Protocolli https e http, lucchetti verdi e certificati: in questo articolo vediamo cosa sono e quali le differenze tra i diversi protocolli per navigare sicuri, difendere i propri dati ed evitare di cadere vittime di cyber criminali.
Nell'articolo
Cosa si intende per http (Hyper Text Transfer Protocol)
Http è un protocollo di rete usato come sistema per la trasmissione di informazioni sul web. Quando si accedere ad un sito in http (Hyper Text Transfer Protocol), dobbiamo essere consapevoli che le informazioni che viaggiano tra il nostro computer e il sito di destinazione sono in chiaro e possono essere lette da un malintenzionato.
Facciamo un esempio reale:
- accedo alla pagina di login di un sito in http,
- nel campo UseriD inserisco giorgio e nel campo Password inserisco Password01 e premo il pulsante login,
- queste informazioni sono in chiaro e vengono inviate al sito per verificare se le credenziali insertite sono corrette.
Un cyber criminale potrebbe sniffare i dati e catturare queste informazioni leggendo il contenuto. Tutto questo perché la trasmissione è in chiaro.
Https, Hyper Text Transfer Protocol Secure: che cos’è e come funziona
Su un sito in https (Hyper Text Transfer Protocol Secure), le informazioni che vengono inviate dal pc al sito di destinazione sono criptate e solo il destinatario può tradurre il contenuto.
Se un cyber criminale dovesse sniffare questi dati non vedrebbe nulla perché criptati. Facendo l’esempio di prima il contenuto del campo UserId e del campo password non sarebbero letti. Tuttavia non tutti i siti con protocollo https sono sicuri. Un cyber criminale potrebbe infatti registrare un certificato e utilizzarlo su un sito fake per commettere delle truffe.
Cosa sono i certificati digitali
Un certificato digitale è un documento elettronico che è in grado di attestare l’associazione univoca tra una chiave privata e l’identità di un soggetto (persona fisica o di un’organizzazione). La funzione di un certificato è paragonabile alla carta d’identità di una persona.
Questi certificati sono utilizzati per la cifratura https e ci assicurano che stiamo andando proprio dove vogliamo. Immaginiamo di avere dei fogli virtualiche contengono una chiave nascosa che serve per informare gli utenti che il sito a cui si stanno per collegare è esattamente quello indicato sull’Url.
A questo punto ti chiederai “come nascono questi certificati?” E come fa un utente ad accorgersi che un certificato è un certificato valido e autentico?
Un certificato per essere valido deve essere firmato da un ente di certificazione verificato. Le aziende cosidette CA (Certificate Authorities), sono le uniche che possono mettere un bollino sul certificato assicurandoti che questo sito è sicuro.
I certificati digitali sono uguali ai certificati tradizionali, quindi anche loro hanno un tempo di validità. Una volta scaduti i termini, il certificato non garantisce più l’autenticità delle informazioni.
Nella barra degli indirizzi (URL), avrai notato che compare spesso una banda di colore verde. Questo significa che il certificato è valido. Se invece è di colore rosso, significa che il sertificato è scaduto.
Qual è la differenza tra HTTP e HTTPS?
In generale il protocollo https è sempre consigliato quando si accede ad un sito internet. La sua importanza però raddoppia quando stai per entrare su un sito dove devi inserire i tuoi dati sensibili, il tuo numero di conto, il tuo documento di identà, etc….
Ad esempio quando accedi ad un social network ti sei mai chiesto quante informazioni su di te e sulla tua vita sono all’interno del tuo profilo?
Quando accedi ad un sito e-commerce e stai per fare un acquisto con la tua carta di credito o con altri sistemi di pagamento on line, tutte queste informazioni vengono inviate e registrate nel sito.
Un’altra differenza importante tra http e https risiede sull’utilizzo di una differente porta standard, tale porta viene usata dalle due varianti di protocollo così da creare la comunicazione con il server.
Tecnicamente il protocollo http sfrutta la porta 80, il protocllo https invece utilizza la porta 443.
Protocollo https e Certificato SSL
Come abbiamo potuto capire il protocollo HTTPS assieme al certificato SSL, rappresenta lo standard più importante per un sito web professionale.
I certificati SSL (Let’s Encrypt) sono gratuiti e sono forniti da un’ autorità garante (no profit). Questi certificati sono utilizzati tantissimo per i siti e-commerce dove sono previste transazioni di denaro.
Questi certificati non forniscono però una protezione completa, sono in grado di proteggere solo l’utente finale.
Per questo tipo di certificato non è prevista nessuna validazione (è presente solo il lucchetto verde vicino all’url del sito). Inoltre non sono previsti controlli sulla proprietà del dominio da parte del programmatore che ha attivato il certificato.
Il certificato SSL a pagamento (Commercial Certificate) è invece quello quello più raccomandato, perché l’autenticazione avviene tramite la validazione del dominio, viene verificato che la proprietà sia del privato oppure dell’azienda che lo ha registrato. Essendo a pagamento vengono offerte ulteriori garanzie in caso di violazione dei dati personali, con il addirittura un risarcimento economico.
Per saperne di più consulta il volume di Giorgio Perego “Sicurezza informatica per tutti“
Iscriviti al mio canale Youtube:https://www.youtube.com/channel/UCfXB2yeEkcOsFTxNfhkgtxg
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.