HTTPS: quali elementi del sito non sono sicuri?
siti web, e-commerce, seo, web agency, responsive, san benedetto del tronto, ascoli piceno, fermo, teramo, marche, abruzzo
3506
post-template-default,single,single-post,postid-3506,single-format-standard,bridge-core-2.1.3,ajax_fade,page_not_loaded,,qode_grid_1300,qode_popup_menu_push_text_top,qode-content-sidebar-responsive,qode-child-theme-ver-1.0.0,qode-theme-ver-20.0,qode-theme-bridge,wpb-js-composer js-comp-ver-6.1,vc_responsive

HTTPS: quali elementi del sito non sono sicuri?

HTTPS: quali elementi del sito non sono sicuri? - Fabio Gasparrini siti web e grafica a San Benedetto del Tronto e Ascoli Piceno

HTTPS: quali elementi del sito non sono sicuri?

Con la corsa alla messa in sicurezza dei siti web che si sta verificando negli ultimi tempi, capire quali elementi del sito non sono sicuri dopo il passaggio da HTTP ad HTTPS è diventato pressoché vitale. Diciamo che se devi realizzare un sito da zero parti avvantaggiato, poiché una volta acquistato dominio e piano hosting non ti resta che richiedere al tuo provider l’installazione del certificato SSL ed il gioco è fatto, ma se devi migrare un sito esistente da HTTP in HTTPS, allora qualche noia potresti anche riscontrarla.

Su WordPress, una volta attivato il certificato da parte del tuo hosting, non ti resta che andare su Impostazioni > Generali ed aggiungere la “s” all’Indirizzo WordPress (URL) e poi all’Indirizzo sito (URL). Apparentemente sembrerebbe tutto fatto, ma non sempre è così, perché alcune volte se digiti l’indirizzo del tuo sito ti ritrovi l’URL che compare con HTTPS, ma il browser che anziché mostrare l’icona del lucchetto verde che notifica come sicuro il tuo sito, mostra il lucchetto color grigio con un triangolo arancione (nel caso di Firefox) o un’icona Info color grigio (nel caso di Chrome).

Nello specifico, Firefox dice “Alcuni elementi di questa pagina non sono sicuri (ad esempio immagini).“, mentre Chrome dice “La connessione a questo sito non è completamente protetta.“, entrambi i messaggi sono molto chiari, durante la migrazione da HTTP ad HTTPS qualcosa è rimasto incompleto e generalmente i due principali indiziati sono le immagini e i link.

Come faccio a cercare l’elemento o gli elementi che non sono sicuri?

La domanda è più che lecita, anche perché in siti molto grandi sarebbe come cercare il famoso ago nel pagliaio. Per risolvere questo problema esistono molti tool che eseguono una scansione della pagina e cercano gli elementi incriminati rimasti in chiaro, molti di questi tool sono a pagamento, ma ne ho scovato uno gratuito che fa il medesimo lavoro eseguendo un check completo in 5 fasi e generando un report nel quale ti indica quali sono gli elementi non sicuri e ai quali devi rimediare.

Di seguito trovi il link al sito in questione, ti basta solo inserire il tuo URL in HTTPS e tu verrà svelato l’arcano mistero.

Why No Padlock?
23 Commenti
  • Simone
    Pubblicato alle 08:34h, 31 Gennaio Rispondi

    Condivido e ti ringrazio Fabio, era proprio il tool che cercavo per riparare il warning del mixed content!

    • Fabio Gasparrini
      Pubblicato alle 09:01h, 31 Gennaio Rispondi

      Grazie a te Simone, sono felice di esserti stato d’aiuto.

  • Sergio
    Pubblicato alle 22:49h, 05 Luglio Rispondi

    Grazie, molto utile!

    • Fabio Gasparrini
      Pubblicato alle 07:18h, 06 Luglio Rispondi

      Prego Sergio,
      sono felice che ti sia stato utile.

