1 22/04/2026 8 min

Se devi far convivere applicazioni legacy, portali intranet o gestionali vecchi con un ambiente moderno, la zona Siti attendibili di Internet Explorer resta una di quelle impostazioni che risolvono problemi molto pratici. Non è una soluzione elegante, ma in molti casi è il modo più rapido per sbloccare componenti ActiveX, autenticazioni integrate o comportamenti bloccati dalle restrizioni predefinite.

Il punto non è “fidarsi” del sito in senso generico. La logica reale è più precisa: sposti un determinato dominio dentro un contenitore di fiducia con regole meno rigide rispetto a Internet, così il browser applica un profilo di sicurezza diverso. Questo può essere utile per portali interni, applicazioni di terze parti installate in rete locale o ambienti che dipendono ancora da Internet Explorer per funzioni specifiche.

Quando ha senso usarla davvero

La zona Siti attendibili ha senso solo quando conosci bene il perimetro. Se la usi per “far andare tutto”, stai solo allargando la superficie d’attacco senza un guadagno stabile. Ha invece senso in questi casi:

  • portali intranet che richiedono autenticazione Windows integrata;
  • applicazioni web aziendali che usano controlli o componenti legacy;
  • siti interni che devono eseguire contenuti meno restrittivi rispetto alla navigazione pubblica;
  • ambienti controllati dove il nome host è ben definito e non cambia di continuo.

Se il sito è pubblico, cambia spesso dominio o dipende da redirect esterni, la configurazione diventa fragile. In quel caso conviene prima capire se il problema è davvero di zona di sicurezza o se c’è di mezzo un certificato, un proxy, una policy aziendale o una configurazione applicativa errata.

Aggiunta manuale da Internet Explorer

Il percorso classico è diretto. Apri Internet Explorer, entra nelle impostazioni della sicurezza e aggiungi il dominio alla zona attendibile. La parte importante è inserire l’indirizzo nel formato corretto, altrimenti ti ritrovi con un sito che continua a comportarsi come “non attendibile” anche se sembra salvato.

  1. Apri Internet Explorer.
  2. Vai su Strumenti oppure sull’icona a ingranaggio.
  3. Apri Opzioni Internet.
  4. Passa alla scheda Sicurezza.
  5. Seleziona Siti attendibili.
  6. Fai clic su Siti.
  7. Nel campo di aggiunta inserisci il sito, ad esempio https://intranet.example.local oppure http://10.10.10.20, se l’ambiente usa IP e non nomi DNS.
  8. Conferma con Aggiungi e poi con Chiudi.
  9. Salva con OK.

Un dettaglio che crea errori inutili: se il portale risponde sia in HTTP sia in HTTPS, non dare per scontato che basti aggiungere una sola variante. In certi ambienti l’applicazione viene aperta con un redirect verso un altro host o verso un sottodominio diverso, e quello non rientra automaticamente nella zona appena configurata.

Se vuoi verificare subito che l’aggiunta sia stata presa in carico, rientra nella finestra dei siti e controlla che l’host sia presente nell’elenco. È una verifica banale, ma evita di inseguire problemi che in realtà sono solo un salvataggio non andato a buon fine.

Formato corretto del sito da inserire

Qui si commettono gli errori più frequenti. Internet Explorer non ragiona bene se il sito viene inserito in modo ambiguo. In pratica, devi essere coerente con il tipo di indirizzo che stai dichiarando.

  • Dominio completo: usa il nome esatto, ad esempio https://app.azienda.local.
  • Sottodomini: se il portale cambia tra più host, valuta se aggiungere ogni host singolarmente invece di usare un wildcard, perché non sempre è gestito come ti aspetti.
  • IP privato: utile in reti isolate, ma meno robusto di un nome DNS stabile.
  • Protocollo: in alcuni casi la distinzione tra HTTP e HTTPS conta nel comportamento della zona e delle regole applicate.

Se il sito usa un certificato interno o un nome non pubblico, il problema può sembrare di “zona attendibili” ma essere in realtà di trust TLS. In quel caso la correzione giusta non è aggiungere il sito alla zona, bensì sistemare la catena di certificazione sul client o sul proxy. La zona attenua i blocchi di sicurezza del browser, ma non rende valido un certificato difettoso.

Diffusione per tutti gli utenti: GPO e impostazioni di dominio

In un contesto aziendale, fare la modifica a mano su ogni postazione è tempo perso. La strada pulita è distribuire la lista dei siti attendibili tramite criteri di gruppo o strumenti di gestione centralizzata. Così eviti configurazioni incoerenti tra utenti e riduci il rischio che qualcuno “aggiusti” il problema in modo diverso dagli altri.

Con le Group Policy, la logica è quella di popolare la lista di siti della zona senza passare per il singolo profilo utente. Questo è particolarmente utile quando il sito è un portale interno usato da decine o centinaia di persone e devi mantenere un comportamento uniforme.

Il vantaggio operativo è chiaro: se domani il dominio cambia o devi rimuovere un host compromesso, fai la modifica una volta sola e la propaghi. Il rovescio della medaglia è altrettanto chiaro: devi documentare bene cosa è stato inserito, da chi e per quale applicazione, altrimenti dopo sei mesi nessuno sa più perché quel dominio era considerato attendibile.

