Configurare HSTS con Really Simple SSL: HTTP Strict Transport Security
HTTP Strict Transport Security (HSTS) è una delle misure di sicurezza più importanti che puoi implementare sul tuo sito WordPress. Questo header istruisce il browser a comunicare con il tuo sito esclusivamente via HTTPS, eliminando la possibilità che un utente acceda accidentalmente alla versione HTTP. Really Simple SSL rende la configurazione di HSTS semplice e sicura. Vediamo come funziona e come implementarlo correttamente.
Cos’è HSTS e Perché è Importante
HSTS è un header di sicurezza HTTP (Strict-Transport-Security) che dice al browser: “da ora in poi, per i prossimi X secondi, connettiti a questo dominio solo tramite HTTPS, anche se l’utente digita http:// o clicca un link HTTP”.
Perché è necessario, se hai già il redirect 301 da HTTP a HTTPS? Il problema è che il redirect 301 avviene dopo che il browser ha già inviato la prima richiesta in HTTP. Questa prima richiesta non crittografata rappresenta una finestra di vulnerabilità: un attaccante sulla stessa rete (ad esempio su un Wi-Fi pubblico) potrebbe intercettare quella richiesta iniziale e reindirizzare l’utente verso un sito malevolo.
Questo tipo di attacco si chiama SSL stripping: l’attaccante si interpone tra il browser e il server, mantenendo una connessione HTTP con il browser e una connessione HTTPS con il server. L’utente crede di essere su un sito sicuro, ma in realtà i suoi dati passano in chiaro attraverso l’attaccante.
HSTS previene questo attacco perché, dopo la prima visita al sito, il browser ricorda che quel dominio richiede HTTPS e non invierà mai più una richiesta HTTP, nemmeno se l’utente digita esplicitamente http://. La conversione da HTTP a HTTPS avviene direttamente nel browser, senza alcuna richiesta di rete in chiaro.
I Parametri dell’Header HSTS
L’header HSTS ha tre parametri principali:
max-age: specifica per quanti secondi il browser deve ricordare che il sito richiede HTTPS. Il valore consigliato è 31536000 (1 anno). Durante il periodo di test, puoi iniziare con un valore più basso, come 86400 (1 giorno) o 2592000 (30 giorni), per poter eventualmente tornare indietro senza dover aspettare un anno.
includeSubDomains: se presente, la politica HSTS si applica anche a tutti i sottodomini. Ad esempio, se il tuo dominio è tuodominio.it, anche blog.tuodominio.it, shop.tuodominio.it e qualsiasi altro sottodominio sarà forzato su HTTPS. Attenzione: attiva questo parametro solo se tutti i tuoi sottodomini hanno un certificato SSL valido, altrimenti diventeranno inaccessibili.
preload: indica che il dominio è pronto per essere incluso nella HSTS Preload List (ne parliamo più avanti). Questo parametro da solo non fa nulla — è necessario anche inviare il dominio alla lista ufficiale.
Un header HSTS completo appare così:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Configurare HSTS in Really Simple SSL
Really Simple SSL offre un’interfaccia grafica per configurare HSTS senza dover modificare manualmente i file del server. Nella dashboard del plugin, vai alla sezione dedicata agli header di sicurezza e cerca l’opzione HSTS.
Il plugin ti guida attraverso una configurazione progressiva:
- Attivazione base: attiva HSTS con un max-age iniziale basso (ad esempio 1 giorno). Questo ti permette di verificare che tutto funzioni senza rischi: se qualcosa va storto, dopo 24 ore il browser “dimenticherà” la policy HSTS.
- Aumento graduale: se tutto funziona correttamente, aumenta il max-age a 30 giorni, poi a 6 mesi e infine a 1 anno. Questo approccio graduale è raccomandato anche dalle best practice di sicurezza.
- includeSubDomains: dopo aver verificato che tutti i tuoi sottodomini funzionano correttamente con HTTPS, puoi attivare questa opzione.
- Preload: l’ultimo passo, da attivare solo quando sei sicuro di voler mantenere HTTPS permanentemente su tutto il dominio e i suoi sottodomini.
La HSTS Preload List
La HSTS Preload List è un elenco di domini mantenuto da Google e utilizzato da tutti i principali browser (Chrome, Firefox, Safari, Edge, Opera). I domini inclusi in questa lista hanno HSTS attivo “di fabbrica” nel browser, senza bisogno della prima visita.
Questo risolve il problema della “prima visita”: con HSTS standard, il browser deve visitare il sito almeno una volta per ricevere l’header e attivare la protezione. Con la Preload List, la protezione è attiva fin dalla prima visita in assoluto, perché il browser già sa che quel dominio richiede HTTPS.
Per essere incluso nella Preload List, il tuo dominio deve soddisfare questi requisiti:
- Avere un certificato SSL valido
- Avere il redirect da HTTP a HTTPS su tutti i sottodomini
- L’header HSTS deve avere
max-agedi almeno 1 anno (31536000 secondi) - L’header deve includere
includeSubDomains - L’header deve includere
preload - L’header deve essere inviato anche dal dominio base (non solo da www)
Puoi inviare il tuo dominio su hstspreload.org. L’inclusione richiede alcune settimane e, una volta incluso, la rimozione è un processo lungo e complesso. Per questo motivo, è fondamentale essere assolutamente certi prima di procedere.
Rischi e Precauzioni con HSTS
HSTS è potente ma anche potenzialmente pericoloso se configurato in modo errato:
Impossibilità di tornare a HTTP: una volta che HSTS è attivo con un max-age lungo, non puoi semplicemente tornare a HTTP. I browser dei visitatori continueranno a forzare HTTPS per tutto il periodo del max-age. Se il certificato SSL scade o viene rimosso, il sito diventerà inaccessibile (il browser mostrerà un errore senza la possibilità di procedere).
