Tutti be­ne­fi­cia­mo dell’in­cre­di­bi­le varietà di siti web su Internet. In­trat­te­ni­men­to, in­for­ma­zio­ni, ispi­ra­zio­ne, servizi e altro ancora sono di­spo­ni­bi­li in quantità ap­pa­ren­te­men­te il­li­mi­ta­te. Ma purtroppo non tutti i siti web sono innocui. Come nel mondo analogico, ci sono affari loschi, criminali e cri­mi­na­li­tà or­ga­niz­za­ta. Per esempio, capita che gli utenti di servizi bancari online vengano attirati su un sito web falso in modo da poter in­ter­cet­ta­re le loro cre­den­zia­li d’accesso. Oppure qualcuno installa un hotspot WLAN pubblico per ascoltare se­gre­ta­men­te la co­mu­ni­ca­zio­ne in corso.

Ini­zial­men­te tutto il traffico di dati sul World Wide Web veniva gestito aper­ta­men­te, con un testo in chiaro e fa­cil­men­te hac­ke­ra­bi­le. Il pro­to­col­lo HTTP media la co­mu­ni­ca­zio­ne tra client web (browser web) e server web in modo non criptato. Ciò facilita le attività criminali come lo spio­nag­gio di metadati o gli attacchi man in the middle.

Per rendere il Web più sicuro è stato svi­lup­pa­to HTTPS. Ecco che cos’è e come funziona.

Registra il tuo dominio
  • Domain Connect gratuito per una con­fi­gu­ra­zio­ne facile del DNS
  • Cer­ti­fi­ca­to SSL Wildcard gratuito
  • Pro­te­zio­ne privacy inclusa

Che cos’è HTTPS?

L’ab­bre­via­zio­ne HTTPS sta per “Hypertext Transfer Protocol Secure”, tradotto: “Pro­to­col­lo di tra­sfe­ri­men­to per ipertesti sicuro”. Il pro­to­col­lo di tra­sfe­ri­men­to è per così dire la lingua nella quale il client web, di solito il browser, e il server web co­mu­ni­ca­no. HTTPS è la versione del pro­to­col­lo di tra­sfe­ri­men­to che funziona con co­mu­ni­ca­zio­ni crit­to­gra­fa­te.

Lo scopo di HTTPS

HTTPS assolve due funzioni:

La co­mu­ni­ca­zio­ne tra client web e server web è crit­to­gra­fa­ta, per impedire a terzi non au­to­riz­za­ti di in­ter­cet­ta­re la co­mu­ni­ca­zio­ne, con­sul­tan­do ad esempio il traffico della rete WLAN.

Il server web viene au­ten­ti­ca­to inviando, all’inizio della co­mu­ni­ca­zio­ne, un cer­ti­fi­ca­to al client web, che certifica l’af­fi­da­bi­li­tà del dominio. Questa misura è utile per com­bat­te­re la frode da parte di siti web falsi.

Dif­fe­ren­ze tra HTTP e HTTPS

Che dif­fe­ren­za c’è tra HTTP e HTTPS? La risposta è semplice: tec­ni­ca­men­te parlando nessuna! Il pro­to­col­lo stesso, ovvero la sintassi, è identico in entrambe le varianti.

La dif­fe­ren­za è che HTTPS utilizza uno speciale pro­to­col­lo di trasporto, vale a dire SSL/TLS. Non il pro­to­col­lo stesso ma il tipo di tra­smis­sio­ne è ul­te­rior­men­te protetto. Si può esem­pli­fi­ca­re con la seguente analogia:

  • Due persone parlano al telefono.
  • Uti­liz­za­no un lin­guag­gio comune per co­mu­ni­ca­re: HTTP.
  • La con­nes­sio­ne te­le­fo­ni­ca su cui è in ese­cu­zio­ne la chiamata non è protetta nel caso di HTTP mentre è in par­ti­co­la­re a prova di in­ter­cet­ta­zio­ni nel caso di HTTPS.

