Cos'è HTTP?

HTTPS è un modo sicuro per inviare dati tra un server Web e un browser Web.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire il concetto di HTTPS
  • Scoprire come funziona il protocollo HTTPS
  • Comprendere l'importanza del protocollo HTTPS
  • Scoprire come utilizzare il protocollo HTTPS su un sito Web

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è HTTP?

Hypertext Transfer Protocol Secure (HTTPS) è la versione sicura di HTTP, ovvero il protocollo principale utilizzato per inviare dati tra un browser Web e un sito Web. HTTPS è crittografato per aumentare la sicurezza del trasferimento dei dati. Ciò è particolarmente importante quando gli utenti trasmettono dati sensibili, ad esempio quando accedono a un conto bancario, a un servizio di posta elettronica o a una compagnia assicurativa.

Qualsiasi sito Web, in particolare quelli che richiedono credenziali di accesso, dovrebbe utilizzare HTTPS. Nei browser Web moderni come Chrome, i siti Web che non utilizzano HTTPS sono contrassegnati in maniera differente da quelli che lo utilizzano. Cerca un lucchetto nella barra degli URL per verificare se la pagina Web è sicura. I browser Web prendono sul serio HTTPS; Google Chrome e altri browser contrassegnano tutti i siti Web non HTTPS come non sicuri.

Esempio di sicurezza di Google Chrome

Come funziona il protocollo HTTPS?

HTTPS utilizza un protocollo di crittografia per crittografare le comunicazioni. Il protocollo è chiamato Transport Layer Security (TLS), anche se in precedenza era noto come Secure Sockets Layer (SSL). Questo protocollo protegge le comunicazioni utilizzando quella che è nota come infrastruttura a chiave pubblica asimmetrica. Questo tipo di sistema di sicurezza utilizza due chiavi diverse per crittografare le comunicazioni tra due parti:

  1. La chiave privata: questa chiave è controllata dal proprietario di un sito Web ed è mantenuta, come si potrebbe ipotizzare, privata. Questa chiave risiede su un server Web e viene utilizzata per decrittografare le informazioni crittografate dalla chiave pubblica.
  2. La chiave pubblica: questa chiave è disponibile per tutti coloro che desiderano interagire con il server in modo sicuro. Le informazioni crittografate dalla chiave pubblica possono essere decrittografate solo dalla chiave privata.
Ebook
5 metodi per ottimizzare sicurezza e prestazioni
Ebook
Everywhere Security per ogni fase del ciclo di vita dell'attacco

Perché HTTPS è importante? Cosa accade se un sito Web non dispone del protocollo HTTPS?

HTTPS impedisce ai siti Web di trasmettere le proprie informazioni in un modo facilmente visualizzabile da chiunque si trovi sulla rete. Quando inviate tramite un normale protocollo HTTP, le informazioni vengono suddivise in pacchetti di dati che possono essere facilmente "fiutati" con un software gratuito. Ciò rende la comunicazione su un mezzo non sicuro, come il Wi-Fi pubblico, estremamente vulnerabile alle intercettazioni. In effetti, tutte le comunicazioni che avvengono su HTTP vengono trasmesse in testo normale, rendendole facilmente accessibili a chiunque disponga degli strumenti appropriati. Sono inoltre vulnerabili agli attacchi di interposizione.

Con HTTPS, il traffico è crittografato in modo tale che, anche se il pacchetto viene "fiutato" o altrimenti intercettato, si presenterà in formato di caratteri senza senso. Diamo un'occhiata a un esempio:

Prima della crittografia:

Questa è una stringa di testo totalmente leggibile

Dopo la crittografia:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Nei siti Web senza HTTPS, i provider di servizi (ISP) o altri intermediari possono inserire contenuti nelle pagine Web senza l'approvazione dei rispettivi proprietari, assumendo comunemente la forma di pubblicità, in cui un ISP che cerca di aumentare i propri profitti inserisce pubblicità a pagamento nelle pagine Web dei propri clienti. Non sorprende che quando questo si verifica, i profitti per gli annunci pubblicitari e il controllo di qualità di tali annunci non vengano in alcun modo condivisi con i proprietari dei siti Web. HTTPS elimina la capacità di terzi non moderati di inserire pubblicità nei contenuti Web.

Inserimento di contenuti di terzi

Immagine tratta da Ars Technica

Per un elenco completo dei vantaggi offerti da HTTPS, consulta Perché usare HTTPS?

Registrati
SSL gratuito compreso in qualsiasi piano Cloudflare

Quale porta viene utilizzata dal protocollo HTTPS?

HTTPS utilizza la porta 443, al contrario di HTTP, che invece utilizza la porta 80.

(Nella rete, una porta è un punto virtuale basato su software in cui iniziano e terminano le connessioni di rete. Tutti i computer connessi alla rete espongono un numero di porte per consentire loro di ricevere traffico. Ogni porta è associata a un processo o servizio specifico e protocolli diversi utilizzano porte diverse).

In quale altro modo HTTPS differisce da HTTP?

Tecnicamente parlando, HTTPS non è un protocollo separato da HTTP. Usa semplicemente la crittografia TLS/SSL per accedere al protocollo HTTP. Il protocollo HTTPS entra in atto in base alla trasmissione di certificati TLS/SSL, che verificano che un determinato provider sia chi afferma di essere.

Quando un utente si connette a una pagina Web, quest'ultima invierà il suo certificato SSL che contiene la chiave pubblica necessaria per avviare la sessione sicura. I due computer, il client e il server passano quindi attraverso un processo chiamato handshake SSL/TLS, che è una serie di comunicazioni di botta e risposta utilizzate per stabilire una connessione sicura. Per approfondire la crittografia e l'handshake SSL/TLS, leggi cosa accade in un handshake TLS.

In che modo un sito Web inizia a utilizzare HTTPS?

Molti siti Web che ospitano provider e altri servizi offrono certificati TLS/SSL a pagamento. Questi certificati sono spesso condivisi tra molti clienti. Sono disponibili certificati più costosi che possono essere registrati individualmente su determinate proprietà Web.

Tutti i siti Web che utilizzano Cloudflare ricevono il protocollo HTTPS gratuitamente grazie a un certificato condiviso (il termine tecnico per questo è "certificato SSL multi-dominio"). La configurazione di un account gratuito garantirà che una proprietà Web riceva una protezione HTTPS continuamente aggiornata. Puoi anche esplorare il nostro piano a pagamento per certificati individuali e altre funzionalità. In entrambi i casi, una proprietà Web riceve tutti i vantaggi dell'utilizzo di HTTPS.