatto, ma se devi migrare un sito esistente da HTTP in HTTPS, allora qualche noia potresti anche riscontrarla.
Su WordPress, una volta attivato il certificato da parte del tuo hosting, non ti resta che andare su Impostazioni > Generali ed aggiungere la “s” all’Indirizzo WordPress (URL) e poi all’Indirizzo sito (URL). Apparentemente sembrerebbe tutto fatto, ma non sempre è così, perché alcune volte se digiti l’indirizzo del tuo sito ti ritrovi l’URL che compare con HTTPS, ma il browser che anziché mostrare l’icona del lucchetto verde che notifica come sicuro il tuo sito, mostra il lucchetto color grigio con un triangolo arancione (nel caso di Firefox) o un’icona Info color grigio (nel caso di Chrome).
Nello specifico, Firefox dice “Alcuni elementi di questa pagina non sono sicuri (ad esempio immagini).“, mentre Chrome dice “La connessione a questo sito non è completamente protetta.“, entrambi i messaggi sono molto chiari, durante la migrazione da HTTP ad HTTPS qualcosa è rimasto incompleto e generalmente i due principali indiziati sono le immagini e i link.
Come faccio a cercare l’elemento o gli elementi che non sono sicuri?
La domanda è più che lecita, anche perché in siti molto grandi sarebbe come cercare il famoso ago nel pagliaio. Per risolvere questo problema esistono molti tool che eseguono una scansione della pagina e cercano gli elementi incriminati rimasti in chiaro, molti di questi tool sono a pagamento, ma ne ho scovato uno gratuito che fa il medesimo lavoro eseguendo un check completo in 5 fasi e generando un report nel quale ti indica quali sono gli elementi non sicuri e ai quali devi rimediare.
Di seguito trovi il link al sito in questione, ti basta solo inserire il tuo URL in HTTPS e tu verrà svelato l’arcano mistero.
Why No Padlock?
Simone
Pubblicato alle 08:34h, 31 GennaioCondivido e ti ringrazio Fabio, era proprio il tool che cercavo per riparare il warning del mixed content!
Fabio Gasparrini
Pubblicato alle 09:01h, 31 GennaioGrazie a te Simone, sono felice di esserti stato d’aiuto.
Sergio
Pubblicato alle 22:49h, 05 LuglioGrazie, molto utile!
Fabio Gasparrini
Pubblicato alle 07:18h, 06 LuglioPrego Sergio,
sono felice che ti sia stato utile.
Daniela
Pubblicato alle 09:17h, 20 AgostoCiao Fabio,
il sito da me gestito come nel tuo articolo risulta sicuro su Firefox ma non su Chrome. Da un’analisi tramite il tool da te suggerito, il problema sembrano essere dei link di google font.
Di seguito alcuni dei link che risultano non aggiornati:
1) http://themes.googleusercontent.com/static/fonts/raleway/v7/xkvoNo9fC8O2RDydKj12bxsxEYwM7FgeyaSgU71cLG0.woff;
2)http://themes.googleusercontent.com/static/fonts/raleway/v7/IczWvq5y_Cwwv_rBjOtT0w.woff;
3) http://themes.googleusercontent.com/static/fonts/raleway/v7/JbtMzqLaYbbbCL9X6EvaIxsxEYwM7FgeyaSgU71cLG0.woff
Come posso aggiornarli? devo intervenire sul database?
Grazie mille
Fabio Gasparrini
Pubblicato alle 10:22h, 20 AgostoCiao Daniela,
generalmente, quei link che richiamano i font di Google li trovi o tra i files del tema del sito, oppure come hai giustamente ipotizzato tu, direttamente nel database.
Nel primo caso potresti far notare il link agli sviluppatori del tema stesso al fine di farlo aggiornare, poiché non sarai la sola ad avere questo tipo di problema.
Daniela
Pubblicato alle 11:23h, 20 AgostoOk grazie mille per la tua disponibilitÃ
Daniela
Fabio Gasparrini
Pubblicato alle 12:58h, 20 AgostoDi nulla.
Massimo
Pubblicato alle 15:18h, 29 NovembreGrazie grazie grazie, finalemente il benedetto lucchetto verde 🙂
Fabio Gasparrini
Pubblicato alle 15:46h, 29 NovembrePrego Massimo, sono contento che ti sia stato utile 😉
Paolo Sapio
Pubblicato alle 19:00h, 17 Apriletutto risolto grazie alla “S” mi era sfuggito. grazie mille
Mi controllate se lo vedete ok?
https://giornospeciale.it/
Fabio Gasparrini
Pubblicato alle 19:48h, 17 AprileDi nulla.
