Navigaweb.net logo

Forzare HTTPS: Bloccare siti non sicuri su PC e Telefono

Aggiornato il: Scritto Da: - @pomhey
Attivare la crittografia forzata sul browser impedisce il caricamento di pagine non sicure. Impostare la protezione esclusiva su PC e smartphone

I protocolli web non sono tutti uguali e, nel 2025, accettare ancora connessioni HTTP standard significa lasciare una porta aperta a chiunque voglia spiare il traffico di rete. Quando si atterra su una pagina non protetta, i dati viaggiano come testo semplice: password, cookie di sessione e cronologia possono essere letti da chi gestisce il Wi-Fi pubblico o dal provider internet.

I browser moderni hanno fortunatamente integrato la capacità di tagliare i ponti con il passato. Non serve più installare componenti esterni; basta configurare correttamente il software di navigazione per rifiutare qualsiasi comunicazione non cifrata. Questa operazione trasforma il browser in un filtro attivo che, prima di caricare qualsiasi elemento, verifica la presenza di un certificato di sicurezza valido.

Impostare la modalità Solo-HTTPS è l'operazione più efficace per elevare istantaneamente il livello di privacy su computer e dispositivi mobili, eliminando alla radice il rischio di finire per sbaglio su vecchie pagine vulnerabili.

LEGGI ANCHE: Cos'è il certificato di protezione dei siti web e cosa fare se c'è un problema

Google Chrome: Upgrade forzato delle connessioni

Il browser di Google utilizza un sistema di "sicurezza proattiva". Se attivata, la funzione tenta prima di caricare la versione sicura (porta 443) di ogni sito. Se questa fallisce perché il sito è obsoleto, Chrome mostra una schermata di avviso rossa o grigia, impedendo l'accesso automatico.

Per blindare Chrome su Windows, Mac e Linux:

  • Cliccare sul pulsante menu (tre puntini verticali) e scegliere Impostazioni.
  • Selezionare Privacy e sicurezza dalla colonna di sinistra.
  • Entrare nella sezione Sicurezza.
  • Scorrere in basso fino alle "Impostazioni avanzate" e attivare l'interruttore Usa sempre connessioni sicure.

Su smartphone Android e su iPhone (usando l'app Chrome), il percorso è identico: Impostazioni > Privacy e sicurezza > Usa sempre connessioni sicure. È fondamentale controllare questa voce sui cellulari, poiché spesso le reti dati mobili sono soggette a tracciamento aggressivo da parte degli operatori pubblicitari.

Firefox: La Modalità Solo HTTPS rigorosa

Mozilla offre l'implementazione tecnicamente più robusta. La sua "Modalità solo HTTPS" non si limita a provare l'upgrade, ma crea un vero e proprio recinto di sicurezza. Se un sito non supporta la crittografia, Firefox lo blocca di default, richiedendo un'azione manuale esplicita per procedere.

Ecco come attivarla:

  • Aprire il menu principale e andare su Impostazioni.
  • Cliccare su Privacy e sicurezza a sinistra.
  • Scorrere fino alla fine della pagina alla voce Modalità solo HTTPS.
  • Selezionare Attiva la modalità solo HTTPS in tutte le finestre.

Esiste un'opzione per le eccezioni: se si deve lavorare su una vecchia intranet aziendale o un sito della Pubblica Amministrazione abbandonato a se stesso, è possibile inserirlo in una lista bianca tramite il pulsante Gestisci eccezioni. Questo permette di mantenere la sicurezza alta su tutto il web, abbassando la guardia solo dove strettamente necessario.

Microsoft Edge e la sicurezza bilanciata

Microsoft ha integrato in Edge una funzione chiamata HTTPS automatico, pensata per non spaventare l'utente medio con troppi avvisi di blocco, ma capace di diventare molto severa se configurata a dovere.

Per la configurazione:

  • Andare su Impostazioni > Privacy, ricerca e servizi.
  • Scorrere fino al blocco Sicurezza.
  • Attivare l'opzione Migliora la sicurezza sul Web.

