HTTPS è un modo sicuro per inviare dati tra un server Web e un browser Web.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Hypertext Transfer Protocol Secure (HTTPS) è la versione sicura di HTTP, ovvero il protocollo principale utilizzato per inviare dati tra un browser Web e un sito Web. HTTPS è crittografato per aumentare la sicurezza del trasferimento dei dati. Ciò è particolarmente importante quando gli utenti trasmettono dati sensibili, ad esempio quando accedono a un conto bancario, a un servizio di posta elettronica o a una compagnia assicurativa.
Qualsiasi sito Web, in particolare quelli che richiedono credenziali di accesso, dovrebbe utilizzare HTTPS. Nei browser Web moderni come Chrome, i siti Web che non utilizzano HTTPS sono contrassegnati in maniera differente da quelli che lo utilizzano. Cerca un lucchetto nella barra degli URL per verificare se la pagina Web è sicura. I browser Web prendono sul serio HTTPS; Google Chrome e altri browser contrassegnano tutti i siti Web non HTTPS come non sicuri.
HTTPS utilizza un protocollo di crittografia per crittografare le comunicazioni. Il protocollo è chiamato Transport Layer Security (TLS), anche se in precedenza era noto come Secure Sockets Layer (SSL). Questo protocollo protegge le comunicazioni utilizzando quella che è nota come infrastruttura a chiave pubblica asimmetrica. Questo tipo di sistema di sicurezza utilizza due chiavi diverse per crittografare le comunicazioni tra due parti:
HTTPS impedisce ai siti Web di trasmettere le proprie informazioni in un modo facilmente visualizzabile da chiunque si trovi sulla rete. Quando inviate tramite un normale protocollo HTTP, le informazioni vengono suddivise in pacchetti di dati che possono essere facilmente "fiutati" con un software gratuito. Ciò rende la comunicazione su un mezzo non sicuro, come il Wi-Fi pubblico, estremamente vulnerabile alle intercettazioni. In effetti, tutte le comunicazioni che avvengono su HTTP vengono trasmesse in testo normale, rendendole facilmente accessibili a chiunque disponga degli strumenti appropriati. Sono inoltre vulnerabili agli attacchi di interposizione.
Con HTTPS, il traffico è crittografato in modo tale che, anche se il pacchetto viene "fiutato" o altrimenti intercettato, si presenterà in formato di caratteri senza senso. Diamo un'occhiata a un esempio:
Questa è una stringa di testo totalmente leggibile
ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=
Nei siti Web senza HTTPS, i provider di servizi (ISP) o altri intermediari possono inserire contenuti nelle pagine Web senza l'approvazione dei rispettivi proprietari, assumendo comunemente la forma di pubblicità, in cui un ISP che cerca di aumentare i propri profitti inserisce pubblicità a pagamento nelle pagine Web dei propri clienti. Non sorprende che quando questo si verifica, i profitti per gli annunci pubblicitari e il controllo di qualità di tali annunci non vengano in alcun modo condivisi con i proprietari dei siti Web. HTTPS elimina la capacità di terzi non moderati di inserire pubblicità nei contenuti Web.
Immagine tratta da Ars Technica
Per un elenco completo dei vantaggi offerti da HTTPS, consulta Perché usare HTTPS?
HTTPS utilizza la porta 443, al contrario di HTTP, che invece utilizza la porta 80.
(Nella rete, una porta è un punto virtuale basato su software in cui iniziano e terminano le connessioni di rete. Tutti i computer connessi alla rete espongono un numero di porte per consentire loro di ricevere traffico. Ogni porta è associata a un processo o servizio specifico e protocolli diversi utilizzano porte diverse).
Tecnicamente parlando, HTTPS non è un protocollo separato da HTTP. Usa semplicemente la crittografia TLS/SSL per accedere al protocollo HTTP. Il protocollo HTTPS entra in atto in base alla trasmissione di certificati TLS/SSL, che verificano che un determinato provider sia chi afferma di essere.
Quando un utente si connette a una pagina Web, quest'ultima invierà il suo certificato SSL che contiene la chiave pubblica necessaria per avviare la sessione sicura. I due computer, il client e il server passano quindi attraverso un processo chiamato handshake SSL/TLS, che è una serie di comunicazioni di botta e risposta utilizzate per stabilire una connessione sicura. Per approfondire la crittografia e l'handshake SSL/TLS, leggi cosa accade in un handshake TLS.
Molti siti Web che ospitano provider e altri servizi offrono certificati TLS/SSL a pagamento. Questi certificati sono spesso condivisi tra molti clienti. Sono disponibili certificati più costosi che possono essere registrati individualmente su determinate proprietà Web.
Tutti i siti Web che utilizzano Cloudflare ricevono il protocollo HTTPS gratuitamente grazie a un certificato condiviso (il termine tecnico per questo è "certificato SSL multi-dominio"). La configurazione di un account gratuito garantirà che una proprietà Web riceva una protezione HTTPS continuamente aggiornata. Puoi anche esplorare il nostro piano a pagamento per certificati individuali e altre funzionalità. In entrambi i casi, una proprietà Web riceve tutti i vantaggi dell'utilizzo di HTTPS.