La “S” si vede ma il sito risulta ancora non sicuro, quindi dovrà ricontrollare e correggere gli errori.
Buon lavoro.
yuri
Pubblicato alle 08:22h, 15 Maggiobuongiorno Fabio.
sto leggendo per la prima volta questo aticolo, dopo anni ho ripreso ad aggiornare un sito che inizialmente avevo abbandonato ed ho fatto i dovuti aggiornamenti, in chrome tutto sicuro, invece in firefox mi da errore precisamente 2, volevo chiedere il vostro aiuto cortesenente, non sono molto esperto di siti, ma ho usto il vostro tool e mi da i seguenti problemi:
1) You currently have TLSv1 enabled.
This version of TLS is being phased out. This warning won’t break your padlock, however if you run an eCommerce site, PCI requirements state that TLSv1 must be disabled by June 30, 2018.
2)An image with an insecure url of “http://yuribettinelli.altervista.org/alterpages/sfondo.jpg” was loaded on line: 393 of https://yuribettinelli.altervista.org/.
This URL will need to be updated to use a secure URL for your padlock to return.
il sito in questione è https://yuribettinelli.altervista.org
Fabio Gasparrini
Pubblicato alle 09:34h, 15 MaggioSalve Yuri,
riguardo al primo avviso dovrebbe contattare direttamente Altervista inviandogli la notifica di errore, in modo che possano modificare tale configurazione lato server.
Il secondo avviso invece indica che la foto “sfondo.jpg” possiede ancora l’indirizzo in Http anzichè in Https. Personalmente non lavoro con la piattaforma Altervista, ma potrebbe bastare semplicemente reimpostare la stessa foto, la quale dovrebbe poi automaticamente acquisire l’indirizzo Https.
Se così non fosse, provi ad eliminarla e poi ricaricarla di nuovo come una nuova immagine.
Saluti.
Antonio
Pubblicato alle 16:57h, 03 GiugnoGrazie per le info, davvero molto utili,
ho potuto aggiungere la S in http:/ ma il sito risulta ancora non sicuro.
Ho intenzione di sostituire tutte le immagini caricate dall’esterno con immagini da siti https
inoltre anche i CSS li caricherò da siti https.. Per una sola pagina ha funzionato e risulta sicura, ma non ancora per tutte le altre pagine, compresa l’home page.
Ecco il sito in questione, come lo vedete?
https://www.tangoapalermo.com/
Fabio Gasparrini
Pubblicato alle 17:16h, 03 GiugnoSalve,
il suo sito risulta ancora insicuro perché deve usare il tool online ripetendo il controllo per ogni singola pagina.
Il risultato di ogni pagina le fornirà l’elenco dei contenuti non sicuri chiamati “Mixed Content – Errors” che saranno principalmente immagini.
Una volta corrette tali immagini dotrà poi passare a correggere eventuali errori di URL di codice.
Saluti
Lorenzo
Pubblicato alle 10:07h, 04 GiugnoSalve, ho appena aggiunto la S al mio sito, tramite Aruba. Esce il lucchetto verde, però sotto mi dice che sono stati bloccati alcuni contenuti. Ho fatto il test e mi dice :
– Your webserver is not forcing the use of SSL.
You may want to add a redirect to ensure a secure connection is used. More Info;
– You currently have TLSv1 enabled.
This version of TLS is being phased out. This warning won’t break your padlock, however if you run an eCommerce site, PCI requirements state that TLSv1 must be disabled by June 30, 2018.
– Mixed Content – Errors
Hard Failure
A script with an insecure url of “http://ajax.googleapis.com/ajax/libs/jqueryui/1.9.2/jquery-ui.min.js” was loaded on line: 1193 of https://www.egrib.it/.
This URL will need to be updated to use a secure URL for your padlock to return.
cosa potrei fare? grazie mille
Fabio Gasparrini
Pubblicato alle 10:28h, 04 GiugnoSalve,
una volta accertato che il certificato SSL sul suo hosting sia attivo, deve usare il tool online descritto nell’articolo per ogni pagina del suo sito, in questo modo avrà una scansione singola che le notificherà quali elementi non sono sicuri. Generalmente si tratta di immagini che possiedono ancora l’indirizzo http e che necessitano soltanto di essere ricaricate.