Se usi una policy di dominio, conviene verificare il risultato con un refresh delle policy e con il controllo effettivo della lista sui client. Un esempio pratico è aprire le opzioni Internet su una macchina campione e confrontare la zona con la configurazione attesa. Se il sito non compare, il problema non è Internet Explorer ma la distribuzione della policy.

Blocco dei siti misti e impostazioni che spesso si dimenticano

Mettere un sito nella zona attendibili non basta sempre. Alcune applicazioni falliscono per impostazioni collaterali: contenuti misti, script bloccati, download non consentiti o integrazioni con componenti locali. La zona può ridurre i vincoli, ma non corregge una configurazione applicativa fatta male.

Un caso tipico è il portale che carica una pagina HTTPS ma richiama risorse HTTP. In ambienti moderni questo viene ostacolato o segnalato, e la zona attendibili non è la cura universale. La soluzione vera è uniformare i riferimenti, correggere gli URL interni e verificare che tutte le risorse siano servite con lo stesso livello di protezione previsto dal sito.

Un altro caso frequente riguarda gli ActiveX o i controlli legacy. Se il sito funziona solo dopo aver abbassato troppe restrizioni, il problema non è “mancava la zona”, ma una dipendenza obsoleta che andrebbe isolata o sostituita. La zona attendibili è un cerotto, utile se controlli bene il contesto, pericoloso se diventa la scorciatoia permanente.

Verifiche rapide quando la modifica non sembra avere effetto

Se hai aggiunto il sito ma il comportamento non cambia, conviene ragionare per livelli. Prima controlla che l’host sia davvero nella lista. Poi verifica che stai aprendo esattamente quel dominio e non un alias, un redirect o un sottodominio diverso. Infine controlla se il browser sta usando una modalità diversa, una policy aziendale o una cache di configurazione.

  1. Confronta l’URL aperto con quello inserito nella zona.
  2. Controlla eventuali redirect verso un altro host.
  3. Verifica se il problema compare anche in una nuova sessione del browser.
  4. Se il client è gestito, controlla le policy applicate sul profilo utente.
  5. Se il sito è interno, testa anche il DNS e il certificato prima di attribuire tutto alla zona di sicurezza.

In pratica: se il sito è quasi quello giusto ma non esattamente quello configurato, IE continuerà a comportarsi secondo le regole della zona sbagliata. È un errore comune negli ambienti con bilanciatori, reverse proxy o applicazioni che usano host multipli.

Rimozione o correzione di un sito già inserito

Capita spesso di dover correggere una voce sbagliata. La rimozione è semplice: rientra nella lista dei siti attendibili, seleziona il dominio e toglilo dall’elenco. Se la modifica è stata distribuita via policy, invece, la correzione va fatta alla fonte, non sul singolo client.

Questo aspetto è importante anche per la sicurezza. Una lista di attendibili che cresce senza controllo diventa nel tempo una specie di eccezione permanente. Ogni eccezione va trattata come un asset operativo: deve avere un motivo, un proprietario e una data di revisione.

Se stai facendo troubleshooting, tieni un minimo di tracciabilità: quale sito è stato aggiunto, su quale macchina o policy, con quale motivazione. Non serve un sistema complesso; basta evitare il classico scenario in cui qualcuno apre ticket mesi dopo e nessuno sa più se la modifica era temporanea o strutturale.

Approccio prudente in ambienti esposti o condivisi

Su postazioni condivise o in ambienti con dati sensibili, la zona attendibili va usata con parsimonia. Non è solo una questione di browser: è una scelta che incide sul comportamento del client e, indirettamente, sul rischio operativo. Limitare il numero di siti inclusi è una misura semplice ma efficace.

La regola pratica è questa: aggiungi solo ciò che serve, solo il tempo necessario, e solo se sai esattamente cosa stai sbloccando. Se il sito è interno ma ospita contenuti eterogenei, valuta se separare i servizi su host differenti, così da non dover aprire troppo la porta su un singolo dominio.

In molti casi il miglioramento vero non è “far funzionare IE”, ma ridurre la dipendenza da IE. Però quando la migrazione non è immediata e il servizio deve rimanere operativo, sapere come gestire bene la zona Siti attendibili evita interventi casuali e configurazioni troppo permissive.

Controllo finale: cosa deve essere vero dopo la modifica

Dopo aver aggiunto il sito, il risultato atteso è semplice: l’host compare nella lista dei siti attendibili e l’applicazione si comporta secondo le regole di quella zona. Se il problema originale era legato a restrizioni del browser, dovresti vedere lo sblocco della funzione interessata senza dover abbassare tutto il livello di sicurezza del client.

Se invece non cambia nulla, non forzare la mano con eccezioni aggiuntive a caso. Ricontrolla l’URL effettivo, il redirect, il certificato e l’eventuale policy centralizzata. Nella maggior parte dei casi il difetto sta lì, non nella singola voce della zona.

Assunzione: il contesto è un ambiente Windows con Internet Explorer ancora in uso per un’applicazione legacy o intranet, e l’obiettivo è limitare la modifica al solo sito necessario.