bg-tutorials

Come risolvere l’errore di contenuto misto SSL

La crittografia dei siti web è praticamente obbligatoria nell’Internet di oggi. Se non cripti il tuo sito, i browser lo segnaleranno come non sicuro. Potresti avere il contenuto più originale del web, ma senza SSL i tuoi visitatori vedranno un fastidioso avviso di sicurezza.

I certificati SSL sono diventati essenziali per la creazione di siti web, ma la loro gestione rimane una sfida per gli utenti meno esperti di tecnologia. L’installazione di certificati commerciali può rappresentare un ostacolo per i meno esperti, e nessuno può biasimarli.

Quasi tutti i server e i client di posta elettronica hanno istruzioni specifiche su come gestire l’SSL e se non hai dimestichezza con le loro dashboard o linee di comando, caricare i certificati nella sequenza corretta può essere difficile.

Ciò che è più fastidioso sono gli errori di connessione SSL che si verificano dopo che hai già installato il certificato. Uno dei problemi SSL più comuni è l’errore di contenuto misto. In questo articolo esamineremo cos’è il contenuto misto e come risolverlo manualmente o con l’aiuto di strumenti SSL. Iniziamo!

Messaggio di errore SSL Mixed Content sul browser

Che cos’è il contenuto misto?

I contenuti misti appaiono su un sito quando l’HTML iniziale viene caricato tramite una connessione HTTPS crittografata, ma altre risorse come video, immagini, script e fogli di stile vengono caricate tramite una connessione HTTP non crittografata. Quando le richieste HTTP e HTTPS avvengono nella stessa pagina, i browser possono bloccare il contenuto o visualizzare un avviso di sicurezza per avvisare gli utenti che la pagina in questione contiene risorse non sicure.

Esistono due tipi di contenuti misti: passivi e attivi.

1. Contenuto misto passivo

I contenuti misti passivi si riferiscono a tutte le risorse che non interagiscono direttamente con la tua pagina. Si tratta di immagini, video o file audio. Se gli hacker utilizzano attacchi man-in-the-middle e intercettano le tue richieste HTTP, possono modificare le tue immagini, sostituire i prodotti con contenuti offensivi o annunci pubblicitari o scambiare i pulsanti di salvataggio e cancellazione, facendo compiere agli utenti azioni non volute.

Anche se gli aggressori non alterano i tuoi contenuti, possono comunque tracciare i tuoi utenti e le loro azioni utilizzando richieste di contenuti misti. Gli aggressori possono vedere le pagine e i prodotti che gli utenti visitano in base alle risorse insicure caricate dai browser. Ecco alcuni esempi di passaggio di contenuti misti.

2. Contenuto attivo misto

I contenuti misti attivi sono ancora più pericolosi di quelli passivi perché interagiscono con la pagina nel suo complesso e danno agli aggressori la libertà di farci qualsiasi cosa. I contenuti misti attivi comprendono fogli di stile, script, risorse flash e altro codice che i browser caricano. Se gli aggressori intercettano i contenuti misti attivi, ottengono il pieno accesso e controllo del tuo sito web. Nel peggiore dei casi, rubano le credenziali di accesso e le password degli utenti o li reindirizzano a un sito diverso. A causa della gravità delle minacce legate ai contenuti misti attivi, molti browser li bloccano per impostazione predefinita per proteggere gli utenti. Tuttavia, è importante tenere presente che i tuoi visitatori potrebbero utilizzare versioni vecchie del browser o browser che non bloccano affatto i contenuti misti attivi.

I ragazzi di PULNO, un servizio di audit SEO e di analisi dei siti web, hanno esaminato oltre 37 milioni di pagine e hanno scoperto che oltre 2 milioni di pagine presentavano risorse che non si caricavano su HTTPS. Di tutti gli host analizzati, il 4,9% presentava contenuti misti. Tra questi, il 66,5% aveva problemi con le immagini e il 17,1% con gli elementi JavaScript.

Come puoi vedere, il passo successivo all’installazione dell’SSL è quello di assicurarsi che tutte le immagini e il codice vengano caricati tramite HTTPS. Sfortunatamente, molti webmaster trascurano questo aspetto e finiscono per ritrovarsi con errori misti, perdendo così visitatori a vantaggio della concorrenza. Di seguito ti mostreremo come risolvere i contenuti misti il prima possibile, in modo che il tuo sito web rimanga visibile a tutti.

Come risolvere manualmente i contenuti misti?

La prima cosa che devi fare se ti appare il messaggio Not Secure nei browser è verificare la presenza di potenziali contenuti misti.