Per quanto riguarda invece le altre notifiche ajax o simili, può provare a contattare direttamente il suo provider, altrimenti chi ha svluppato il sito affinchè corregga le linea di codice indicate.
Saluti.
Lorenzo
Pubblicato alle 11:05h, 04 GiugnoGrazie per l’immediata risposta. Il sito l’ho fatto io ma non sono espertissimo per capire (riguardo le notifiche ajax) dove andare a lavorare..
Lorenzo
Pubblicato alle 11:43h, 04 GiugnoMi scusi, ho capito che devo aggiungere la S a un indirizzo poco sicuro che trova nel codice del mio sito
“http://ajax.googleapis.com/ajax/libs/jqueryui/1.9.2/jquery-ui.min.js” was loaded on line: 1177 of https://www.egrib.it/.
ma questo indirizzo in che file lo trovo per poterlo modificare?
grazie mille
Fabio Gasparrini
Pubblicato alle 14:52h, 04 GiugnoPer trovare il file nel quale risiede qul link e gli altri serve un’ispezione interna dei file di installazione del tema, non è possibile farla da esterno.
Saluti.
Miriam
Pubblicato alle 11:20h, 28 LuglioGrazie di aver condiviso questo tool! Finalmente vedo il lucchetto verde! 😀
Fabio Gasparrini
Pubblicato alle 19:49h, 28 LuglioGrazie Miriam,
sono felice che ti sia stato utile.
Buon lavoro.
Roberto
Pubblicato alle 16:21h, 09 AprileCiao Fabio,
ho un problema con firefox..piu’ precisamente non mi carica le immagini della pagina dove voglio entrare(non tutte le immagini…alcune si).Con il tool che mi hai dato sono riuscito a vedere questo:
Why No Padlock?
Home
Results
FAQ
About
Contact
Blog
Features
Signup
Login
TEST RESULTS
Test Information
Tested URL
https://www.bmedonline.it/lr/ib-production-v2
Test completed
Thu, Apr 9, 2020 10:03 AM Eastern Time (GMT -5)
Results URL
https://www.whynopadlock.com/results/0ff74235‑b278‑4219‑af3d‑9e365a9cbc7d
SSL Connection – Pass
SSL Certificate Info
Certificate Issuer
DigiCert Inc
Certificate Type
DigiCert SHA2 Extended Validation Server CA
Issued On
2019-12-06
Force HTTPS
Your webserver is forcing the use of SSL.
Valid Certificate
Your SSL Certificate is installed correctly.
Domain Matching
Your SSL certificate matches your domain name!
Protected Domains:
bmedonline.it
http://www.bmedonline.it
Signature
Your SSL certificate is using a sha256 signature!
Expiration Date
Your SSL certificate is current. Your SSL certificate expires in 244 days. (2020-12-10)
Protocols
You currently have TLSv1 enabled.
This version of TLS is being phased out. This warning won’t break your padlock, however if you run an eCommerce site, PCI requirements state that TLSv1 must be disabled by June 30, 2018.
mi potresti aiutare per vedere poi tutto correttamente?grazie…
Fabio Gasparrini
Pubblicato alle 16:44h, 09 AprileCiao,
difficile aiutarti da remoto ed in un caso di risposta al test così specifico.
In Firefox il risultato non genera errore nei Mixed Content ma nel Protocols con questa dicitura:
Quello che si nota però è che l’URL iniziale che cerchi di testare poi esegue un redirect automatico a questo indirizzo ed il problema potrebbe anche essere lì viste le funzionalità integrate in quella pagina.
Saluti
Max
Pubblicato alle 10:03h, 13 LuglioSalve, a me il tes lo passa https://www.whynopadlock.com/results/26205f5b-7e5e-4182-9ddc-bfb361616377 ma il lucchetto è sempre connessione non sicura
Fabio Gasparrini
Pubblicato alle 16:53h, 13 LuglioSalve,
sembra che il suo sito in realtà risulti non sicuro su Firefox ma sia invece sicuro per Chrome.
Penso quindi che sia più un problema di Firefox che ancora trova qualche “falso positivo”, è anche possibile che sia solo questione di tempo affinchè Firefox lo veda poi come un sito sicuro (a meno che ovviamente non ci sia davvero ancora qualche elemento “nascosto” che viene caricato in HTTP”.
