Introduzione al protocollo HTTPS
Il protocollo HTTPS è stato inventato come versione sicura del protocollo HTTP, dove si è evoluto da un semplice invio di documenti ipertestuali ad uno strumento universale per molti scopi elaborando i dati nel modo sicuro.La sicurezza funziona attraverso un insieme di chiavi crittografiche che a loro volta sono indecifrabili poiché utilizzano più simboli. La chiave crittografica si genera solamente tra il browser e il server e si aggiorna ripetutamente, perciò è difficile che una persona esterna riesca a captare i dati. Utilizzando HTTP, i dati vengono trasmessi nel modo aperto rispetto a HTTPS. HTTPS utilizza il certificato SSL/TLS.
Cos’è il certificato SSL/TLS?
SSL (secure sockets layer) – è un protocollo crittografico per una connessione sicura. Dalla versione 3.0 lo hanno sostituito cont TLS (transport layer secdurity). Tutti quanti noi ci siamo abituati all’acronimo SSL e lo utilizziamo anche quando intendiamo TLS.
Come funziona? E’ tutto molto semplice, Quando un utente entra su un sito web, richiede l’informazione sul certificato al server, il server a sua volta invia la copia del certificato on la chiave e il browser controlla se il sito web è indicato nel certificato ricevuto.
Nel protocollo TLS viene utilizzato HMAC (Hashed message autentication code) che utilizza l’algoritmo di HASH ovvero la trasformazione del contenuto in codice binario di una determinata lunghezza e MAC (message autentication code) ovvero una chiave per l’identificazione che deve essere utilizzata sia da client che da server. Tutta via le SERP ad esempio google e yandex preferiscono siti web che utilizzano il certificato sicura e danno priorità a loro in ogni caso.
Tipi di certificazioni SSL
Dove si può acquisire un certificato sicuro? Ci sono vari enti che sono pronti ad offrirti il certificato e nella maggior parte dei casi sono inclusi nel prezzo del dominio basta abilitarlo come ad esempio nel pannello di controlla del tuo gestore di hosting e domino o da PLESK o CPanel nel caso in cui il tuo servizio è dotato di una di queste fantastiche applicazioni di gestione. Per una semplice connessione sicura dove il tuo sito ha un origine di natura esclusivamente informativa, potresti richiedere un semplice DV – Domain Validation o OV – Orgnaization Validation (oltre alla validazione del dominio necessità di confermare l’identità dell’azienda) . Nel caso in cui invece tu abbia necessità di utilizzo delle transazioni bancarie, avrai bisogno di un certificato EV – Extended Validation. Se invece l’azienda ha più di una risorsa è consigliato l’utilizzo di WildCard o SAN.
Utilizzo HTTPS
Tuttavia al giorno d’oggi non è obbligatorio l’utilizzo del protocollo HTTPS, però il proprietario di una sua risorsa web deve essere completamente consapevole dei rischi ai quali è sottoposto che possono essere:
- Ricezione di spam
- Eliminazione e modifica dati
- Implementazione di link obsoleti
- Modifiche di contenuto
- ecc…
E’ necessario utilizzare la connessione sicura?
Ad esempio – facciamo finta che tra la connessione del tuo device e server è riuscita ad entrare una terza persona che è riuscita a rubarti dei dati di un tuo cliente. L’utilizzo di un certificato HTTPS conferma che il proprietario (ovvero tu) ha assicurato la connessione sicura con questo mettendo a sicuro i dati del cliente. Utilizzando il protocollo sicuro che viene utilizzato solamente nel momento della connessione con il server e non può essere gestito direttamente dal proprietario. E la colpa in parte non è del proprietario che a sua volta ha assicurato la connessione sicura. Leggi anche – Cos’è un attacco DDoS?
