04/03/2022
Pillole di sicurezza: che cos'è e come funziona un certificato HTTPS per un sito web?
I certificati di sicurezza per i siti web sono ormai lo standard per qualsiasi portale, sia esso online su internet o riservato a una rete interna (intranet). È sempre più raro trovare un sito che funziona solamente in HTTP. A cosa è dovuta questa evoluzione? In questo primo articolo risponderemo a questa domanda cercando di fare un po' di chiarezza.
Tabella dei contenuti
Cos'è HTTPS?
La sigla HTTPS sta per HyperText Transfer Protocol Secure, di per sè un miglioramento del vecchio protocollo HTTP. Per l'utente in sostanza rimane tutto uguale a prima, perché lo strato di sicurezza in più viene applicato in modo invisibile.
Nel caso dei siti web, si inseriscono nel server dei file che contengono i dati delle chiavi pubbliche e private. Questi servono per permettere al browser di verificare che il certificato HTTPS sia valido e correttamente impostato.
I browser hanno un'elenco di Certification Authorities già pre-installate al loro interno. Quando l'utente si collega a un sito web che ha installato il certificato, il browser verifica se questo è valido e se è stato emesso da una Authority riconosciuta.
Se la verifica va a buon fine, si vedrà il classico lucchetto di fianco alla barra degli indirizzi. Altrimenti, si vedrà un messaggio di errore.
Come funziona il certificato di sicurezza?
Per semplificare molto, la comunicazione tra il browser dell'utente e il sito web passa attraverso la rete internet, e quindi i dati vengono scambiati lungo un percorso di rete. Ad esempio, l'utente potrebbe inviare un form di login con nome utente e password. Durante il tragitto digitale, qualche malintenzionato potrebbe intercettare questi dati, con un po' di sforzo.
Installando il certificato HTTPS nel proprio sito web si garantisce all'utente che i dati inviati dal browser al server siano crittografati e quindi difficilmente decifrabili da persone esterne. Riprendendo l'esempio sopra, con il certificato HTTPS, il nome utente e la password non saranno "in chiaro", come invece avviene in HTTP, ma saranno protetti dalle cosiddette chiavi crittografiche.
È come se due persone parlassero tra loro lasciando la porta aperta: perfino un passante potrebbe origliare la loro conversazione. Se però la stessa conversazione avvenisse in una stanza chiusa a chiave, isolata, e le voci fossero mascherate, sarebbe molto più difficile per chiunque poter ottenere informazioni.
Questo dunque non significa che navigare in HTTPS impedisca che i propri dati possano essere intercettati, ma i rischi per la sicurezza e la privacy sono minori.
Negli ultimi anni si è assistito a una vera e propria evoluzione del web sul lato della sicurezza, soprattutto da quando i browser hanno deciso di favorire questa transizione: già Chrome dalla versione 68 aveva scelto di segnalare come non sicuri i siti sprovvisti di HTTPS.
Forse una scelta spinta anche da motivazione di marketing: i certificati di solito sono a pagamento, anche se Let's Encrypt li offre gratuitamente. A parte questo, è evidente che la transizione abbia avuto molti effetti positivi.
Come capire quando ci sono dei problemi di sicurezza?
Nella maggior parte dei siti ormai è quasi sempre installato HTTPS. Se l'indirizzo web inizia per https:// sappiamo che la comunicazione deve avvenire in modo sicuro. Se il certificato è configurato male, non riusciremo ad accedere al sito perché il browser ci impedisce la navigazione.
Se invece ci sono degli elementi esterni provenienti da altri siti in modo non sicuro (immagini, video o documenti caricati tramite http://) potremmo vedere un triangolo giallo a fianco del lucchetto.
Nei casi più semplici quindi è abbastanza facile capirlo, perché sarà il browser stesso a dircelo. Possiamo decidere se accettare l'eccezione di sicurezza e continuare a navigare, oppure abbandonare il sito web.
La scelta dipende molto da quello che ci serve fare: dobbiamo effettuare un pagamento online oppure inviare un form con nome utente e password (login)? Allora è molto meglio navigare in HTTPS. Se invece vogliamo solo leggere un articolo possiamo soprassedere, i rischi di una violazione dei nostri dati sono molto bassi.
Il caso del certificato Root di Let's Encrypt su dispositivi Apple
Un caso particolare successe quando scadde il certificato Root di Let's Encrypt che fu sostituito da una nuova versione, nel settembre 2021.
In pratica, alcuni dispositivi Apple meno recenti e non aggiornati, non riconoscevano più il certificato di Let's Encrypt, che è una Certification Authority, perché erano cambiati dei file e non combaciavano con ciò che si aspettava il browser. I siti web quindi erano configurati correttamente, la soluzione è risultata essere una sorta di "aggiramento" del problema: installare il nuovo certificato manualmente nel dispositivo.
Conclusioni
Può sembrare strano, ma al giorno d'oggi sono sempre più frequenti le notizie di violazioni digitali: abbiamo perfino stilato una Top 10 degli attacchi informatici.
Nei prossimi appuntamenti parleremo dei vantaggi dell'HTTPS, sia per la SEO che per la sicurezza in generale, con qualche utile accenno anche al GDPR e alle nuove linee guida sui cookie.
Per non perderti le prossime pillole seguici su Facebook e Linkedin!
Hai bisogno di informazioni?
Se cerchi informazioni o vuoi installare un certificato HTTPS per il tuo sito web, contattaci!