Qual è la differenza tra HTTP e HTTPS? Cose che devi sapere per rimanere sicuro online
Gli utenti di Mozilla Firefox potrebbero essersi imbattuti nei casi quando provano a inserire del testo in un modulo online e vedono una casella che dice: "La connessione non è sicura. Gli accessi inseriti qui potrebbero essere compromessi. "Quando gli utenti di Google Chrome accedono a questi siti Web, visualizzano un messaggio "Non sicuro" nella barra degli indirizzi. Di cosa si tratta?
Il più attento tra voi probabilmente saprà che alcuni URL iniziano con "http://" e altri con "https://". Potresti anche aver notato che quando il sito viene caricato in HTTPS, viene visualizzato un simbolo di lucchetto verde accanto all'indirizzo del sito Web. Questo lucchetto verde è davvero importante e ora spiegheremo perché.
Table of Contents
Che cos'è HTTP?
HTTP è l'acronimo di Hypertext Transfer Protocol, e senza di esso non leggeresti questo. HTTP facilita il trasferimento di testo, immagini e altri media tra il tuo computer e il server che ospita il sito web che stai visitando. Navigare in Internet senza questo protocollo sarebbe un'esperienza molto diversa.
Quando Tim Berners-Lee ha creato HTTP nel 1989, Internet non era esattamente onnipresente. Poche persone hanno avuto accesso ad esso e i pionieri online non hanno capito perché qualcuno avrebbe voluto rubare informazioni che viaggiavano tra computer. Le cose, come probabilmente sai, sono cambiate un po 'da allora.
HTTPS e la sua importanza
Man mano che Internet cresceva, sempre più persone cattive iniziarono a interessarsi alla quantità sempre crescente di informazioni che volavano in giro, e nacque il cosiddetto attacco Man-In-The-Middle (MITM). Come suggerisce il nome, durante un attacco MITM, una persona si inserisce tra il computer dell'utente e il server del sito Web e annusa i dati fluenti. In questo modo, il truffatore può rubare le password e manomettere ciò che l'utente invia e riceve.
È diventato presto chiaro che l'approccio all'invio di informazioni sensibili su Internet dovrebbe cambiare, ed è così che è nato HTTPS, o HTTP Secure. HTTPS è un'estensione di HTTP piuttosto che un protocollo diverso. Serve un paio di scopi principali:
- Crittografia dei tuoi dati. La crittografia è al centro di HTTPS. Inizialmente si basava sul protocollo crittografico Secure Socket Layer (SSL), ma in seguito passò al successore più sicuro di SSL, Transport Layer Security (TLS). Ecco come funziona in termini semplici: non appena si stabilisce una connessione HTTPS, il browser e il server che ospita il sito Web eseguono innanzitutto il cosiddetto "handshake" durante il quale, utilizzando un codice asimmetrico, scambiano in modo sicuro dati specifici della sessione e la chiave crittografica che verrà utilizzata per la crittografia delle informazioni. Da quel momento in poi, ogni bit di dati che viene inviato da e verso il tuo computer è illeggibile per chiunque tranne te e il server. Di conseguenza, mentre un hacker potrebbe teoricamente intercettare le tue credenziali di accesso all'online banking, non avranno idea di quale sia il tuo assomigliano a nome utente e password. Allo stesso modo, non saranno in grado di acquisire e modificare i dati che la banca sta inviando al tuo PC.
- Ti assicuro che sei nel posto giusto. Lo scopo di HTTPS non è solo quello di trasformare i tuoi dati in un pasticcio di caratteri illeggibile. Per servire il tuo sito Web con una connessione HTTPS, devi disporre di un certificato SSL (anche se SSL è stato abbandonato qualche tempo fa, il nome è rimasto bloccato). Questi certificati sono emessi dalle cosiddette Autorità di certificazione (o CA) e l'idea è che sono dati solo a siti Web legittimi. Alcuni portali online affermati come PayPal hanno optato per i certificati Extended Validation (EV) che mostreranno il nome del proprietario del sito web. Sebbene gli esperti di sicurezza ritengano che non apportino alcun valore aggiuntivo, prima di emettere un certificato EV, le autorità di certificazione adottano ulteriori misure per garantire che l'entità certificata sia affidabile. L'idea di certificati regolari ed EV è di far sapere all'utente che il sito Web che sta visitando non è dannoso.
Quando navighi in rete, vuoi essere sicuro di essere sempre nel sito giusto, che al giorno d'oggi non è così facile come potrebbe apparire. Con così tanti hacker ficcanaso in agguato dietro ogni angolo, vuoi anche essere sicuro che i dati che invii non sono visibili alle persone mal intenzionate. In teoria, HTTPS risponde a entrambe le domande. In realtà, dobbiamo ancora essere vigili.
Adozione HTTPS e problemi che ne derivano
Per anni, gli esperti di sicurezza hanno sollecitato gli operatori di siti Web a passare all'HTTPS, ma le loro chiamate non sono state ascoltate e il motivo era semplice: il denaro. I certificati SSL erano piuttosto costosi e venivano acquistati principalmente dai siti Web di e-commerce. Le cose sono cambiate due e un po 'di anni fa quando è emersa una nuova autorità di certificazione chiamata Let's Encrypt. A differenza del resto delle CA, Let's Encrypt offre certificati SSL gratuitamente e il processo è anche completamente automatizzato, il che significa che l'adozione di HTTPS richiede solo pochi minuti ed esattamente $ 0.
Il problema è che servire i siti Web tramite una connessione sicura è ora più semplice sia per le aziende online legittime sia per i criminali. Di conseguenza, gli esperti hanno visto sempre più pagine di phishing con certificati SSL. Ciò significa che il lucchetto verde non può più essere considerato un indicatore affidabile di una pagina Web affidabile e sicura. Tuttavia, il fatto che il numero di siti Web HTTPS sia aumentato è una buona cosa. Meglio ancora, probabilmente continuerà ad aumentare.
Si dice che le prestazioni SEO dei siti Web serviti su una connessione non sicura siano inferiori e presto Google Chrome identificherà tutti i siti Web HTTP come "Non sicuri", non solo quelli che hanno un modulo di accesso. In altre parole, HTTPS sta diventando la norma, non l'eccezione. Se vogliamo un World Wide Web più sicuro, questo è un passo molto importante.
