Protocollo https: cos’è e come si differenzia dal protocollo http
Per accedere a intrattenimento, informazioni, ispirazione e servizi di ogni genere gli utenti di oggi possono fare affidamento ad un numero pressoché infinito di siti web. Ma non tutti i siti sono sicuri e affidabili. Ad esempio, come può un utente avere la certezza che la rete ad accesso libero, come il classico hotspot pubblico, non sia spiato da criminali informatici? E che il sito in cui sta per inserire dati sensibili per procedere con il pagamento non sia in realtà un sito falso pensato per intercettare i dati?
In origine, tutto il traffico di dati sul web era gestito con il testo in chiaro e, quindi, facilmente preda di attività criminali attraverso lo spionaggio dei metadati e gli attacchi cosiddetti man in the middle.
Il protocollo http, infatti, mediava la comunicazione tra browser web (o client web) e server web in modo non criptato mettendo potenzialmente a rischio i dati sensibili. Utilizzando la crittografia SSL, il protocollo https ha cambiato le carte in tavola crittografando le informazioni e i flussi di dati e offrendo agli utenti un modo semplice e intuitivo per riconoscere i siti web sicuri. D’altro canto, https risponde ad oggi alle regole definite dal GDPR (il Regolamento Generale Europeo sulla Protezione dei Dati) che richiedono ai siti web un aggiornamento in termini di sicurezza.
Cos’è il protocollo https
Per capire fino in fondo che cos’è il protocollo https è necessario, prima di tutto, introdurre l’http.
Con protocollo di trasferimento si fa riferimento alla lingua, per così dire, utilizzata per la trasmissione di dati sul web tra client web e server web. Per fare un esempio: quando un utente cerca un sito web sul proprio browser, il client invia una richiesta al server che ospita il sito e quest’ultimo, a sua volta, invia in risposta la pagina web.
Il protocollo http (acronimo di HyperText Transfer Protocol o Protocollo di trasferimento per ipertesti) genera un traffico di dati non criptato e, di conseguenza, facile preda di attacchi informatici da parte di hacker che si frappongono tra client e server per intercettare le informazioni nel momento in cui vengono trasferite. La nascita del protocollo https (o meglio, la variante del protocollo http denominata https, acronimo di HyperText Transfer Protocol over Secure Socket Layer) risponde proprio al desiderio di aggiungere un livello di sicurezza aggiuntivo.
Questo livello di sicurezza, che consente al protocollo di trasferimento https di proteggere l’integrità e la riservatezza dei dati, è rappresentato dal certificato SSL (Secure Socket Layer) che garantisce:
- Una comunicazione crittografata: poiché tutti i dati scambiati tra server e client vengono criptati così da diventare sostanzialmente incomprensibili e inutilizzabili da terzi non autorizzati.
- Dati integri: durante il trasferimento tra client e server, i dati non possono essere modificati né manipolati.
- Siti web certificati: il protocollo https garantisce che il sito visitato sia autentico certificando l’affidabilità del dominio.
Http e https utilizzano due diverse porte standard per creare la comunicazione con il server. Nello specifico, parliamo nella porta 80 per l’http e della porta 443 per il protocollo https.
Il protocollo https garantisce insomma un canale di comunicazione criptato e certificato in cui le informazioni trasmesse possono essere decriptate solo ed esclusivamente dall’effettivo destinatario. Ciò, in piena ottemperanza del principio di accountability introdotto dal GDPR.
La sicurezza di un dominio https
Come abbiamo visto fin qui, il protocollo https aggiunge alla comunicazione sul web un ulteriore livello di sicurezza assicurando alle parti, ovvero al client e al server, di comunicare attraverso una cifratura bidirezionale capace di proteggere contro possibili operazioni di eavesdropping, in cui la comunicazione viene segretamente ascoltata da terzi, e tempering, cioè manomissione e alterazione dei contenuti. In effetti, lo scambio informativo tra i due nodi della Rete è garantito da certificati di crittografia asimmetrica che assicurano l’associazione univoca tra la chiave pubblica e l’identità dell’utente.
Non è un caso che le prime connessioni https fossero usate principalmente per i pagamenti e le transazioni sul web, per le e-mail e per le transazioni cosiddette sensibili che avvengono all’interno dei sistemi informativi aziendali. Le qualità di questo protocollo, capace di proteggere l’autenticità delle pagine web e la sicurezza degli utenti e di garantire comunicazioni private, hanno assicurato all’https un’enorme diffusione tra la fine degli anni 2000 e i primi del 2010. D’altronde, all’aumentare del numero e della frequenza degli attacchi informatici è diventato quantomai fondamentale prendere in seria considerazione le strategie di data protection.