Qui si può scegliere tra due livelli. Il livello Bilanciato è quello predefinito e cerca di non rompere la navigazione sui siti più vecchi. Il livello Rigido è quello raccomandato per chi segue la rotta di Navigaweb verso la massima sicurezza: applica le protezioni a tutti i siti, nessuno escluso. Potrebbe causare qualche problema di visualizzazione su portali non aggiornati, ma garantisce che il traffico sia sempre cifrato.

Safari su Mac e iPhone

L'approccio di Apple è diverso e meno trasparente per l'utente. Dalle ultime versioni di iOS e macOS, Safari esegue automaticamente l'upgrade delle connessioni da HTTP a HTTPS ogni volta che è possibile. Tuttavia, a differenza di Firefox o Chrome, non offre un semplice "interruttore" nelle impostazioni per bloccare totalmente il traffico HTTP.

Per ottenere un risultato simile su dispositivi Apple senza usare app esterne, si può fare affidamento sulla Modalità di isolamento (Lockdown Mode), che però limita molte altre funzioni del telefono, oppure installare estensioni di sicurezza specifiche dall'App Store. La protezione base è comunque attiva di default e non richiede configurazione.

Perché HTTPS Everywhere non serve più

Per oltre dieci anni, l'estensione HTTPS Everywhere della Electronic Frontier Foundation (EFF) è stata un pilastro della sicurezza digitale. Oggi, quel progetto è stato ufficialmente archiviato. La stessa fondazione ha dichiarato che lo scopo del software è stato raggiunto: le sue funzioni sono ora native nei browser.

Mantenere installata questa estensione oggi è controproducente. Non ricevendo aggiornamenti, potrebbe contenere vulnerabilità o rallentare il caricamento delle pagine entrando in conflitto con le impostazioni native di Chrome o Edge. Il consiglio è di rimuoverla immediatamente.

Cosa fare con i siti che "si rompono"

Forzando la mano sulla sicurezza, capiterà di incontrare siti che sembrano rotti: layout scombinati, immagini mancanti o video che non partono. Questo fenomeno è causato dai contenuti misti (Mixed Content).

Significa che la pagina principale è sicura (HTTPS), ma carica risorse interne (come le foto o gli script dei menu) da server non sicuri (HTTP). I browser moderni, in modalità rigorosa, bloccano il caricamento di queste risorse insicure per proteggere l'utente. Se un sito appare così, la colpa non è del browser ma del gestore del sito che non ha aggiornato i percorsi dei file. In questi casi, se la lettura è impossibile, l'unica via è disattivare temporaneamente la protezione per quel singolo dominio cliccando sul lucchetto nella barra degli indirizzi.

Altri dettagli utili sulla crittografia web

Ecco alcuni aspetti tecnici spesso sottovalutati quando si parla di connessioni sicure:

  • Crittografia vs Anonimato: HTTPS nasconde il contenuto della comunicazione (cosa leggete, cosa scrivete), ma non la destinazione. Il provider sa comunque che siete collegati a un determinato dominio. Per nascondere anche questo, serve abbinare all'HTTPS un DNS over HTTPS (DoH) o una VPN.
  • Velocità di caricamento: Un falso mito duro a morire è che HTTPS rallenti la navigazione. Oggi è vero il contrario: il protocollo HTTP/3 (QUIC), utilizzato dai colossi del web, funziona solo su connessioni cifrate ed è nettamente più veloce del vecchio HTTP.
  • Certificati Let's Encrypt: Se vedete errori di certificato su molti siti piccoli o blog, spesso è perché il rinnovo automatico gratuito offerto da Let's Encrypt è fallito lato server. Non forzate l'accesso se il browser segnala "Certificato Scaduto", a meno che non conosciate personalmente il gestore del sito.

LEGGI ANCHE: Correggere Connessione Non Privata e Errori SSL





Posta un commento


0%