  • Daniela
    Pubblicato alle 09:17h, 20 Agosto Rispondi

    Ciao Fabio,
    il sito da me gestito come nel tuo articolo risulta sicuro su Firefox ma non su Chrome. Da un’analisi tramite il tool da te suggerito, il problema sembrano essere dei link di google font.
    Di seguito alcuni dei link che risultano non aggiornati:
    1) http://themes.googleusercontent.com/static/fonts/raleway/v7/xkvoNo9fC8O2RDydKj12bxsxEYwM7FgeyaSgU71cLG0.woff;
    2)http://themes.googleusercontent.com/static/fonts/raleway/v7/IczWvq5y_Cwwv_rBjOtT0w.woff;
    3) http://themes.googleusercontent.com/static/fonts/raleway/v7/JbtMzqLaYbbbCL9X6EvaIxsxEYwM7FgeyaSgU71cLG0.woff

    Come posso aggiornarli? devo intervenire sul database?
    Grazie mille

    • Fabio Gasparrini
      Pubblicato alle 10:22h, 20 Agosto Rispondi

      Ciao Daniela,
      generalmente, quei link che richiamano i font di Google li trovi o tra i files del tema del sito, oppure come hai giustamente ipotizzato tu, direttamente nel database.
      Nel primo caso potresti far notare il link agli sviluppatori del tema stesso al fine di farlo aggiornare, poiché non sarai la sola ad avere questo tipo di problema.

      • Daniela
        Pubblicato alle 11:23h, 20 Agosto Rispondi

        Ok grazie mille per la tua disponibilità
        Daniela

        • Fabio Gasparrini
          Pubblicato alle 12:58h, 20 Agosto Rispondi

          Di nulla.

  • Massimo
    Pubblicato alle 15:18h, 29 Novembre Rispondi

    Grazie grazie grazie, finalemente il benedetto lucchetto verde 🙂

    • Fabio Gasparrini
      Pubblicato alle 15:46h, 29 Novembre Rispondi

      Prego Massimo, sono contento che ti sia stato utile 😉

  • Paolo Sapio
    Pubblicato alle 19:00h, 17 Aprile Rispondi

    tutto risolto grazie alla “S” mi era sfuggito. grazie mille

    Mi controllate se lo vedete ok?
    https://giornospeciale.it/

    • Fabio Gasparrini
      Pubblicato alle 19:48h, 17 Aprile Rispondi

      Di nulla.
      La “S” si vede ma il sito risulta ancora non sicuro, quindi dovrà ricontrollare e correggere gli errori.
      Buon lavoro.

  • yuri
    Pubblicato alle 08:22h, 15 Maggio Rispondi

    buongiorno Fabio.

    sto leggendo per la prima volta questo aticolo, dopo anni ho ripreso ad aggiornare un sito che inizialmente avevo abbandonato ed ho fatto i dovuti aggiornamenti, in chrome tutto sicuro, invece in firefox mi da errore precisamente 2, volevo chiedere il vostro aiuto cortesenente, non sono molto esperto di siti, ma ho usto il vostro tool e mi da i seguenti problemi:

    1) You currently have TLSv1 enabled.
    This version of TLS is being phased out. This warning won’t break your padlock, however if you run an eCommerce site, PCI requirements state that TLSv1 must be disabled by June 30, 2018.

    2)An image with an insecure url of “http://yuribettinelli.altervista.org/alterpages/sfondo.jpg” was loaded on line: 393 of https://yuribettinelli.altervista.org/.
    This URL will need to be updated to use a secure URL for your padlock to return.

    il sito in questione è https://yuribettinelli.altervista.org

    • Fabio Gasparrini
      Pubblicato alle 09:34h, 15 Maggio Rispondi

      Salve Yuri,
      riguardo al primo avviso dovrebbe contattare direttamente Altervista inviandogli la notifica di errore, in modo che possano modificare tale configurazione lato server.

      Il secondo avviso invece indica che la foto “sfondo.jpg” possiede ancora l’indirizzo in Http anzichè in Https. Personalmente non lavoro con la piattaforma Altervista, ma potrebbe bastare semplicemente reimpostare la stessa foto, la quale dovrebbe poi automaticamente acquisire l’indirizzo Https.
      Se così non fosse, provi ad eliminarla e poi ricaricarla di nuovo come una nuova immagine.

      Saluti.

