SSL / HTTPS: le 18 domande più comuni FAQ dedicata al protocollo HTTPS in tutte le sue principali varianti

<span class="entry-title-primary">SSL / HTTPS: le 18 domande più comuni</span> <span class="entry-subtitle">FAQ dedicata al protocollo HTTPS in tutte le sue principali varianti</span>

#1 Che cos’è HTTPS?

HTTPS è un protocollo sicuro per il web, concepito per due ragioni fondamentali: 1) evitare l’intercettazione di dati riservati (come quelli di login o della carta di credito) da parte di terzi e 2) limitare gli attacchi informatici di tipo man in the middle. Nella pratica, l’utilizzo di HTTPS si riferisce generalmente in termini di uso di un protocollo crittografico, le cui versioni più popolari sono chiamate rispettivamente Transport Layer Security (TLS) e Secure Sockets Layer (SSL).

Quando si adotta HTTPS sul proprio sito, gli indirizzi URI cambieranno nel prefisso, e rimarranno identici per il resto: in altri termini se un indirizzo prima era

http://tuosito.it/indirizzo-web

adesso diventerà

https://tuosito.it/indirizzo-web

HTTP opera sulla porta 80, HTTPS invece lavora sulla 443 interponendo un livello di crittografia (TLS o SSL) tra lo strato (layer) TCP e quello HTTP. In termini più tecnici non è un protocollo a parte, bensì una versione “robusta” di HTTP.

#2 Cosa sono SSL / TLS?

Sono due protocolli di sicurezza che garantiscono autenticazione, integrità dei dati e cifratura: SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Per la cronaca non si usano solo per HTTPS (quindi per le pagine secured) ma anche per e-mail, voIP ed alcune forme di chat istantanee: le app meglio progettate, inoltre, possono tecnicamente fare uso del medesimo sistema per accedere a fonti di dati esterne in modo sicuro.

#3 Che differenza c’è tra SSL e HTTPS?

SSL è il protocollo crittografico che viene applicato, mentre HTTPS è un protocollo HTTP con SSL (o TLS) applicato. A livello commerciale è possibile comprare certificati SSL al fine di ottenere HTTPS sul proprio sito (non mancano i servizi free HTTPS, in alternativa).

#4 A cosa servono nella pratica?

Essenzialmente HTTPS/SSL si usa per implementare gateway sicuri (cioè “porte di accesso” blindate) per operazioni sensibili o delicate in cui la privacy sia prioritaria, ad esempio trasmissione o ricezione di dati sensibili, oppure i classici pagamenti online: questi protocolli sono pensati per proteggere i dati dei vostri utenti: se, ad esempio, il vostro sito prevede una sezione di acquisto di prodotti o servizi, è plausibile (e molto consigliabile) evitare di far transitare su pagine HTTP (in chiaro) i form di sottoposizione del numero di carta di credito, scadenza e codice sul retro dei vostri clienti. Un terzo potrebbe rubare quei dati e “clonare” la carta utilizzandola a proprio piacere. Facendo uso di HTTPS, di fatto, si riduce di molto questa possibilità di abuso da parte di terzi, spesso del tutto potenziale ma altrettanto concreta: per farlo vi dovrete appoggiare ad un gateway di pagamento esterno (ad esempio PayPal, Pagonline e via dicendo), oppure dovrete ricorrere ad una soluzione di pagamento proprietaria o open source (tipo Stripe che, a breve, dovrebbe funzionare anche per l’Italia). Altri esempi di applicazione di HTTPS riguardano: implementazione di form di identificazione, pagine di login sicuro, upload di file riservati, comunicazione con Facebook (app), inserimento di dati molto sensibili (ad esempio medici).

#5 Cosa succede a livello visuale quando un sito implementa HTTPS?

La barra degli indirizzi, tipicamente sulla parte sinistra, mostra un lucchetto di colore verde, ad indicare che la connessione è protetta e sicura. Questo suggerisce agli utenti che stanno operando su un sito web sicuro per effettuare operazioni in cui, come detto sopra, sia necessario inserire dei dati sensibili come numero della carta di credito per pagare online, dati anagrafici o medici riservati e così via.

Di seguito un esempio di HTTPS utilizzato sul sito ufficiale di PayPal.

