Pregi e limiti del protocollo HTTPS

Cos’è, come funziona e perché è importante

Il protocollo HTTPS esiste da molti anni, ma ultimamente se ne sente parlare molto di più perché Google, nell’ottica della continua promozione di un Web più sicuro, lo ha inserito tra gli elementi che migliorano il posizionamento web per i motori di ricerca. Sai cos’è esattamente il protocollo HTTPS? In questo post spiegheremo cos’è, come funziona e perché è importante controllare che i siti con cui interagiamo lo utilizzino.

Protocollo HTTPS

La sigla HTTPS significa HyperText Transfer Protocol Secure ed è un’evoluzione più sicura del protocollo HTTP. Ma partiamo dalle basi.

L’HTTP è il protocollo di trasmissione degli ipertesti più utilizzato su Internet, a sua volta basato sul protocollo di trasferimento TCP/IP per i dati. Volendo semplificare al massimo, si tratta della “lingua” utilizzata dal tuo computer (client) e quello su cui è ospitato il sito che visiti (server) per parlare tra loro.

L’HTTP è un protocollo solido ma, come tutte le invenzioni, con il tempo è diventato un po’ obsoleto, soprattutto dal punto di vista della sicurezza. Per risolvere questo problema, sono stati inventati dei protocolli di crittografia dei dati, prima l’SSL(Secure Socket Layer) e poi il TLS (Transport Layer Security).

L’HTTPS utilizza quest’ultimo per creare una connessione criptata mediante crittografia simmetrica tra client e server, con i seguenti due vantaggi:

• Autenticazione del sito web visitato
• Protezione della privacy

Autenticazione del sito web

I siti web che vogliono utilizzare il protocollo HTTPS devono acquistare un certificato da un’autorità competente (Comodo, GlobalSign, GoDaddy e altre). Queste autorità sono considerate affidabili dai browser, per cui quando ti connetti a un sito che dispone di un certificato HTTPS, il browser non invia nessun avviso di pericolo.

Quando invece ti connetti a un sito che non utilizza questo protocollo e non dispone di un certificato, la maggior parte dei browser ti mostrerà un avviso di sicurezza. Esistono tre tipi principali di certificati di autenticazione per siti web:

1. 1. SSL DV (Domain Validated): si tratta del certificato più semplice, che garantisce un grado di protezione di base, a livello di dominio. Normalmente, questo certificato viene acquistato e installato dai siti che richiedono un login con credenziali di accesso personali e poco altro.
   2. SSL OV (Organization Validated): questo certificato garantisce anche l’affidabilità dell’organizzazione che lo possiede ed è ormai uno standard tra gli e-commerce e i siti che devono proteggere informazioni sensibili degli utenti.
   3. SSL EV (Extended Validated): certifica il livello di affidabilità più alto possibile. Solo i siti che ne dispongono possono cambiare la dicitura del protocollo HTTPS all’inizio dell’URL del proprio dominio (ad esempio https://www.pandasecurity.com/it/). È il certificato standard obbligatorio per gli e-commerce internazionali.

Come verificare i certificati di un sito web

Nel browser, fai clic sull’icona a forma di lucchetto in alto a sinistra, accanto all’URL del sito. Nella finestra popup, fai clic su Certificato. Si apre una finestra in cui vengono mostrate tutte le informazioni sul certificato e sull’autorità che lo ha rilasciato. Per ulteriori informazioni sull’autorità, fai clic sul pulsante Dichiarazione emittente in basso a destra.

➡️ SUGGERIMENTO: dopo aver fatto clic sull’icona a forma di lucchetto, puoi anche fare clic su Impostazioni sito per accedere a molte opzioni utili per configurare il comportamento del sito, ad esempio l’apertura di popup, l’invio di notifiche, l’esecuzione di elementi Flash e molto altro ancora!

Protezione della privacy

Come funziona l’HTTPS e in che modo protegge la riservatezza dei tuoi dati? Oltre all’utilizzo dei certificati, il protocollo utilizza le funzionalità di crittografia del TLS per cifrare la comunicazione tra il client e il server. In questo modo crea un canale di comunicazione più sicuro, proteggendo la trasmissione dei dati da vari tipi di attacchi informatici come man in the middle, sniffing o eavesdropping.

Tutti questi attacchi si basano sulla possibilità dell’hacker di introdursi all’interno del flusso di trasferimento dei pacchetti di dati tra il client e il server, decodificarli e manipolare la conversazione a proprio vantaggio. Se i dati sono criptati con la tecnologia TLS, per gli hacker è molto più difficile intrufolarsi nella comunicazione. All’inizio della connessione, client e server negoziano l’algoritmo da utilizzare, poi si scambiano le rispettive chiavi di cifratura e infine avviene l’autenticazione dei messaggi, ovvero lo scambio di informazioni vere e proprie, ma al sicuro da sguardi indiscreti.

Il protocollo http non è sicuro?

Sì, lo è. Il protocollo HTTPS è indispensabile solo quando devi inserire dati personali nel sito web, ad esempio per fare un acquisto o accedere a un profilo. In tutti gli altri casi, ad esempio per consultare il sito dell’enciclopedia online della Treccani, non è necessario che il sito utilizzi l’HTTPS e disponga del relativo certificato.

Quando visiti un sito sprovvisto di HTTPS, il browser mostra la dicitura “Non sicuro”. Nei casi appena descritti, ovvero quando visiti un sito web senza inserire dati sensibili, non devi preoccuparti.

Ma allora, adesso Internet è sicuro e posso fare quello che voglio ovunque?

NO! Scusa il maiuscolo, ma è importante sottolinearlo: sebbene siano uno standard importante, il protocollo HTTPS non basta per garantire la sicurezza dei tuoi dati e dispositivi. Esistono molti tipi di attacchi informatici che non passano attraverso un sito web (email di phishing, ransomware, adware, malware e così via). Inoltre, l’HTTPS ti garantisce solo l’affidabilità del sito e della connessione tra te e il suo server, ma non può fare niente per proteggere l’integrità e la riservatezza dei tuoi dati se hai un malware installato sul computer, che legge tutte le informazioni che invii online.

HTTPS e antivirus: l’accoppiata vincente

Il protocollo HTTPS garantisce l’affidabilità dei siti e cripta la comunicazione tra te e il server del sito, ma non è abbastanza. L’unico modo per essere al sicuro quando navighi è combinarlo con l’uso di un buon software di cybersicurezza:

• Non inserire MAI dati personali su siti che non utilizzano HTTPS (controlla il certificato)
• Mantieni SEMPRE attivo e aggiornato l’antivirus

In questo modo sarai coperto su entrambi i fronti: sul computer e in rete.

Speriamo di averti aiutato a capire cos’è il protocollo HTTPS, come funziona, in che modo ti aiuta a proteggere la tua privacy e distinguere i siti affidabili da quelli che non lo sono, nonché i suoi limiti a livello di protezione.

Buona navigazione sicura e cifrata con l’HTTPS!