Ecco come fare in Chrome:

  1. Fai clic con il tasto destro del mouse su un punto qualsiasi della pagina che non viene caricata tramite HTTPS.
  2. Tra le opzioni, seleziona Ispeziona elemento
  3. Dalle schede disponibili seleziona Console

Se nel tuo sito sono presenti contenuti misti, la Console visualizzerà gli avvisi di contenuto misto e mostrerà la posizione del file HTTP. I contenuti misti passivi appariranno con un avviso giallo, quelli attivi con un avviso rosso.

Se solo alcuni URL sono elencati in questi errori e avvisi, puoi risolverli manualmente in tre rapidi passaggi:

Passo 1

Assicurati che l’URL sia disponibile su HTTPS. Apri una nuova scheda nel tuo browser e inserisci l’URL nella barra degli indirizzi cambiando http:// in https://.

Se l’immagine viene caricata senza errori sia su HTTP che su HTTPS, bene! Passa al passo successivo.

Nota: se appare un avviso di certificato, significa che l’immagine non è disponibile in modo sicuro. Questo può accadere con le immagini ospitate su servizi esterni. In questo caso, puoi scaricare l’immagine e caricarla sul tuo host se sei autorizzato a farlo, oppure rimuoverla completamente dal tuo sito. Come regola generale, dovresti sempre ospitare le immagini sul tuo server. In questo modo avrai il controllo completo delle immagini.

Passo 2

Cambia l’URL da http:// a https:/, salva il file sorgente e distribuisci nuovamente il file aggiornato, se necessario.

Passo 3

Apri la pagina in cui hai riscontrato l’errore di contenuto misto e verifica che l’errore non venga più visualizzato.

Come risolvere automaticamente i contenuti misti?

Sostituire un paio di link è facile, ma cosa fare se hai decine o addirittura centinaia di link a contenuto misto. C’è un modo per sistemarli automaticamente? Certo che sì. La maggior parte dei sistemi CMS dovrebbe avere dei plugin pronti ad assisterti in questo problema. WordPress, ad esempio, non è a corto di opzioni: il plugin Really Simple SSL è una scelta popolare.

Se sei un utente più avanzato, puoi utilizzare questo pratico script per cercare nel tuo database e sostituire in massa gli URL HTTP. Per caricare lo script è necessario un accesso FTP. Fai attenzione perché, se non è corretto, può danneggiare il tuo sito.

Segui queste istruzioni di sicurezza quando usi lo script:

  1. Rinomina la cartella principale dello script in modo che gli hacker non la trovino facilmente.
  2. Esegui il backup del sito e del database prima di utilizzare
  3. Controlla sempre due volte il testo e fai una prova a secco (pratica) prima di una prova in diretta.
  4. Elimina lo script dopo che ha fatto il suo lavoro

Come individuare e prevenire i contenuti misti?

Dopo aver abilitato gli HTTP, devi controllare che il tuo certificato SSL non presenti errori e vulnerabilità. Molti strumenti possono scansionare il tuo sito web e rilevare potenziali errori di connessione SSL, compresi i contenuti misti.

JitBit Scanner è uno strumento gratuito che analizza l’intero sito web alla ricerca di risorse non sicure. Tieni presente che con questo strumento puoi scansionare solo fino a 400 pagine.

Un’opzione alternativa è Mixed Content Scan, uno script CLI (interfaccia a riga di comando) che esegue il crawling e la scansione dei siti web abilitati HTTPS alla ricerca di contenuti misti.

Un altro modo per risolvere automaticamente i contenuti misti è la direttiva CSP (content security policy) upgrade-insecure-requests. Questa direttiva indica al browser di aggiornare gli URL insicuri prima di effettuare le richieste di rete.

Puoi abilitare questo comportamento aggiungendo il seguente frammento di codice nella sezione HTML dei documenti.

Tieni presente che se la risorsa HTTP non è disponibile su una connessione sicura, i browser non riusciranno ad aggiornarla e a caricarla. Tuttavia, i visitatori potranno comunque accedere alla tua pagina.

Pensieri finali

Mantenere il tuo sito sicuro è un imperativo nell’attuale panorama online. Con la crittografia del web che ha superato la soglia del 90% sia per i servizi di Google che per quelli di Firefox, gli utenti individuano e contestano immediatamente un sito web non sicuro. Non vorrai certo che il tuo sito dia un’impressione sbagliata a causa di un errore di contenuto misto facilmente evitabile. Controlla regolarmente il tuo certificato SSL e aggiorna tutti i tuoi link non appena passi all’HTTPS. Un sito web sicuro è un sito sicuro sia per i tuoi visitatori che per la tua azienda.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.