Screen 2014-08-28 alle 13.01.02

#6 Google ha detto che HTTPS serve come fattore di ranking?

Sì, ma c’è un forte misunderstanding sulla questione: se è vero che HTTPS rappresenta una connessione sicura, non è affatto detto che vada applicata in modo indiscriminato ad ogni sito come affermato da Google. I fattori di ranking, del resto, non esistono se non come astrazioni, con poca o nessuna rilevanza scientifica o pratica: si tratta al più di correlazioni statistiche, e risaputamente correlation does not imply causation. Google sta spingendo nella direzione di incentivare l’acquisto di certificati SSL, arrivando a sostenere che tutto il web debba, un giorno, essere in HTTPS, senza considerare i potenziali problemi tecnici annessi e strumentalizzando (a mio modesto avviso) la questione sicurezza (che a dirla tutta non dipende interamente da HTTPS, anzi), quasi usandola come paravento.

#7 HTTPS va usato su tutte le pagine, oppure soltanto su quelle sensibili?

Stando alla logica più stretta, HTTPS ha più senso se utilizzato solo sulle pagine sensibili; ovviamente tutto dipende da come sono fatti i siti web. Se ad esempio il form di login è riportato su tutte le pagine per favorire l’ingresso degli utenti alle stesse, è opportuno pensare di prevedere HTTPS. In termini discussi e presentati da Google, sembrerebbe comunque che la tendenza sia quella di far passare tutti i siti web, indistintamente in HTTPS, cosa che da un punto di vista tecnico potrebbe considerarsi superflua, come spiegato nel punto precedente.

La scelta è dell’utente finale o del webmaster, e non esiste una risposta netta in merito.

#9 Se uso HTTPS, le vecchie pagine in HTTP saranno indicizzate in automatico?

No, è necessario prevedere questa cosa esplicitamente; è possibile farlo sfruttando opportune impostazioni, che variano caso per caso, e prevedendo un redirect da HTTP a HTTPS.

#10 Se uso HTTPS, le vecchie pagine in HTTP saranno reindirizzate (redirect) in automatico?

No, è necessario prevedere questa cosa esplicitamente; anzitutto a livello di codice o di impostazioni del sito (PHP, impostazioni del CMS come WordPress), e anche in termini di direttive del vostro server (ad esempio htaccess).

#11 Quando serve usare HTTPS su un sito?

Dipende dai casi e dalle nostre politiche: al di là di qualsiasi approccio critico resta vero, in ogni caso, che in determinati contesti HTTPS con un buon certificato SSL sia vitale (e che sia stato utilizzato poco e male in passato, nessun dubbio): se utilizzate servizi gestiti da voi, o soluzioni di pagamento con carta di credito open source (senza servizi esterni come le API di Paypal, ad esempio, nel qual caso solitamente HTTPS non vi serve), in un contesto di gestione informazioni riservate oppure per alcune pagine specifiche di autenticazione sicura / login del sito HTTPS è indispensabile. Questo era vero prima, e lo è ancora di più oggi. Tale specificità, peraltro, è una questione di progettazione web e non c’entra nulla, soprattutto, con l’ambito SEO a cui fa riferimento quel comunicato: è e rimane soprattutto una questione di sicurezza informatica, non di ottimizzazione per i motori di ricerca!

#12 HTTPS ha senso sui siti web generici in cui ad es. non transitano normalmente informazioni riservate: il mio blog, un portale di news o un sito di ricette?

In termini strettamente tecnologici, no; secondo quanto suggerito da Google, tendenzialmente sì. Anche qui non esiste una risposta netta, e tutto dipende dai vostri obiettivi. Usare HTTPS su un sito in WordPress può avere senso per rendere il login più sicuro, certamente, ma usarlo indiscriminatamente per le sue pagine di articoli, pagine e categorie è (oltre che costoso) equivoco, sbagliato e controproducente. Il problema non è la tecnologia in sè ma l’uso indiscriminato che se ne vorrebbe fare, dando in mano una tecnologia molto potente – e nemmeno alla portata di chiunque, ad oggi – in pasto alla massa che, il più delle volte, ha capito la questione a modo proprio.