Per un utente, insomma, accedere ad un sito cui indirizzo comincia per “https://” è un segnale importante. Con l’entrata in vigore del GDPR e il suo enfatizzare l’importanza della crittografia, e con la segnalazione da parte dei browser del livello di sicurezza di ogni sito web, è naturale che il numero di siti che assicurano una comunicazione criptata sia aumentato esponenzialmente.
Protocollo https: questione di ranking, questione di fiducia
Da ormai diverso tempo, il protocollo https è uno dei fattori di ranking di Google. Ciò significa che siti con autorevolezza e valore similare (in termini di ottimizzazione, contenuti etc.) si posizionano in SERP in modo diverso a seconda del loro dominio. Un sito che utilizza il protocollo https si posizionerà sempre meglio di un sito che utilizza il protocollo http.
Creare un sito con protocollo https, insomma, è fondamentale per 4 ragioni:
- Proteggere i dati degli utenti: il protocollo https e il certificato SSL garantiscono una connessione sicura che assicura la riservatezza dei dati inviati dagli utenti;
- Migliorare la posizione del sito web in SERP: Google e i motori di ricerca privilegiano siti che utilizzano il protocollo https e segnalano come non sicuri i siti privi di certificato SSL;
- Prevenire gli attacchi informatici: con https diventa possibile offrire agli utenti una connessione sicura che impedisce a terzi l’intercettazione dei dati;
- Assicurarsi la fiducia degli utenti: i browser segnalano agli utenti i siti sospetti non dotati di certificato SSL e indicano i siti affidabili attraverso l’uso di un’icona, in evidenza all’interno della barra di ricerca, di un lucchetto.
Nel caso dei siti sicuri, cliccando sul lucchetto gli utenti possono inoltre scoprire chi ha rilasciato il certificato di sicurezza.
Secondo alcune stime, l’80% degli utenti abbandona la navigazione di un sito che non è in grado di garantire un adeguato livello di sicurezza e vi sono persino dei browser che impediscono di accedere alle pagine a rischio.
Insomma, l’uso del protocollo https assicura una buona Web Reputation, rafforza la solidità del business e aumenta la fiducia degli utenti, clienti o prospect che siano.
Un approfondimento: il certificato SSL
Per implementare il protocollo https su un sito web è necessario, in primo luogo, ottenere il certificato Secure Socket Layer (SSL). Si tratta di una tecnologia che permette di crittografare le transazioni di dati online e garantisce agli utenti la possibilità di scambiare dati in modo sicuro.
Per ottenere i certificati SSL è necessario rivolgersi a degli enti certificatori accreditati che, a partire dalla raccolta di tutta una serie d’informazioni, rilasciano il certificato. A seconda delle esigenze, i certificati possono essere Domain Validated (DV, a convalidare cioè il nome del dominio), Organization Validated (OV, a garantire la proprietà del dominio, la sua identità e il suo indirizzo), o Extenden Validation (EV, a convalidare l’identità dell’azienda che possiede il dominio, la sede in cui si trova, la sua registrazione e la presenza di un conto utilizzato per gli affari, oltre ad informazioni aggiuntive come il numero di telefono e le persone che hanno fatto domanda del certificato).
Questi certificati hanno, naturalmente, un livello di affidabilità diverso, dal più basso (DV) al più alto (EV).
Dopo la verifica del dominio, l’autorità si occupa di depositare una chiave pubblica che permetterà di crittografare i messaggi. La chiave privata, quella ciò che consente di decriptare i messaggi, è installata invece sul server verificato, in modo che lui soltanto possa decifrare la comunicazione.
Conclusione
Beliven è una software house che ha un preciso obiettivo: realizzare soluzioni software molto più che utili, indispensabili. È proprio per questo che ogni prodotto targato Beliven, dai siti web agli e-commerce fino alle applicazioni mobile, sono realizzate partendo dalle specifiche esigenze del cliente per dar vita ad uno sviluppo personalizzato. Dai un’occhiata ai nostri Case Studies per scoprire alcuni dei progetti a cui siamo più legati.
Sei alla ricerca di una soluzione software con cui migliorare il tuo business o aumentare il numero di clienti? Parliamone insieme.