Cos’\u00e8 HSTS e Perch\u00e9 \u00e8 Importante<\/h3>\n
HSTS \u00e8 un header di sicurezza HTTP ( Perch\u00e9 \u00e8 necessario, se hai gi\u00e0 il redirect 301 da HTTP a HTTPS? Il problema \u00e8 che il redirect 301 avviene dopo<\/em> che il browser ha gi\u00e0 inviato la prima richiesta in HTTP. Questa prima richiesta non crittografata rappresenta una finestra di vulnerabilit\u00e0: un attaccante sulla stessa rete (ad esempio su un Wi-Fi pubblico) potrebbe intercettare quella richiesta iniziale e reindirizzare l’utente verso un sito malevolo.<\/p>\n Questo tipo di attacco si chiama SSL stripping<\/strong>: l’attaccante si interpone tra il browser e il server, mantenendo una connessione HTTP con il browser e una connessione HTTPS con il server. L’utente crede di essere su un sito sicuro, ma in realt\u00e0 i suoi dati passano in chiaro attraverso l’attaccante.<\/p>\n HSTS previene questo attacco perch\u00e9, dopo la prima visita al sito, il browser ricorda che quel dominio richiede HTTPS e non invier\u00e0 mai pi\u00f9 una richiesta HTTP, nemmeno se l’utente digita esplicitamente http:\/\/. La conversione da HTTP a HTTPS avviene direttamente nel browser, senza alcuna richiesta di rete in chiaro.<\/p>\n L’header HSTS ha tre parametri principali:<\/p>\n max-age<\/strong>: specifica per quanti secondi il browser deve ricordare che il sito richiede HTTPS. Il valore consigliato \u00e8 includeSubDomains<\/strong>: se presente, la politica HSTS si applica anche a tutti i sottodomini. Ad esempio, se il tuo dominio \u00e8 preload<\/strong>: indica che il dominio \u00e8 pronto per essere incluso nella HSTS Preload List (ne parliamo pi\u00f9 avanti). Questo parametro da solo non fa nulla \u2014 \u00e8 necessario anche inviare il dominio alla lista ufficiale.<\/p>\n Un header HSTS completo appare cos\u00ec: Really Simple SSL offre un’interfaccia grafica per configurare HSTS senza dover modificare manualmente i file del server. Nella dashboard del plugin, vai alla sezione dedicata agli header di sicurezza e cerca l’opzione HSTS.<\/p>\n Il plugin ti guida attraverso una configurazione progressiva:<\/p>\n La HSTS Preload List \u00e8 un elenco di domini mantenuto da Google e utilizzato da tutti i principali browser (Chrome, Firefox, Safari, Edge, Opera). I domini inclusi in questa lista hanno HSTS attivo “di fabbrica” nel browser, senza bisogno della prima visita.<\/p>\n Questo risolve il problema della “prima visita”: con HSTS standard, il browser deve visitare il sito almeno una volta per ricevere l’header e attivare la protezione. Con la Preload List, la protezione \u00e8 attiva fin dalla prima visita in assoluto, perch\u00e9 il browser gi\u00e0 sa che quel dominio richiede HTTPS.<\/p>\n Per essere incluso nella Preload List, il tuo dominio deve soddisfare questi requisiti:<\/p>\n Puoi inviare il tuo dominio su hstspreload.org<\/em>. L’inclusione richiede alcune settimane e, una volta incluso, la rimozione \u00e8 un processo lungo e complesso. Per questo motivo, \u00e8 fondamentale essere assolutamente certi prima di procedere.<\/p>\n HSTS \u00e8 potente ma anche potenzialmente pericoloso se configurato in modo errato:<\/p>\n Impossibilit\u00e0 di tornare a HTTP<\/strong>: una volta che HSTS \u00e8 attivo con un max-age lungo, non puoi semplicemente tornare a HTTP. I browser dei visitatori continueranno a forzare HTTPS per tutto il periodo del max-age. Se il certificato SSL scade o viene rimosso, il sito diventer\u00e0 inaccessibile (il browser mostrer\u00e0 un errore senza la possibilit\u00e0 di procedere).<\/p>\n Sottodomini senza SSL<\/strong>: se attivi Preload List irrevocabile (quasi)<\/strong>: la rimozione dalla Preload List richiede settimane o mesi e, anche dopo la rimozione dalla lista, i browser impiegano diversi aggiornamenti per recepire la modifica. In pratica, potresti restare “bloccato” su HTTPS per mesi anche dopo aver richiesto la rimozione.<\/p>\n Per questi motivi, l’approccio graduale consigliato da Really Simple SSL \u00e8 fondamentale. Non saltare direttamente a max-age=1 anno con preload attivo.