Protocollo sicuro: di che cosa si tratta

Quante volte vi hanno già consigliato di controllare la barra degli indirizzi?
“Se l’URL inizia con HTTP vuol dire che il sito web su cui state navigando non è sicuro, se invece i primi caratteri sono HTTPS allora potete stare tranquilli.”

Ma, all’atto pratico, che cosa significano quelle sequenze di caratteri?

Una semplice S ha il potere di farvi davvero navigare senza pensieri, oppure no?
Ha senso passare dal Protocollo HTTP a quello HTTPS per la pagina web della tua impresa?

In questo articolo chiariremo tutti i concetti fondamentali partendo dalle basi

Per capire se un sito web è affidabile la prima cosa da fare è analizzare il suo indirizzo.

L’indirizzo di un sito web, che identifica univocamente la pagina, è detto URL ossia Uniform Resource Locator e contiene numerose informazioni.

Prendiamo ad esempio il seguente URL: https://www.onoratoinformatica.it/password-e-autenticazione-sicura/
analizziamone insieme i singoli elementi.

• Protocollo di connessione (di solito è HTTP oppure HTTPS)
• Sottodominio (www)
• Dominio (onoratoinformatica)
• Dominio di primo livello (.it)
• Percorso per arrivare alla pagina specifica (password-e-autenticazione-sicura)

Cosa è un Protocollo di connessione

Un Protocollo di connessione è il mediatore tra il web browser di un computer (detto client) e il server web, ossia il “luogo” che conserva il sito web che si vuole consultare.

Diciamo pure che il protocollo permette essenzialmente la comunicazione e lo scambio di informazioni tra le due parti.

HTTP (“Hypertext Transfer protocol”) è parte di un protocollo più generale: l’Internet Protocol.

Il funzionamento HTTP è semplice

l’utente clicca su un link e invia una richiesta al server utilizzando il codice HTTP.
In tal modo viene stabilita la comunicazione tra client e server. Quest’ultimo identifica l’URL e risponde aprendo la pagina corrispondente. Il tempo che impiega dipende dalla velocità della connessione, ma è comunque estremamente breve.

Il sistema è stato sviluppato all’inizio degli anni ’90 quando le informazioni scambiate attraverso la rete erano ancora relativamente poche e il traffico di dati sensibili era sostanzialmente nullo.
Non c’era necessità di rendere le informazioni inaccessibili ad ipotetici hacker e di conseguenza il Protocollo HTTP si focalizza esclusivamente sulla trasmissione dei dati.

Con il passare del tempo, l’aumento delle informazioni sensibili e degli attacchi informatici che mirano ad entrarne in possesso, ha reso necessaria un’evoluzione nelle misure di sicurezza dei protocolli.

La comunicazione che sfrutta il Protocollo HTTP genera un flusso di dati anonimo ma non criptato quindi vulnerabile ai cyber attacchi.

Nel 1994 è stato quindi sviluppato il Protocollo HTTPS, acronimo di Hypertext Transfer Protocol Secure.
Questo inserisce un passaggio intermedio nella comunicazione, il Certificato SSL, che garantisce:

• la riservatezza dei dati, che, mediante la crittografia, li rende indecifrabili a tutti gli utenti estranei alla comunicazione;
• la loro integrità, non permettendone modifiche durante il trasferimento;
• l’autenticazione, ovvero la corrispondenza del sito visitato all’URL richiesto.

Il risultato?
Grazie a questi certificati si crea un canale di comunicazione protetto a vantaggio di tutti gli utenti.

I Certificati SSL e TLS vengono rilasciati dalle Autorità di certificazione accreditate e si aggiungono al protocollo HTTP al fine di renderlo HTTPS.

Questi  garantiscono:

• la cifratura dei dati

• l’identificazione dei siti

e la

• proprietà del server.

Al momento di stabilire una connessione, client e server:

• si accordano sull’algoritmo da utilizzare
• si scambiano le chiavi di cifratura

e solo alla fine

• procedono con l’invio delle informazioni.

Il Protocollo sicuro è una protezione contro gli attacchi hacker man-in-the-middle, sniffing o eavesdropping.
In questi attacchi informatici, il malintenzionato si frappone tra client e server cercando di intercettare o manomettere le informazioni prima che arrivino a destinazione. Il suo obiettivo è quello di manipolare la conversazione per il suo tornaconto.

Ma cosa differenzia un certificato SSL (Secure Sockets Layer)  da un TLS (Transport Layer Security, sicurezza del livello di trasporto)?

Normalmente i Certificati di sicurezza vengono indicati con la sigla SSL per comodità, in quanto i primi ad essere in circolazione erano così denominati.