Anche se Google lascia intendere l’esatto contrario (nel citatissimo “HTTPS as a ranking signal” – affermando “we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web“), la risposta è che da un punto di vista tecnologico non ha sempre senso seguire le istruzioni di quel comunicato. Ribadire il concetto solo perchè “l’ha detto Google” ed alzare le manine, del resto, è un esempio di principio di autorità: anche se lo afferma una delle più grandi aziende al mondo, resta la considerazione logica (ed il buonsenso) a dirci che HTTPS ha senso principalmente a ragion veduta e su pagine di autenticazione.

Poi, ovviamente, è molto probabile che lo vedremo un po’ ovunque progressivamente.

#13 HTTPS è la sicurezza assoluta?

Nulla in informatica lo è, quindi no: HeartBleed, una delle falle più spaventose della storia, lo ha dimostrato. Certo resta indispensabile nei contesti in cui la riservatezza, la garanzia di non stare versando denaro a dei truffatori e la protezione dagli spioni delle informazioni che circolano è vitale. Ma non bisogna neanche illudersi che un requisito tecnologico per quanto importante basti ed avanzi se poi il suo uso non è consapevole.

#14 C’è un modo per avere SSL /HTTPS gratis?

Molti servizi di hosting offrono, in aggiunta ai propri servizi classici (cPanel, gestione dominio ecc.) anche la possibilità di sfruttare un certificato SSL per il proprio sito. In linea di massima, aziende come Let’s Encrypt offrono ed incentivano SSL gratis.

# 15 Cosa sono i certificati? Perchè si chiamano così?

Certificano digitalmente l’identità di un “oggetto” sul web: parlando in modo ancora più semplice, sono un modo per garantire che un sito sia chi dice davvero di essere (misura anti-phishing): se un client va sul sito brand.com la “barretta verde” di autenticazione HTTPS serve a garantire, mediante un’ente esterno autorevole (CE, Certificate Authority), l’identità del sito ed autenticarla.

# 16 Cosa sono i certificati Domain Validated?

Sono certificati che si basano sulla verifica del nome di dominio e sulla sua autorevolezza derivante dal nome stesso.

# 17 Cosa sono i certificati Organization Validated?

Similarmente ai precedenti, danno una garanzia di veridicità dell’identità del sito previo invio di documentazione annessa al sito, all’organizzazione ed alla sua struttura interna.

# 17 Che cosa è un Certificate Authority?

Domain Validated: la CA ti fornisce un certificato sulla fiducia, basandosi solo sul nome a dominio che inserisci nel modulo di richiesta
Organization Validated: ci sono delle scartoffie da inviare alla CA per dimostrare che l’azienda esiste davvero

– See more at: http://www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/#sthash.KroYpqmQ.dpuf

Domain Validated: la CA ti fornisce un certificato sulla fiducia, basandosi solo sul nome a dominio che inserisci nel modulo di richiesta
Organization Validated: ci sono delle scartoffie da inviare alla CA per dimostrare che l’azienda esiste davvero

– See more at: http://www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/#sthash.KroYpqmQ.dpuf

Si tratta di un modo per identificare l’autorevolezza di un ente certificatore; tale verifica può avvenire a più livelli e con modi diversificati, a seconda dei casi e delle aziende che si validano.

#18 Sul browser mi appare “Questa connessione non è affidabile“: cosa devo fare?

L’avviso in questione è forse un po’ troppo zelante, ma non è il caso di preoccuparsi, di solito: tutto dipende dal fatto che il certificato fornito dal sito che state visitando è auto-certificato (non validato da terzi), ed è questo il motivo per cui Firefox vi avvisa. Per scansare l’avviso sarebbe necessario che il webmaster del sito andasse ad utilizzare una certificazione Domain Validated o Organization Validated, ma questo è spesso impossibile e/o troppo costoso per loro: nel dubbio bisognerebbe evitare i siti con questa dicitura, ma dato che avviene spesso per le webmail ed altri servizi di cui potete fidarvi per “altre vie”, potete di solito aggiungere il certificato dicendo al vostro browser di “fidarsi”.

Photo by Skley

Ti piace questo articolo?

2 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

SSL / HTTPS: le 18 domande più comuni FAQ dedicata al protocollo HTTPS in tutte le sue principali varianti

#1 Che cos’è HTTPS? HTTPS è un protocollo sicuro per …

Ti potrebbero interessare (FAQ Hosting & Dintorni):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.