SSL / HTTPS: le 14 domande più comuni

SSL / HTTPS: le 14 domande più comuni
  • Che cos’è HTTPS?

Con un piccolo abuso di linguaggio, possiamo dire che HTTPS è un protocollo sicuro e protetto creato per evitare l’intercettazione di dati riservati (come quelli di login o della carta di credito) da parte di terzi e limitare gli attacchi informatici di tipo man in the middle. Nella pratica, gli URI restano analoghi a quelli HTTP (se non per la ‘s’ finale), con una piccola differenza: HTTP opera sulla porta 80, HTTPS sulla 443 interponendo un livello di crittografia (TLS o SSL) tra lo strato (layer) TCP e quello HTTP. In termini tecnici non è neanche un vero e proprio protocollo a parte, bensì una versione robusta di HTTP.

  • E invece cos’è SSL / TLS?

Sono due protocolli di sicurezza che garantiscono autenticazione, integrità dei dati e cifratura: SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Non si usano solo per HTTPS (quindi per le pagine secured) ma anche per e-mail, voIP ed alcune forme di chat istantanee.

  • Che differenza c’è tra SSL e HTTPS?

SSL è il protocollo crittografico che viene applicato, mentre HTTPS è un HTTP con SSL (o TLS) applicato.

  • A cosa mi servono nella pratica?

Essenzialmente HTTPS/SSL si usa per implementare gateway sicuri (cioè “porte di accesso” blindate) per operazioni delicate quali trasmissione di dati sensibili o pagamento online: questi protocolli sono pensati per proteggere i dati non tanto del vostro sito genericamente, quanto dei vostri utenti: se ad esempio il vostro sito prevede una sezione di acquisto di prodotti o servizi, è plausibile (e molto consigliabile) evitare di far transitare su pagine HTTP (in chiaro)i form di sottoposizione del numero di carta di credito, scadenza e codice sul retro dei vostri clienti. Un terzo potrebbe rubare quei dati e “clonare” la carta utilizzandola a proprio piacere. Facendo uso di HTTPS si riduce di molto questa possibilità: per farlo vi dovrete appoggiare ad un gateway di pagamento esterno (ad esempio PayPal, Pagonline e via dicendo), oppure dovrete ricorrere ad una soluzione di pagamento proprietaria o open source (tipo Stripe che, a breve, dovrebbe funzionare anche per l’Italia). Altri esempi di applicazione di HTTPS riguardano: implementazione di form di identificazione, pagine di login sicuro, upload di file riservati, comunicazione con Facebook (app), inserimento di dati molto sensibili (ad esempio medici).

Screen 2014-08-28 alle 13.01.02

  • Google ha detto che HTTPS serve come fattore di ranking?

C’è un forte misunderstanding sulla questione: se è vero che HTTPS rappresenta una connessione sicura, non è affatto detto che vada applicata in modo indiscriminato ad ogni sito come affermato da Google. I fattori di ranking, del resto, non esistono se non come astrazioni banalotte, con poca o nessuna rilevanza scientifica o pratica (si tratta al più di correlazioni statistiche, e risaputamente correlation does not imply causation). Google sta spingendo nella direzione di incentivare l’acquisto di certificati SSL, strumentalizzando la questione sicurezza (che a dirla tutta non dipende interamente da HTTPS, anzi) ed usandola come paravento.

  • Quando serve HTTPS su un sito?

Resta vero, comunque, che in determinati contesti HTTPS con un buon certificato SSL sia vitale: se utilizzate servizi gestiti da voi o soluzioni di pagamento con carta di credito open source (senza servizi esterni come le API di Paypal, ad esempio, nel qual caso solitamente HTTPS non vi serve), se dovete implementare un sistema di gestione informazioni riservate oppure per alcune pagine specifiche di autenticazione sicura / login del sito. Questa specificità, peraltro, è una questione di progettazione web e non c’entra nulla con l’ambito SEO a cui fa riferimento quel comunicato.

  • HTTPS ha senso sui comuni siti web generici in cui non transitano informazioni riservate, ad esempio il mio blog, un portale di news o un sito di ricette?

Usare HTTPS su un sito in wordpress può avere senso per rendere il login più sicuro, certamente, ma usarlo indiscriminatamente per le sue pagine di articoli, pagine e categorie è (oltre che costoso) equivoco, sbagliato e ridicolo quanto usare il domopak come contraccettivo. Anche se Google lascia intendere l’esatto contrario (nel citatissimo “HTTPS as a ranking signal” – affermando “we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web“), la risposta è che da un punto di vista tecnologico non ha alcun senso seguire le istruzioni di quel comunicato. Ribadire quel falso concetto solo perchè “l’ha detto Google” ed alzare le manine, del resto, è un esempio del più deleterio abuso del principio di autorità: anche se lo afferma una delle più grandi aziende al mondo, resta la considerazione logica (ed il buonsenso) a dirci che HTTPS ha senso solo su pagine di autenticazione, e la constatazione che per motivi a noi oscuri (probabilmente commerciali e/o di partnership) anche chi predica trasparenza per professione come Google possa muovere i fili a vantaggio proprio o di terzi, strumentalizzando vere e proprie falsità.

