You are here

Dal protocollo HTTP a HTTPS: sicurezza e certificato SSL

Inviato da giovanninews on Mar, 11/10/2016 - 12:17

Un Certificato SSL su hosting condiviso è possibile oltre che doveroso.

Iniziamo col dire perchè è doveroso avere un sito web con pagine sicure che vengono trasferite criptate sulla Rete, quindi un sito con un protocollo di comunicazione HTTPS (HyperText Transfer Protocol over Secure Socket Layer), ovvero HTTP + SSL.

Protocollo HTTP e protocollo HTTPS

HTTPS connessione sicura

Un motivo per spostarsi dal protocollo HTTP al protocollo HTTPS è che le pagine trasmesse in chiaro sulla Rete tramite il protocollo HTTP, possono contenere dati sensibili e personali, facilmente rilevabili da qualsiasi malintenzionato che si mette in ascolto sulla porta 80 del nostro dominio.

Con HTTPS la porta di comunicazione che sarà utilizzata sarà la porta 443 del nostro server, le pagine in uscita saranno criptate con il protocollo SSL, tutti gli accessi alla porta 80 saranno redirezionati alla porta 443.

Eventuali malintenzionati, dovranno mettersi in ascolto sulla porta 443, ma non avranno più pagine in chiaro trasmesse, bensì pagine criptate indecifrabili.

Attacchi MITM (Man in the middle) sul protocollo HTTP

Questo, oltre che proteggere i dati sensibili, allontanerà anche eventuali malintenzionati che sono interessati ad attacchi MITM (Man in the middle) in italiano "uomo nel mezzo".

Il nostro sito web con protocollo di trasmissione HTTP potrebbe essere inconsapevolmente sotto un attacco Man in the middle quando il malintenzionato altera la comunicazione tra noi ed un qualsiasi utente che a noi si collega; l' utente riceverà pagine alterate in funzione degli interessi del malintenzionato.

Dati sensibili e dati personali più sicuri su protocollo HTTPS

Attacco Man in the middle

E' evidente che una pagina criptata che utilizza il protocollo di trasmissione HTTPS sarà molto più difficile da alterare.

I dati sensibili ed i dati personali trasmessi in Internet tra utente e sito web, non sono solo quelli di carte di credito con cui fare acquisti o credenziali di accesso alle banche online, ma sono anche nomi, indirizzi, email, numeri di telefono, interessi o quant' altro si possa rilevare della nostra privacy sulla Rete.

I siti web che devono adottare il protocollo HTTPS, non sono solo le banche o i siti che effettuano vendite online, quindi transazioni finanziarie online, ma l' interezza dei siti web, anche i blog ed i siti web amatoriali, perchè tutti trattano dati che possono essere sensibili.

Sicurezza online e web di qualità

Il nocciolo della questione è la sicurezza online, non la transazione sicura, che è invece solo una caratteristica in più.

La sicurezza online è un aspetto della comunicazione su Internet che viene affrontato da molto tempo dai maggiori fornitori mondiali di servizi per Internet, a cominciare dalle piattaforme open source come la Mozilla Foundation con il browser Mozilla Firefox, per arrivare al brower proprietario Google Chrome o ad un motore di ricerca proprietario come Google.

La sicurezza online, al fine di essere perseguita, comprende tra le tante cose anche il protocollo SSL, ottenuto con un Certificato rilasciato da una autorità certificante. Il Certificato è verificato, ha una scadenza e può o non può essere rinnovato.

Il Certificato SSL, può essere rilasciato a pagamento e da un pò di tempo può essere rilasciato gratuitamente da Autorità che lavorano per l' open source.

E' doveroso che un webmaster o un proprietario di sito web che si rispetti, al fine di perseguire la sicurezza dei propri utenti, in considerazione della possibile gratuità del Certificato SSL, utilizzi il protocollo HTTPS.

Google ed il protocollo di comunicazione HTTPS

Google, come motore di ricerca, al fine di promuovere la sicurezza online, da un rank maggiore (maggiore considerazione), ai siti web che utilizzano il protocollo HTTPS.

Per Google il fattore di rank per l' utilizzo del protocollo HTTPS è un fattore con valore più elevato rispetto ad altri fattori di rank, ma, considerando che Google utilizza oltre 200 algoritmi per il posizionamento (si dice sempre così) dei siti web, non bisogna mai pensare che solo un Certificato SSL sia sufficiente per entrare nelle grazie di Google.

Seppure i Certificati SSL ora rilasciati possono essere gratuiti, seppure questi possono essere installati anche per domini web situati su server condivisi, richiedere un Certificato SSL ed installarlo sul server, non è cosa da poco, ma richiede lavoro e professionalità che va oltre la richiesta e l' installazione del Certificato SSL.

E' evidente che il web si muove sempre di più verso la qualità e la sicurezza, che i tempi delle improvvisazioni e dei guadagni facili sono finiti, che il fai da te è sempre possibile ma i risultati sono sempre più difficili da ottenere senza la professionalità.

Ma come l' Open Source è sempre disponibile a dare gratuitamente i suoi servizi, magari per altri fini, questa puntata sarà seguita da un' altra nella quale si descriverà come ottenere un Certificato SSL gratuito, come installare il Certificato SSL su un server condiviso e come configurare nel modo migliore un sito web su protocollo HTTPS.

Commenti

attendo la prossima puntata e mi linko al tuo twitter.
Grazie

Tra qualche giorno pubblicherò la procedura di installazione di un Certificato SSL gratuito, analizzando dal mio punto di vista eventuali problemi in cui si potrebbe incorrere, anche in funzione del rinnovo del certificato.