Marco
Pubblicato alle 13:21h, 18 AgostoSalve Fabio,
io so già che se carico una foto in un certo spazio del sito mi scompare il lucchetto dell’SSL dal sito. Vorrei sapere cosa devo fare all’immagine per non andare in conflitto con il SSL. Ho letto in un precedente post che devono essere ricaricate, cosa si intende? Il sito da cui ho preso l’immagine è unsplash ed è lucchettato, non so che fare.
Fabio Gasparrini
Pubblicato alle 15:08h, 18 AgostoSalve Marco,
è abbstanza insolto che accada esattamente in un determinato spazio, motivo per cui dovrebbe iniziare ad indagare già da tale elemento/pagina/sezione.
Se il certificato è installato regolarmente ed il sito è stato poi convertito in HTTPS, tutte le immagini che vengono caricate nel sito da quel momento in poi solitamente non vanno in conflitto, se ciò avviene, significa che c’è qualcosa che non funziona regolarmente, e partendo a ritroso potrebbe dipedere da server, certificato o sito (altri elementi su cui indagare singolarmente).
Sul ricaricare le immagini si intende che, una volta attivato correttamente il certificato, se alcune immagini continuano ad essere segnalate come “non sicure” vanno prima eliminate da WordPress e poi ricaricate riprendedole dal proprio PC (meglio ancora se precedentemente rinominate).
Il fatto di aver scaricato un’immagine da un sito sicuro come Unsplash non influisce poi sul suo.
Saluti.
MR
Pubblicato alle 16:38h, 23 MarzoGRAZIE MILLE! Utile tool online gratuito.
Fabio Gasparrini
Pubblicato alle 17:11h, 23 MarzoPrego! Felice che ti sia servito.
Marco
Pubblicato alle 16:54h, 18 MaggioGrazie mille!
Fabio Gasparrini
Pubblicato alle 17:46h, 18 MaggioPrego!
Ercole
Pubblicato alle 18:07h, 31 AgostoSalve Fabio, ho eseguito il test sicurezza su aptivaimmobiliari.it in Altervista come aptivaimmobiliari.altervista.org.
Oltre a tante immagini in conflitto mi viene richiesto di forzare l’ https in questo modo:
RewriteEngine On
RewriteCond %{HTTP_HOST} aptivaimmobiliari\.it [NC] RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.aptivaimmobiliari.it/$1 [R,L]
Attualmente la mia situazione in htaccess è
# # av:Toolbar
SetEnv AV_TOOLBAR 1
# av:AntiHotlink
RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_URI} \.(gif|jpe?g|png)$ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://([a-z0-9\-\.]*)aptivaimmobiliari\.altervista\.org
RewriteCond %{REQUEST_URI} !^\/_altervista_ht\/
RewriteCond %{HTTP_REFERER} !^http://([a-z0-9\-\.]+)google\.
RewriteRule .*$ http://hl.altervista.org/split.php?http://%{HTTP_HOST}%{REQUEST_URI} [R,L]
# AntiHotlink
Ora non capisco cosa devo modificare o eliminare.
Potresti darmi una mano?
Ti ringrazio anticipatamente e complimenti.
Fabio Gasparrini
Pubblicato alle 19:21h, 31 AgostoSalve,
un paio di premesse importanti.
La prima è che la procedura descritta nell’articolo è indicata per siti sviluppati in WordPress, nei quali prima va installato ed attivato il certificato SSL sul server, e successivamente è necessario modificare gli URL delle impostazioni generali del sito. Il suo sito non essendo in WordPress pertanto non può applicare quest’ultima operazione, inoltre da una prima occhiata entrambi gli indirizzi risultano ancora in HTTP anziché in HTTPS, quindi verificherei prima se sul server è tutto correttamente operativo.
La seconda è che trattandosi di siti sotto il dominio di Altervista, probabilmente per essi l’attivazione e la migrazione in HTTPS richiede una procedura diversa. Onestamente non saprei aiutarla in quanto non ho mai lavorato con tale provider e domini di secondo livello, ma l’unica cosa che posso suggerirle è quella di parlare direttamente con loro e chiedere come completare l’intera procedura, dal certificato iniziale all’eventuale conversione delle immagini.
Saluti.