  • Antonio
    Pubblicato alle 16:57h, 03 Giugno Rispondi

    Grazie per le info, davvero molto utili,
    ho potuto aggiungere la S in http:/ ma il sito risulta ancora non sicuro.

    Ho intenzione di sostituire tutte le immagini caricate dall’esterno con immagini da siti https
    inoltre anche i CSS li caricherò da siti https.. Per una sola pagina ha funzionato e risulta sicura, ma non ancora per tutte le altre pagine, compresa l’home page.

    Ecco il sito in questione, come lo vedete?
    https://www.tangoapalermo.com/

    • Fabio Gasparrini
      Pubblicato alle 17:16h, 03 Giugno Rispondi

      Salve,
      il suo sito risulta ancora insicuro perché deve usare il tool online ripetendo il controllo per ogni singola pagina.
      Il risultato di ogni pagina le fornirà l’elenco dei contenuti non sicuri chiamati “Mixed Content – Errors” che saranno principalmente immagini.
      Una volta corrette tali immagini dotrà poi passare a correggere eventuali errori di URL di codice.

      Saluti

  • Lorenzo
    Pubblicato alle 10:07h, 04 Giugno Rispondi

    Salve, ho appena aggiunto la S al mio sito, tramite Aruba. Esce il lucchetto verde, però sotto mi dice che sono stati bloccati alcuni contenuti. Ho fatto il test e mi dice :

    – Your webserver is not forcing the use of SSL.
    You may want to add a redirect to ensure a secure connection is used. More Info;

    – You currently have TLSv1 enabled.
    This version of TLS is being phased out. This warning won’t break your padlock, however if you run an eCommerce site, PCI requirements state that TLSv1 must be disabled by June 30, 2018.

    – Mixed Content – Errors
    Hard Failure
    A script with an insecure url of “http://ajax.googleapis.com/ajax/libs/jqueryui/1.9.2/jquery-ui.min.js” was loaded on line: 1193 of https://www.egrib.it/.
    This URL will need to be updated to use a secure URL for your padlock to return.

    cosa potrei fare? grazie mille

    • Fabio Gasparrini
      Pubblicato alle 10:28h, 04 Giugno Rispondi

      Salve,
      una volta accertato che il certificato SSL sul suo hosting sia attivo, deve usare il tool online descritto nell’articolo per ogni pagina del suo sito, in questo modo avrà una scansione singola che le notificherà quali elementi non sono sicuri. Generalmente si tratta di immagini che possiedono ancora l’indirizzo http e che necessitano soltanto di essere ricaricate.

      Per quanto riguarda invece le altre notifiche ajax o simili, può provare a contattare direttamente il suo provider, altrimenti chi ha svluppato il sito affinchè corregga le linea di codice indicate.

      Saluti.

  • Lorenzo
    Pubblicato alle 11:05h, 04 Giugno Rispondi

    Grazie per l’immediata risposta. Il sito l’ho fatto io ma non sono espertissimo per capire (riguardo le notifiche ajax) dove andare a lavorare..

  • Lorenzo
    Pubblicato alle 11:43h, 04 Giugno Rispondi

    Mi scusi, ho capito che devo aggiungere la S a un indirizzo poco sicuro che trova nel codice del mio sito

    “http://ajax.googleapis.com/ajax/libs/jqueryui/1.9.2/jquery-ui.min.js” was loaded on line: 1177 of https://www.egrib.it/.

    ma questo indirizzo in che file lo trovo per poterlo modificare?
    grazie mille

    • Fabio Gasparrini
      Pubblicato alle 14:52h, 04 Giugno Rispondi

      Per trovare il file nel quale risiede qul link e gli altri serve un’ispezione interna dei file di installazione del tema, non è possibile farla da esterno.

      Saluti.

  • Miriam
    Pubblicato alle 11:20h, 28 Luglio Rispondi

    Grazie di aver condiviso questo tool! Finalmente vedo il lucchetto verde! 😀

    • Fabio Gasparrini
      Pubblicato alle 19:49h, 28 Luglio Rispondi

      Grazie Miriam,
      sono felice che ti sia stato utile.
      Buon lavoro.

Rispondi a Anonimo Cancella risposta