La tabella seguente riassume le dif­fe­ren­ze prin­ci­pa­li dal punto di vista dell‘utente:

  HTTP HTTPS
Tra­smis­sio­ne non criptata criptata
Cer­ti­fi­ca­to no si
Numero di porta 80 443
In­di­riz­za­men­to nell’URL http:// https://

Tutti i browser attuali avvisano l’utente quando sta accedendo a un sito web con il pro­to­col­lo HTTP.

Immagine: Tabella con screenshot della barra degli indirizzi di Chrome, Firefox, Opera e Edge
Iden­ti­fi­ca­zio­ne dello standard di sicurezza nella barra degli indirizzi di diversi browser.

Cliccando sulle icone a sinistra della barra degli indirizzi, ri­ce­ve­re­te ulteriori in­for­ma­zio­ni:

Immagine: Screenshot della finestra delle informazioni, che viene visualizzata dopo aver fatto clic sull’icona
Cliccando sull’icona si apre una finestra in­for­ma­zio­ni.

A seconda del browser e delle im­po­sta­zio­ni di sicurezza, il software rifiuta persino di aprire un sito web non protetto o vi­sua­liz­za un avviso anziché il sito web.

Come funziona HTTPS?

Il pro­to­col­lo HTTP regola solo come devono essere strut­tu­ra­ti i contenuti scambiati tra il client web e il server web. Il pro­to­col­lo di trasporto invece indica come i flussi di dati vengono tra­sfe­ri­ti tra i computer. Ad esempio, ga­ran­ti­sce che non vengano persi pacchetti di dati. Il pro­to­col­lo di trasporto standard, uti­liz­za­to anche da HTTP, è TCP, il “Tran­smis­sion Control Protocol”.

Esiste un’esten­sio­ne per questo pro­to­col­lo di trasporto, che crit­to­gra­fa i flussi di dati: questa esten­sio­ne si chiama TLS (de­no­mi­na­zio­ne pre­ce­den­te SSL). Tutte le co­mu­ni­ca­zio­ni trasmesse uti­liz­zan­do questo pro­to­col­lo di trasporto sono crit­to­gra­fa­te in modo tale che solo il de­sti­na­ta­rio effettivo (browser o server web) è in grado di leggere il contenuto trasmesso.

Se un URL ha il prefisso https://, il browser aggiunge au­to­ma­ti­ca­men­te il numero di porta 443. Questo numero indica al computer ricevente che deve co­mu­ni­ca­re tramite TLS/SSL.

Cer­ti­fi­ca­to SSL
Proteggi il tuo sito con un cer­ti­fi­ca­to SSL

Evita che venga vi­sua­liz­za­ta un'al­ler­ta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crit­to­gra­fa­to tramite SSL.

Perché è im­por­tan­te la crit­to­gra­fia HTTPS

La capacità degli hacker di spiare e ma­ni­po­la­re i siti web è in costante aumento. Per questo motivo è im­por­tan­te crit­to­gra­fa­re i flussi di dati, so­prat­tut­to nelle reti ad accesso libero, come in un hotspot WiFi pubblico.

HTTPS è il nuovo standard. Come accennato, i siti web senza HTTPS sono segnalati ne­ga­ti­va­men­te o ad­di­rit­tu­ra bloccati dagli attuali browser. HTTPS, inoltre, è probabile che abbia un effetto positivo sul ranking di Google, anche se Google finora non lo ha con­fer­ma­to espli­ci­ta­men­te.

Il re­go­la­men­to generale europeo sulla pro­te­zio­ne dei dati (RGPD) sta­bi­li­sce che i siti web debbano essere ag­gior­na­ti in termini di sicurezza, il che at­tual­men­te significa HTTPS.

Consiglio

Nel nostro ulteriore articolo im­pa­re­re­te come con­ver­ti­re il vostro sito web in HTTPS .

Vai al menu prin­ci­pa­le