Il TSL è una versione avanzata e più sicura di SSL.

Tuttavia, qualora vi trovaste a comprare un Certificato di sicurezza, vi verrebbe fornito il TSL più aggiornato, basato su crittografia ECC, RSA o altre analogamente efficaci.

Nel caso voleste cimentarvi nel verificare le caratteristiche del Protocollo di sicurezza di un sito web, potreste procedere in questo modo:

• posizionatevi sulla barra degli indirizzi e controllate l’URL;
• se inizia con HTTPS è sicuramente preceduto dal simbolo di un lucchetto;
• fate clic sul lucchetto per accedere ai dettagli del certificato, tra cui: autorità di emissione, nome aziendale del sito e scadenza

Se desiderate approfondire chi sia l’Autorità che ha rilasciato il certificato, fate clic sul pulsante “Dichiarazione emittente”.

Chiarite le caratteristiche del protocollo HTTPS, è doverosa una riflessione sulla sua effettiva sicurezza.

I motivi per i quali bisognerebbe navigare solo su siti web con un Certificato SSL in corso di validità sono evidenti.
Nel momento in cui inserite password, dati personali, codici bancari su un sito non protetto, un possibile hacker potrebbe leggerli in chiaro senza difficoltà e sfruttarli per i suoi scopi illeciti. Il protocollo https serve proprio a prevenire questa eventualità.

Questo non significa che, navigando sempre su siti con Certificato di sicurezza, siate al riparo da qualsiasi minaccia informatica.

Esistono molti altri modi con i quali un hacker può attaccare senza sfruttare una pagina web: ad esempio, sfruttando il phishing, l’adware e altri malware.

L’HTTPS garantisce la sicurezza della connessione tra te e il server e l’autenticità del sito. Non ha il potere di proteggervi nel caso abbiate già nel vostro computer un virus in grado di leggere tutto ciò che digitate online.

Inoltre, il Protocollo sicuro non è indispensabile nel caso navighiate su una pagina senza eseguire un accesso, trasmettere dati o eseguire pagamenti: come effettuare una normale ricerca o leggere un articolo.

Come abbiamo visto l’HTTPS è vantaggioso per tutte le aziende, ma è particolarmente raccomandato per le seguenti categorie di imprese:

• piattaforme che permettono acquisti (e-commerce o negozi online).
  Per queste piattaforme è obbligatorio ma, anche non lo fosse, le statistiche dimostrano come ben pochi utenti siano disposti a fornire i dati delle loro carte di credito su piattaforme che non presentano protocolli di sicurezza web;
• siti che mettono a disposizione form di iscrizione, o raccolgono elenchi di mail e altre informazioni personali. Resta sempre opportuno trattare con la dovuta sicurezza le informazioni dei clienti;
• in caso si utilizzino moduli o codici sorgente di qualsiasi tipo.

Ottenere un Certificato SSL è più semplice di quanto si pensi.

I principali fornitori di hosting offrono solitamente anche pacchetti compresivi di questi protocolli.
E’ possibile anche il trasferire il Certificato di sicurezza dal server in cui si trova ed importandolo su quello nuovo. Le istruzioni specifiche vanno ricercate sul sito del particolare hosting web a cui fate riferimento.

I Certificati si dividono in:

• Domain Validated (DV),  che conferisce la certificazione esclusivamente al dominio 
• Organization Validated (OV),  che certifica l’intera azienda.

In alcuni casi le Autorità di certificazione richiedono l’acquisto di una licenza per ogni server legato al Certificato.

Sebbene il Protocollo sicuro non rappresenti una panacea per tutti i pericoli della rete, possiamo dire con certezza che fare acquisti su siti che non lo implementano è da imprudenti.

La regola d’oro è: non inserite mai dati personali su siti non sicuri!

Il Certificato SSL garantisce che le informazioni inserite siano protette da una crittografia efficace e trasmesse attraverso un canale di comunicazione sicuro. Assicura l’autenticità del sito con cui si comunica, protegge da siti contraffatti e  da diversi tipi di attacchi informatici.

Per un’impresa che ancora non lo utilizza, l’HTTPS potrebbe portare diversi vantaggi:

• proteggere la sicurezza aziendale e quella dei propri clienti ed è indispensabile per proporre vendite on-line.
• essendo favorito dalle politiche di Google, permette di guadagnare  visibilità, conquistare la fiducia di nuovi clienti ed evitare danni di immagine.

A questo punto, sia che siate utenti che siate imprenditori… è ora di dire basta allo scambio di dati tramite protocollo HTTP.