Protocollo HTTPS o HTTP? Come capire se un sito è sicuro?
Quando visiti un sito oppure una pagina Web, se osservi bene l’indirizzo nel navigatore (Browser) Web, la stringa comincia di solito con il testo seguente, HTTPS o HTTP.
HTTP sta per HyperText Transport Protocol che indica l’utilizzo di un protocollo standard per la trasmissione di dati sul web, l’assenza della S dopo l’HTTP, indica che non si sta utilizzando la modalità sicura di tale protocollo.
I protocolli:
I protocolli in Internet svolgono il ruolo di mediatore all’interno del modello client – server e permettono lo scambio di informazioni tra due nodi della rete gestendo sessioni di comunicazione e richieste.
Per fare un esempio classico il Web Browser, svolge la funzione di client (cliente) sul nostro computer.
Mentre l’applicativo che offre l’accesso a documenti, testi o immagini, disponibili su un altro computer connesso alla rete, svolge la funzione di server.
In un caso come questo, il server risponde all’interrogazione in arrivo dal client fornendo la risorsa digitale richiesta come ad esempio una pagina HTML.
Come funziona un protocollo HTTP:
HTTP è parte integrante del complesso meglio conosciuto come Internet Protocol.
E’ paragonabile ad un mezzo di trasporto sicuro ed affidabile, che consente lo scambio di informazioni tra client e server. Il client accede al server mediante l‘URL, ovvero Uniform Resource Locators.
La comunicazione tra client e server viene stabilita e inizia una negoziazione, uno scambio di codici di comando che vengono interpretati per la lettura dei contenuti.
Tuttavia questa sicurezza del protocollo HTTP è venuta meno col tempo, poiché i dati scambiati diventano sempre più sensibili ed importanti, le tecniche per poter carpire queste informazioni si sono affinate al punto da sviluppare in modo diffuso gli attacchi definiti man-in-the-middle.
Questo genere di attacco consente di carpire in modo illecito le informazioni trasmesse tra il server ed il client.
Ma allora quale prevenzione adottare per evitare che qualcuno si appropri di informazioni riservate come password e coordinate bancarie mentre navighi in internet?
Il nuovo protocollo HTTPS:
Nel 1994, per evitare di subire attacchi di questo genere, il Web Browser Netscape ha sviluppato il certificato TLS/SSL che unitamente al protocollo HTTP consente di garantire l’identificazione del sito e la cifratura dei dati trasmessi, proteggendoli dal pericolo di essere intercettati.
Questi certificati SSL vengono rilasciati dalle autorità di certificazione, che garantiscono la proprietà del server e allo stesso tempo ne cifrano i dati trasmessi rendendoli quindi illeggibili a soggetti terzi.
Come verificare se un sito è sicuro?
Puoi verificare se il sito su cui stai navigando fa uso di un certificato TLS/SSL (Transport Layer Security / Secure Sockets Layer) facendo attenzione all’URL in alto nella barra di ricerca del Browser.
Troverai le indicazioni necessarie per capire se stai navigando in sicurezza.
Controlla quindi che nella barra di ricerca ci sia la dicitura HTTPS.
Se vuoi avere maggiori informazioni sulla certificazione, cliccando sul simbolo del lucchetto prima della dicitura del protocollo HTTPS si aprirà un pop-up con tutte le indicazioni relative alla certificazione e cookie.
Naviga in sicurezza proteggendo i tuoi dati
Controlla sempre che il sito su cui stai navigando abbia un protocollo sicuro.
Se hai il dubbio cerca su internet chi ha emesso il certificato di sicurezza e se questo è un ente riconosciuto.
Pensa cosa accadrebbe se qualcuno rubasse i dati del tuo conto corrente o dati aziendali riservati.
Devi sapere che Google infatti ha deciso di imporre il pugno di ferro verso tutti i siti che ad oggi non utilizzano il protocollo sicuro HTTPS.
Se leggendo ti sei accorto che il tuo sito non usa un protocollo sicuro e vuoi convertirlo in un sito HTTPS, ti occorre un webmaster che converta il sito, le immagini, i link, i css e gli script.
Per non rischiare di ritrovare il tuo sito emarginato contattaci
Potrebbe interessarti anche leggere gli articoli: social engineering in ambito di sicurezza informatica e DPO-Data Protection Officer