<\/p>\n Se utilizzi un CDN come Cloudflare o un reverse proxy, la configurazione di HSTS richiede attenzione aggiuntiva:<\/p>\n Cloudflare<\/strong>: Cloudflare offre la propria configurazione HSTS nel pannello di controllo (sezione SSL\/TLS \u2192 Edge Certificates). Se attivi HSTS sia in Cloudflare sia in Really Simple SSL, l’header potrebbe apparire duplicato o con valori contrastanti. La best practice \u00e8 configurare HSTS in un solo punto \u2014 preferibilmente nel CDN\/proxy.<\/p>\n Load balancer<\/strong>: se il tuo sito \u00e8 dietro un load balancer che termina SSL, assicurati che l’header HSTS venga passato al client. Alcuni load balancer rimuovono gli header personalizzati.<\/p>\n Reverse proxy Nginx<\/strong>: se Nginx funge da reverse proxy per Apache\/PHP, l’header HSTS impostato da Really Simple SSL (tramite PHP) dovrebbe passare correttamente. Verifica con gli strumenti per sviluppatori del browser che l’header sia effettivamente presente nella risposta.<\/p>\n Dopo aver configurato HSTS, verifica che tutto funzioni:<\/p>\n Strumenti per sviluppatori<\/strong>: apri la tab Network, carica il sito e controlla gli header della risposta. Dovresti vedere cURL<\/strong>: con il comando SecurityHeaders.com<\/strong>: questo servizio analizza tutti gli header di sicurezza e mostra specificamente lo stato di HSTS.<\/p>\n hstspreload.org<\/strong>: se hai intenzione di sottomettere il dominio alla Preload List, questo sito verifica che tutti i requisiti siano soddisfatti.<\/p>\n SSL Labs<\/strong>: il test di SSL Labs (ssllabs.com) verifica la configurazione HSTS e assegna un bonus al punteggio complessivo se HSTS \u00e8 attivo.<\/p>\n HSTS ha anche un impatto positivo sulle prestazioni. Quando un utente clicca un link HTTP verso il tuo sito (ad esempio un link in una vecchia email o in un post sui social), senza HSTS il browser invia una richiesta HTTP al server, riceve il redirect 301, e poi invia una nuova richiesta HTTPS. Questo processo aggiunge una round-trip completa.<\/p>\n Con HSTS attivo, il browser converte il link HTTP in HTTPS internamente, senza alcuna richiesta di rete. La connessione avviene direttamente via HTTPS, risparmiando il tempo del redirect. Su connessioni mobili o reti lente, questo risparmio \u00e8 percepibile.<\/p>\n Per le installazioni WordPress Multisite, HSTS con Per le reti Multisite con domini personalizzati (domain mapping), HSTS sul dominio principale non influenza i domini mappati, che devono avere la propria configurazione HSTS indipendente.<\/p>\n Blog personale o sito informativo<\/strong>: HSTS con max-age=1 anno \u00e8 sufficiente. includeSubDomains solo se hai sottodomini. Preload \u00e8 un plus ma non indispensabile.<\/p>\n Sito aziendale<\/strong>: HSTS con max-age=1 anno, includeSubDomains e preload consigliati per la massima credibilit\u00e0 e sicurezza.<\/p>\n E-commerce WooCommerce<\/strong>: HSTS \u00e8 praticamente obbligatorio per un e-commerce. Configura max-age=1 anno con includeSubDomains. Il preload \u00e8 altamente raccomandato per proteggere i clienti fin dalla prima visita.<\/p>\n Sito con molti sottodomini<\/strong>: procedi con cautela. Verifica che tutti i sottodomini (inclusi quelli interni, di sviluppo e di servizi) abbiano SSL prima di attivare includeSubDomains.<\/p>\n HSTS \u00e8 una delle misure di sicurezza pi\u00f9 efficaci per proteggere i visitatori del tuo sito WordPress dagli attacchi di SSL stripping e man-in-the-middle. Really Simple SSL semplifica la sua implementazione con un approccio graduale che minimizza i rischi. L’importante \u00e8 procedere con cautela, partendo con un max-age basso e aumentandolo progressivamente dopo aver verificato che tutto funzioni correttamente.<\/p>\n Per una configurazione HSTS professionale e una verifica completa della sicurezza del tuo sito WordPress, contatta il team di G Tech Group<\/a>. Ti guideremo attraverso ogni passaggio, inclusa l’eventuale iscrizione alla HSTS Preload List.