HTTP-HTTPS: la sicurezza inizia da una lettera

Lucchetto sul mondo: HTTP, HTTPS, SSL, TLS a livello di privacy e sicurezza

Avete presente quel simbolo che appare durante la navigazione tramite browser in alto a sinistra a forma di lucchetto o di avviso? E’ un controllo che il browser effettua per rilevare se il sito che stiamo visitando offre un protocollo di sicurezza o meno. L’obbiettivo è informarci in maniera semplice e diretta se il sito prevede il protocollo di sicurezza SSL: vedremo in questo articolo di parlare dei termini HTTP, HTTPS e SSL/TLS per comprendere cosa sono e come vengono trasmesse le informazioni in base alla tipologia adottata.

HTTPS: barra degli indirizzi che mostra l'utilizzo di HTTP o HTTPS con il simbolo del lucchetto per indicare la sicurezza
Esempio della barra degli indirizzi, presente in alto nei browser, che mostra l’utilizzo di HTTP o HTTPS con il simbolo del lucchetto per la sicurezza. Immagine tratta da Web Vectors by Vecteezy

HTTP

HTTP, hypertext transfer protocol, è il principale sistema di trasmissione d’informazioni sul web: ogni volta che cerchiamo una pagina tramite browser (come Chrome, Firefox, Safari) vengono caricate pagine http. Questa architettura si basa sull’elaborazione delle richieste e delle risposte tra client e server. Client è lo strumento che utilizziamo per navigare su internet come può essere un pc, un cellulare o un tablet. Il server è il computer dove risiede il sito che stiamo visitando, tenendo presente che ogni sito web ha il suo server a cui ci colleghiamo.

Riassumendo HTTP gestisce le richieste, durante la navigazione tramite browser, tra il nostro dispositivo e il server restituendo in risposta il sito web da noi richiesto e facendoci connettere.

Tuttavia tale sistema lascia la comunicazione in chiaro senza alcun tipo di cifratura tra il client e il server durante la loro comunicazione: chiunque si intrometta nello scambio tra client e server ha accesso immediato a tutte le informazioni.

Se il sito è solo di consultazione e non raccoglie dati personali tramite cookie il problema è marginale, ma quando consideriamo che siti di aziende, professionisti, ecommerce, pubblica amministrazione e via discorrendo ancora oggi utilizzano siti solo in HTTP si può già iniziare a comprendere le vulnerabilità e le minacce che ne possono conseguire.

HTTPS e Certificate Authority (CA)

SSL/TLS, secure sockets layer (SSL) e transport layer security (TLS), sono protocolli crittografici di sicurezza, autenticazione e confidenzialità: l’interazione tra client e server avviene tramite autenticazione in modo che il client riconosca l’identità del server tramite la verifica del suo certificato, la firma digitale e la certificate authority. Dopo tali verifiche il browser indica la connessione sicura mostrando, come è visibile nell’immagine precedente, l’icona di un lucchetto.

HTTPS è composto da HTTP unito alla sicurezza garantita da SSL/TLS: secure hypertext transfer protocol.

CA (Certificate Authority) è un soggetto terzo di fiducia (per esempio su questo sito tale soggetto è Let’s Encrypt), pubblico o privato, abilitato ad emettere un certificato digitale per garantire l’identità virtuale tramite una procedura di certificazione che segue standard internazionali e in conformità alla normativa europea e nazionale in materia.

CA si avvale di un sistema di crittografia a doppia chiave per permettere una navigazione segreta tra client e server grazie alla loro identificazione.

In sintesi HTTPS elabora le richieste tra client e server tramite un browser web con un ulteriore protocollo crittografico di sicurezza, rispetto all’HTTP che ne è privo, grazie al protocollo SSL/TLS. Chi garantisce sull’attendibilità della comunicazione tra client e server è la Certificate Authority che rilascia il certificato per garantire l’identità digitale del server.

Vantaggi dell’HTTPS

Possiamo dividere i principali vantaggi in quattro punti:

  1. I costi partono da soluzioni gratuite come Let’s Encrypt ideale per siti vetrina e di consultazione a soluzioni proporzionatamente più costose in base alle verifiche che la CA effettua sul dominio, sull’azienda e sul firmatario per fare alcuni esempi. Tali controlli vengono effettuati dalla Certificate Authority per cui al gestore del sito web è richiesta solo l’implementazione del protocollo SSL/TLS.
  2. I motori di ricerca penalizzano la visibilità dei siti HTTP, favorendo quelli HTTPS. Google, Bing e Yahoo, per fare alcuni esempi, puntano sempre di più su un web più sicuro e i siti HTTPS sono un ottimo punto di partenza. Ogni attività, dalla più piccola alla più grande, dovrebbe puntare a una migliore indicizzazione dei loro siti web.
  3. La CA, come in questo caso Let’s Encrypt, rilascia un certificato in modo che il sito web che visitiamo abbia una sua “carta d’identità digitale”: importante sottolineare la sua importanza a livello legale. Attendibilità, affidabilità, fiducia e identità digitale sono tutti aspetti che si possono ottenere e potenziare con certificati adatti alla propria realtà.
  4. La crittografia permette di avviare una comunicazione sicura tra client e server e aprire canali dove i dati crittografati fluiscono dopo un’autenticazione tra client e server.
Esempio tratto da Aruba sui costi SSL TLS
Esempio di certificati a pagamento presenti sul portale di Aruba

Con costi nulli o comunque contenuti si può vedere quanto un’integrazione di questo protocollo SSL/TLS porti vantaggi su molteplici aspetti: la protezione, la sicurezza della navigazione, la visibilità, l’attendibilità, l’identità virtuale, la privacy e la fiducia non dipendono solo dall’HTTPS (ed è sempre bene ricordarlo), ma questi è un punto cardine per la loro riuscita.

Privacy

In questo articolo abbiamo solo accennato alla privacy, ma abbiamo parlato di come vengono trattati i dati in base alla presenza o meno del protocollo SSL/TLS a livello informatico (trasmissione dati e sicurezza), legale (identità virtuale) e imprenditoriale (attendibilità, visibilità, affidabilità e fiducia): la privacy non è un tassello slegato dagli altri ma deve essere in grado di incastrarsi nell’ecosistema esistente in maniera coesa, cercando un approccio pratico in modo tale da rapportarsi con l’attività lavorativa quotidiana e le sue molteplici sfaccettature.

Nei precedenti articoli sui cookie e su Google Analytics abbiamo analizzato la trasmissione di informazioni legata ai cookie, le regole in ambito privacy sulla loro integrazione e la loro legittimità. Con l’articolo di oggi ci siamo spostati su un aspetto tecnico della tutela della comunicazione tra client e server basandoci sul protocollo SSL/TSL e di conseguenza su un importante strumento di salvaguardia dei dati personali trattati che possono passare per questi canali.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su