Sicurezza web: dieci anni di lezioni (ancora in corso)

Sicurezza web: dieci anni di lezioni (ancora in corso)

Lug 04, 2026 web-security ssl-certificates https security-headers dns-security

Dieci Anni di Sicurezza Web: Cosa Abbiamo Imparato e Dove Stiamo Ancora Fallendo

Il web del 2016 sembra preistoria. Instagram aveva appena lanciato le Storie. Pokémon Go era l'app più scaricata ovunque. E se volevi proteggere il tuo sito con HTTPS, facevi parte di una minoranza quasi paranoica.

Dieci anni dopo, la situazione è cambiata così tanto che la domanda non è più "dovrei usare HTTPS?" ma "perché mai non dovrei?". Però il problema con i progressi è che non si fermano mai.

I Numeri Parlano Chiaro

Guardando i dati sui milione di siti più visitati nell'ultimo decennio, i numeri sono impressionanti:

  • Adozione HTTPS: da circa il 6% nel 2015 a oltre il 65% oggi
  • Header HSTS: un aumento di 22 volte, da 11.000 a 252.000 siti
  • Content Security Policy (CSP): una crescita vertiginosa di 125 volte, da 1.365 a 170.000 siti

Non sono solo numeri da vetrina. Quando Chrome ha iniziato a segnalare i siti non HTTPS come "Non sicuri" nel 2017, è scoppiato il panico online. Ma quella pressione ha funzionato. Oggi, se gestisci un sito senza HTTPS, sei sempre più l'eccezione—soprattutto tra i siti più trafficati, dove reputazione e visitatori contano.

La Buona Notizia: La Sicurezza Base È Davvero Diventata Base

Il risultato più positivo di questo decennio è che il livello minimo è cambiato in modo radicale. Dieci anni fa, header di sicurezza come X-Content-Type-Options e X-Frame-Options erano presenti su meno del 5% dei siti top. Oggi siamo intorno al 30-35%.

Questo conta perché non sono funzionalità appariscenti. Nessuno scrive post su X-Frame-Options. Sono le tubature della sicurezza web—roba noiosa che previene clickjacking, attacchi di MIME-type sniffing e altre schifezze. Il fatto che siano diventati pratica standard dimostra quanto il settore sia maturato nel trattare la sicurezza come infrastruttura, non come extra opzionale.

La CSP merita un discorso a parte. Vederla crescere da 1.365 siti a oltre 170.000 è l'equivalente cyber di una startup che passa da garage a standard industriale. Implementare la CSP correttamente è davvero difficile—richiede di capire tutte le fonti di contenuto del sito, gli script di terze parti, i pattern di codice inline, e altro ancora. Il fatto che così tanti team si siano presi il tempo per farla bene mi dice che l'industria è cresciuta nel suo approccio alla difesa multilivello.

La Brutta Notizia: Ci Stiamo Stabilizzando (e Qualche Volta Arretriamo)

Qui l'ottimismo si complica. Se guardi l'andamento dell'adozione HTTPS negli ultimi anni, la curva si è appiattita parecchio. Abbiamo conquistato le vittorie facili—siti che potevano passare senza sforzo, blog che hanno usato Let's Encrypt, aziende che hanno capito il rischio reputazionale di essere segnalati come non sicuri.

Quello che resta sono i casi ostinati. Applicazioni legacy che richiederebbero un refactoring massiccio. Strumenti interni che nessuno vuole toccare. Siti di organizzazioni dove la sicurezza è ancora problema di qualcun altro. Non è una critica ai progressi del web—è solo la realtà che l'ultimo 10% di qualsiasi curva di adozione è sempre il più difficile.

Più preoccupante è la parabola discendente di alcune protezioni. I certificati Extended Validation (EV), una volta venduti come lo standard oro dell'affidabilità (ti ricordi la barra verde nel browser?), hanno praticamente collassato. I vendor dei browser hanno rimosso l'interfaccia distintiva che rendeva visibili i certificati EV agli utenti, e senza quella differenziazione, non c'è più ragione di pagare prezzi premium. Da un picco di 15.600 installazioni a poco più di 4.000 nel 2026. È un caso studio affascinante su come l'esperienza utente modella l'economia della sicurezza.

I Nuovi Arrivati: La Sicurezza nel 2026 e Oltre

I dati più interessanti dai rilevamenti recenti non riguardano gli standard vecchi—riguardano quello che viene dopo.

La crittografia post-quantum sta iniziando a vedersi in giro. Non è diffusa, ma stiamo notando le prime implementazioni mentre il settore si prepara a un futuro dove i computer quantistici potrebbero rompere gli attuali sistemi di cifratura. È il mondo della sicurezza che fa quello che sa fare meglio: prepararsi alle minacce prima che si materializzino.

L'isolamento cross-origin, l'ECH (Encrypted Client Hello), e altre tecnologie per la privacy sono similmente in fase di adozione iniziale. Questi sono i mattoni di un web più resistente alla sorveglianza e alla manipolazione.

La sicurezza dei cookie ha ricevuto nuova attenzione. Con i cookie di terze parti finalmente in fase di deprecazione sui browser (dopo anni di rinvii), l'igiene dei cookie first-party è diventata più importante che mai. Cookie sicuri e consapevoli del SameSite non erano una priorità cinque anni fa per molti sviluppatori. Oggi sono requisiti base.

Cosa Significa Per I Tuoi Progetti

Se stai lanciando un nuovo sito o applicazione oggi, il messaggio di un decennio di dati è chiaro: tratta la sicurezza come infrastruttura base, non come ripensamento. HTTPS non è opzionale. Gli header di sicurezza non sono opzionali. Gli strumenti sono maturati, i costi sono calati, e le conseguenze di saltare questi fondamentali sono cresciute.

Ma non fermarti qui. Il fronte della sicurezza web si è spostato. Fai attenzione a:

  • Prontezza post-quantum: inizia a pensare a come la tua infrastruttura dovrà evolversi
  • Migrazione dei cookie: controlla il tuo uso dei cookie prima che le restrizioni di terze parti mordano
  • Alternative per la privacy: ECH e tecnologie simili stanno arrivando su un browser vicino a te

Il web del 2026 è infinitamente più sicuro di quello del 2016. Ma la sicurezza non è una destinazione—è una conversazione continua tra difensori e attaccanti, enti di standard e vendor di browser, sviluppatori e utenti. Il fatto che stiamo ancora avendo quella conversazione, ancora misurando, ancora migliorando? Questa è la vera vittoria di questo decennio.

Brindiamo ai prossimi dieci anni di web più sicuro—un header, un certificato, e un server ben configurato alla volta.


Hai bisogno di una mano con i fondamentali della sicurezza? NameOcean offre certificati SSL gratuiti, gestione DNS automatizzata e ambienti di hosting configurati per gli standard di sicurezza moderni. Perché il momento migliore per proteggere il tuo sito era dieci anni fa. Il secondo momento migliore è adesso.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU FR ES DE DA ZH-HANS EN