  • HTTPS è la sicurezza assoluta?

Nulla in informatica lo è, quindi no: HeartBleed, una delle falle più spaventose della storia, lo ha dimostrato. Certo resta indispensabile nei contesti in cui la riservatezza, la garanzia di non stare versando denaro a dei truffatori e la protezione dagli spioni delle informazioni che circolano è vitale. Ma non bisogna neanche illudersi che un requisito tecnologico per quanto importante basti ed avanzi se poi il suo uso non è consapevole.

  • Sono uno scroccone/tirchio/scapestrato: c’è un modo per avere SSL /HTTPS gratis?

Alcune aziende come Comodo offrono SSL in free trial: ma già, voi intendete HTTPS gratis così come vi affannate per l’ hosting gratis o la SEO gratis (quella no, almeno, per favore…). In realtà almeno un modo esiste, ma bisogna capire bene di cosa parliamo: se vi serve un certificato gratuito per un’app Facebook, c’è un modo per avere SSL free con DropBox, e lo ha spiegato JuliusDesign. Andrea Pernici inoltre ha illustrato come ottenere un SSL gratis per il proprio sito mediante StartSSL, e se invece usate il gateway di PayPal dovrete “solo” fare attenzione all’implementazione del codice, o usare i plugin per i siti di e-commerce (gratis, in pratica vi appoggiate ad un servizio esterno e pagate soltanto una commissione sulle transazioni effettive). In generale, comunque, per applicazioni professionali è consigliabile ricorrere a soluzioni a pagamento: quelle free vanno bene solo a certe condizioni, a scopo di test e spesso sono comunque limitate e/o non estendibili.

  • Cosa sono i “certificati”?

Parlando in modo molto semplice, sono un modo per garantire che un sito sia chi dice davvero di essere (misura anti-phishing): se un client va sul sito brand.com la “barretta verde” di autenticazione HTTPS serve a garantire, mediante un’ente esterno autorevole (CE, Certificate Authority), l’identità del sito ed autenticarla.

  • Cosa sono i certificati Domain Validated?

Sono certificati che si basano sulla verifica del nome di dominio e sulla sua autorevolezza derivante dal nome stesso.

  • Cosa sono i certificati Organization Validated?

Similarmente ai precedenti, danno una garanzia di veridicità dell’identità del sito previo invio di documentazione annessa al sito, all’organizzazione ed alla sua struttura interna.

Domain Validated: la CA ti fornisce un certificato sulla fiducia, basandosi solo sul nome a dominio che inserisci nel modulo di richiesta
Organization Validated: ci sono delle scartoffie da inviare alla CA per dimostrare che l’azienda esiste davvero

– See more at: http://www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/#sthash.KroYpqmQ.dpuf

Domain Validated: la CA ti fornisce un certificato sulla fiducia, basandosi solo sul nome a dominio che inserisci nel modulo di richiesta
Organization Validated: ci sono delle scartoffie da inviare alla CA per dimostrare che l’azienda esiste davvero

– See more at: http://www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/#sthash.KroYpqmQ.dpuf

  • Che cosa è un Certificate Authority?

Si tratta di un modo per identificare l’autorevolezza di un ente certificatore; tale verifica può avvenire a più livelli e con modi diversificati, a seconda dei casi e delle aziende che si validano.

  • Sul browser mi appare “Questa connessione non è affidabile“: cosa devo fare?

L’avviso in questione è forse un po’ troppo zelante ma non è il caso di preoccuparsi, di solito: tutto dipende dal fatto che il certificato fornito dal sito che state visitando è auto-certificato (non validato da terzi), ed è questo il motivo per cui Firefox vi avvisa. Per scansare l’avviso sarebbe necessario che il webmaster del sito andasse ad utilizzare una certificazione Domain Validated o Organization Validated, ma questo è spesso impossibile e/o troppo costoso per loro: nel dubbio bisognerebbe evitare i siti con questa dicitura, ma dato che avviene spesso per le webmail ed altri servizi di cui potete fidarvi per “altre vie”, potete di solito aggiungere il certificato dicendo al vostro browser di “fidarsi”.

Photo by Skley

Valutazioni utenti

5 / 5 ( 100% )

1 voto