<\/p>\n Un hosting WordPress gestito<\/a> di qualit\u00e0 garantisce il rinnovo automatico dei certificati SSL \u2014 un requisito fondamentale quando HSTS \u00e8 attivo, perch\u00e9 un certificato scaduto con HSTS attivo renderebbe il sito completamente inaccessibile fino al rinnovo.<\/p>\n Scopri le nostre guide complete sugli altri plugin essenziali per WordPress:<\/p>\n Configurare HSTS con Really Simple SSL: HTTP Strict Transport Security HTTP Strict Transport Security (HSTS) \u00e8 una delle misure di sicurezza pi\u00f9 importanti che puoi…<\/p>\n","protected":false},"author":2,"featured_media":167199,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"Configurare HSTS con Really Simple SSL | Guida","_seopress_titles_desc":"Come configurare HSTS con Really Simple SSL. Preload list, max-age, includeSubDomains e best practice.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"Configurare HSTS Really Simple","footnotes":""},"categories":[1,61],"tags":[3594,3591,911,3598],"class_list":["post-167236","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-senza-categoria","category-wordpress","tag-hsts","tag-really-simple-ssl","tag-sicurezza","tag-strict-transport-security"],"_links":{"self":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167236","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/comments?post=167236"}],"version-history":[{"count":0,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167236\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media\/167199"}],"wp:attachment":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media?parent=167236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/categories?post=167236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/tags?post=167236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Strict-Transport-Security<\/code>) che dice al browser: “da ora in poi, per i prossimi X secondi, connettiti a questo dominio solo tramite HTTPS, anche se l’utente digita http:\/\/ o clicca un link HTTP”.<\/p>\n![\"Configurazione](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-01-dashboard.png\")
<\/p>\nI Parametri dell’Header HSTS<\/h3>\n
31536000<\/code> (1 anno). Durante il periodo di test, puoi iniziare con un valore pi\u00f9 basso, come 86400<\/code> (1 giorno) o 2592000<\/code> (30 giorni), per poter eventualmente tornare indietro senza dover aspettare un anno.<\/p>\ntuodominio.it<\/code>, anche blog.tuodominio.it<\/code>, shop.tuodominio.it<\/code> e qualsiasi altro sottodominio sar\u00e0 forzato su HTTPS. Attenzione<\/strong>: attiva questo parametro solo se tutti<\/em> i tuoi sottodomini hanno un certificato SSL valido, altrimenti diventeranno inaccessibili.<\/p>\n
\nStrict-Transport-Security: max-age=31536000; includeSubDomains; preload<\/code><\/p>\nConfigurare HSTS in Really Simple SSL<\/h3>\n
\n
La HSTS Preload List<\/h3>\n
\n
max-age<\/code> di almeno 1 anno (31536000 secondi)<\/li>\nincludeSubDomains<\/code><\/li>\npreload<\/code><\/li>\n![\"Impostazioni](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-02-settings.png\")
<\/p>\nRischi e Precauzioni con HSTS<\/h3>\n
includeSubDomains<\/code> ma hai un sottodominio senza certificato SSL (ad esempio un ambiente di sviluppo, un server di posta o un servizio interno), quel sottodominio diventer\u00e0 inaccessibile via browser.<\/p>\nHSTS e CDN\/Proxy<\/h3>\n
Verifica della Configurazione HSTS<\/h3>\n
Strict-Transport-Security<\/code> con i valori configurati.<\/p>\ncurl -I https:\/\/tuodominio.it<\/code> puoi visualizzare rapidamente gli header di risposta, incluso HSTS.<\/p>\n![\"Verifica](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-03-plugins.png\")
<\/p>\nHSTS e la Performance<\/h3>\n
HSTS e WordPress Multisite<\/h3>\n
includeSubDomains<\/code> richiede che tutti i siti della rete abbiano certificati SSL validi. Se la rete Multisite utilizza sottodomini (es. sito1.tuodominio.it, sito2.tuodominio.it), un certificato wildcard (*.tuodominio.it) \u00e8 la soluzione ideale.<\/p>\nConfigurazione Consigliata per Diversi Scenari<\/h3>\n
Conclusioni<\/h3>\n
Leggi anche gli altri articoli della serie Really Simple SSL<\/h4>\n
\n
Migliora il Tuo Sito WordPress<\/h3>\n
\n