Sottodomini senza SSL: se attivi includeSubDomains ma hai un sottodominio senza certificato SSL (ad esempio un ambiente di sviluppo, un server di posta o un servizio interno), quel sottodominio diventerà inaccessibile via browser.
Preload List irrevocabile (quasi): la rimozione dalla Preload List richiede settimane o mesi e, anche dopo la rimozione dalla lista, i browser impiegano diversi aggiornamenti per recepire la modifica. In pratica, potresti restare “bloccato” su HTTPS per mesi anche dopo aver richiesto la rimozione.
Per questi motivi, l’approccio graduale consigliato da Really Simple SSL è fondamentale. Non saltare direttamente a max-age=1 anno con preload attivo.
HSTS e CDN/Proxy
Se utilizzi un CDN come Cloudflare o un reverse proxy, la configurazione di HSTS richiede attenzione aggiuntiva:
Cloudflare: Cloudflare offre la propria configurazione HSTS nel pannello di controllo (sezione SSL/TLS → Edge Certificates). Se attivi HSTS sia in Cloudflare sia in Really Simple SSL, l’header potrebbe apparire duplicato o con valori contrastanti. La best practice è configurare HSTS in un solo punto — preferibilmente nel CDN/proxy.
Load balancer: se il tuo sito è dietro un load balancer che termina SSL, assicurati che l’header HSTS venga passato al client. Alcuni load balancer rimuovono gli header personalizzati.
Reverse proxy Nginx: se Nginx funge da reverse proxy per Apache/PHP, l’header HSTS impostato da Really Simple SSL (tramite PHP) dovrebbe passare correttamente. Verifica con gli strumenti per sviluppatori del browser che l’header sia effettivamente presente nella risposta.
Verifica della Configurazione HSTS
Dopo aver configurato HSTS, verifica che tutto funzioni:
Strumenti per sviluppatori: apri la tab Network, carica il sito e controlla gli header della risposta. Dovresti vedere Strict-Transport-Security con i valori configurati.
cURL: con il comando curl -I https://tuodominio.it puoi visualizzare rapidamente gli header di risposta, incluso HSTS.
SecurityHeaders.com: questo servizio analizza tutti gli header di sicurezza e mostra specificamente lo stato di HSTS.
hstspreload.org: se hai intenzione di sottomettere il dominio alla Preload List, questo sito verifica che tutti i requisiti siano soddisfatti.
SSL Labs: il test di SSL Labs (ssllabs.com) verifica la configurazione HSTS e assegna un bonus al punteggio complessivo se HSTS è attivo.
HSTS e la Performance
HSTS ha anche un impatto positivo sulle prestazioni. Quando un utente clicca un link HTTP verso il tuo sito (ad esempio un link in una vecchia email o in un post sui social), senza HSTS il browser invia una richiesta HTTP al server, riceve il redirect 301, e poi invia una nuova richiesta HTTPS. Questo processo aggiunge una round-trip completa.
Con HSTS attivo, il browser converte il link HTTP in HTTPS internamente, senza alcuna richiesta di rete. La connessione avviene direttamente via HTTPS, risparmiando il tempo del redirect. Su connessioni mobili o reti lente, questo risparmio è percepibile.
HSTS e WordPress Multisite
Per le installazioni WordPress Multisite, HSTS con includeSubDomains richiede che tutti i siti della rete abbiano certificati SSL validi. Se la rete Multisite utilizza sottodomini (es. sito1.tuodominio.it, sito2.tuodominio.it), un certificato wildcard (*.tuodominio.it) è la soluzione ideale.
Per le reti Multisite con domini personalizzati (domain mapping), HSTS sul dominio principale non influenza i domini mappati, che devono avere la propria configurazione HSTS indipendente.
Configurazione Consigliata per Diversi Scenari
Blog personale o sito informativo: HSTS con max-age=1 anno è sufficiente. includeSubDomains solo se hai sottodomini. Preload è un plus ma non indispensabile.
Sito aziendale: HSTS con max-age=1 anno, includeSubDomains e preload consigliati per la massima credibilità e sicurezza.
E-commerce WooCommerce: HSTS è praticamente obbligatorio per un e-commerce. Configura max-age=1 anno con includeSubDomains. Il preload è altamente raccomandato per proteggere i clienti fin dalla prima visita.
Sito con molti sottodomini: procedi con cautela. Verifica che tutti i sottodomini (inclusi quelli interni, di sviluppo e di servizi) abbiano SSL prima di attivare includeSubDomains.
Conclusioni
HSTS è una delle misure di sicurezza più efficaci per proteggere i visitatori del tuo sito WordPress dagli attacchi di SSL stripping e man-in-the-middle. Really Simple SSL semplifica la sua implementazione con un approccio graduale che minimizza i rischi. L’importante è procedere con cautela, partendo con un max-age basso e aumentandolo progressivamente dopo aver verificato che tutto funzioni correttamente.
Per una configurazione HSTS professionale e una verifica completa della sicurezza del tuo sito WordPress, contatta il team di G Tech Group. Ti guideremo attraverso ogni passaggio, inclusa l’eventuale iscrizione alla HSTS Preload List.
Leggi anche gli altri articoli della serie Really Simple SSL
Un hosting WordPress gestito di qualità garantisce il rinnovo automatico dei certificati SSL — un requisito fondamentale quando HSTS è attivo, perché un certificato scaduto con HSTS attivo renderebbe il sito completamente inaccessibile fino al rinnovo.
Migliora il Tuo Sito WordPress
Scopri le nostre guide complete sugli altri plugin essenziali per WordPress: