Vi serve il cloud computing? Iniziate subito

Che cos'è l'HTTPS?

Che cos'è l'HTTPS o protocollo web sicuro?

Ora diamo un'occhiata al protocollo web sicuro, HTTPS. La "S" alla fine di HTTPS, ovviamente, indica  "sicuro". HTTPS fornisce l'autenticazione del sito web e la crittografia della comunicazione. L'autenticazione del sito web assicura che stiate visitando effettivamente www.apple.com e non qualche sito clonato. Inizialmente, HTTPS veniva utilizzato per proteggere gli accessi e le transazioni online riservate come l'online banking e lo shopping online. Al giorno d'oggi, però, HTTPS è praticamente l'impostazione predefinita per tutto.

HTTPS si basa su una tecnologia chiamata crittografia a chiave pubblica. Per funzionare, il sito web necessita di una coppia di chiavi pubblica-privata certificata da un'autorità di certificazione. Non entrerò nei dettagli del funzionamento della crittografia a chiave pubblica.

Ora ripetiamo il nostro esempio, questa volta con HTTPS. Il passaggio 1 è uguale a quello precedente: digitiamo l'indirizzo o facciamo clic su un link.

Prima di poter passare al passaggio 2, dobbiamo inserire un nuovo passaggio che numererò come 1.5. In questo passaggio, il browser e il server web eseguono un processo crittografico, ovvero uno scambio di messaggi e alcuni calcoli davvero interessanti, utilizzando la coppia di chiavi pubblica-privata del server web, per autenticare il sito web e creare due nuove chiavi che sono chiamate chiavi di sessione: una per il client e una per il server. Queste chiavi di sessione vengono utilizzate per crittografare e decrittografare i messaggi.

Queste funzioni crittografiche vengono eseguite da un protocollo chiamato TLS (Transport Layer Security), che è il successore dell'ormai obsoleto SSL (Secure Sockets Layer).

Ora possiamo passare al passaggio 2, che funziona esattamente come prima, ma ora, dopo che il browser ha scritto il messaggio di richiesta, prima di poterlo inviare, utilizza la propria chiave di sessione per crittografarlo. Il messaggio crittografato viene quindi inviato al server web. Quindi, il server web, dopo aver ricevuto il messaggio, utilizza la propria chiave di sessione per decrittografare e leggere il messaggio.

Il passaggio 3 funziona in modo simile al messaggio di risposta. Dopo aver scritto il messaggio di risposta, il server web lo crittografa utilizzando la propria chiave di sessione e poi lo rimanda al browser. Quindi, il browser, dopo aver ricevuto il messaggio, utilizza la propria chiave di sessione per decrittografare e leggere il messaggio.

Infine, il passaggio 4 funziona come prima: il browser esegue il rendering della risposta e possiamo visualizzare la pagina web.

Tenete presente che l'icona del lucchetto indica una connessione sicura e l'autenticazione del sito web.

Forse vi starete chiedendo in che modo i messaggi di richiesta e risposta arrivano al server web e viceversa. La risposta è tramite il protocollo Internet, IP, che sarà l'argomento della prossima presentazione, Che cos'è un indirizzo IP?

Un sito web sicuro è diventato un importante segnale di fiducia per gli utenti di Internet. Visualizzare il simbolo di un lucchetto nella barra degli indirizzi del browser offre agli utenti che utilizzano siti web un certo grado di garanzia che il sito web sia legittimo e sicuro. 

Internet si basa su protocolli, incluso HTTP (Hypertext Transfer Protocol). Una S nel protocollo HTTP dell'URL di un sito web, ovvero HTTPS, indica che il sito utilizza la versione sicura di HTTP, ovvero S sta per Secure. HTTPS (Hypertext Transfer Protocol Secure) è stato originariamente utilizzato per proteggere gli accessi online e garantire che le transazioni bancarie e di acquisto online fossero sicure. Tuttavia, nel 2014, Google ha alzato la posta in gioco per HTTPS utilizzando HTTPS come segnale di classificazione. L'effetto sull'adozione di HTTPS è stato drammatico e oggi oltre l'80% di tutti i siti web utilizza l'HTTPS.

Che differenza c'è tra HTTP e HTTPS?

HTTPS e il relativo protocollo di sicurezza, SSL (Secure Sockets Layer), sono stati rilasciati da Netscape nel 1994 per proteggere il browser Netscape.

Le connessioni HTTPS facilitano due funzioni fondamentali per contribuire a stabilire la fiducia e a creare connessioni sicure su Internet:

  • Autenticazione del sito web: autentica un sito web in modo che l'utente sappia che è stata verificata la legittimità del sito; ad esempio apple.com è il sito web della società Apple Inc.
  • Crittografia dei dati: i siti web HTTPS utilizzano il protocollo TLS (Transport Layer Security) (il successore di SSL) per crittografare il traffico web, proteggendo le informazioni sensibili tra un client (ad esempio, un browser web) e un server web. Ad esempio, se acquistati qualcosa online e inviate i dati della vostra carta di credito per effettuare l'acquisto, se il sito è HTTPS, tali dati verranno inviati in formato crittografato, anziché in testo semplice, al server web.

Come funziona l'HTTPS?

HTTPS si basa su una tecnologia chiamata infrastruttura a chiave pubblica (PKI). La tecnologia PKI si basa sulla crittografia a chiave pubblica e su una firma digitale. Una "coppia di chiavi" viene creata dal proprietario del sito web e la chiave pubblica viene inviata a un'autorità attendibile nota come "autorità di certificazione" (CA). Questa autorità firma la chiave pubblica, che produce un documento noto come certificato digitale. Il sito web ora contiene una chiave privata e un certificato SSL, che contiene la chiave pubblica. La chiave pubblica verifica qualsiasi cosa firmata dalla chiave privata. Il certificato digitale fornisce una catena di fiducia e di convalida dell'autenticità del sito web. HTTPS utilizza un protocollo di sicurezza (SSL/TLS) per crittografare e decrittografare le comunicazioni e i dati sensibili tra il browser web e il server web.

Passaggi in un flusso di richieste-risposte HTTPS

Il flusso di richiesta-risposta del protocollo HTTPS inizia allo stesso modo di HTTP. Tuttavia, per differenziare i due flussi viene utilizzato un passaggio intermedio, il passaggio 1.5:

Passaggio 1. Navigazione e inizializzazione

L'utente digita un indirizzo web in un browser o fa clic su un link in un'e-mail o in un'altra comunicazione. L'indirizzo contiene un URL (Uniform Resource Locator), che contiene l'HTTP per comunicare al browser di utilizzare l'HTTP per recuperare il documento che rappresenta l'URL.

Passaggio 1.5. Il processo crittografico

Il passaggio 1.5 prevede che il browser e il server web eseguano un "processo crittografico". Ciò comporta lo scambio di messaggi crittografati. I passaggi richiedono che vengano eseguite funzioni crittografiche complesse tramite il protocollo TLS, utilizzando la coppia di chiavi pubblica-privata del server web generata tramite l'autorità di certificazione (CA). Questo passaggio autentica il sito web e crea due nuove chiavi (chiavi di sessione): una per il client e una per il server. Queste chiavi di sessione vengono utilizzate per crittografare e decrittografare i messaggi.

Passaggio 2. Il client invia un messaggio di richiesta HTTP al server

Il passaggio 2 è uguale al flusso di richiesta-risposta del passaggio 2 HTTP. Il client, ad esempio il browser, crea un messaggio di richiesta che viene indirizzato al server web. Il messaggio include informazioni aggiuntive sulla richiesta, ad esempio chi è l'entità richiedente. Tuttavia, a differenza di HTTP, dopo aver scritto il messaggio di richiesta e prima che il browser possa inviare il messaggio, la richiesta HTTP(S) deve utilizzare la chiave di sessione per crittografare il messaggio.

Passaggio 3. Il server web invia la risposta HTTPS al client

Una volta ricevuta una richiesta, il server web utilizza la propria chiave di sessione per decrittografare e leggere il messaggio. Il server web costruisce quindi un messaggio di risposta, che crittografa utilizzando la chiave di sessione prima di inviarlo al browser.

Passaggio 4. Messaggio visualizzato dal browser

Alla ricezione del messaggio crittografato, il browser utilizza la propria chiave di sessione per decrittografare e quindi leggere il messaggio. La parte finale di questo passaggio prevede che il browser esegua il rendering del messaggio di risposta e visualizzi la pagina web nel browser.

Perché è importante utilizzare HTTPS?

Senza HTTPS, gli utenti Internet e i dati scambiati online tra client (ad esempio browser) e un server web corrono i seguenti rischi:

Attacchi di intercettazione: HTTPS utilizza il protocollo TLS per crittografare le comunicazioni. Anche se i criminali intercettano la comunicazione, non possono decrittografare e rubare i dati.

Furto di credenziali: il furto di credenziali è all'origine del 54% degli incidenti di sicurezza, secondo un rapporto di Ponemon. Se un sito web ha implementato correttamente l'HTTPS, tutti i dati inviati tramite tale sito web, ad esempio le credenziali di accesso, saranno sicuri poiché crittografati.

Diminuzione della fiducia: Ai siti web che segnalano di essere HTTPS è stato rilasciato un certificato digitale da una CA attendibile. La CA effettua controlli di due diligence sull'azienda durante l'emissione del certificato. Tuttavia, occorre comunque usare cautela secondo le statistiche dell' APWG (Anti-Phishing Working Group) poiché l'83% dei siti di phishing utilizza l'HTTPS.

Domande frequenti (FAQ)

L'HTTPS è la versione sicura dell'HTTP (Hypertext Transfer Protocol) che recupera risorse come documenti HTML. L'HTTPS facilita la messaggistica sicura tra il client (browser) e un server web. L'HTTPS utilizza la crittografia a coppia di chiavi insieme al protocollo TLS (Transport Layer Security) per eseguire la crittografia/decrittografia di questi messaggi. HTTPS segnala anche che un sito web utilizza questo protocollo sicuro e che il proprietario del sito web è stato verificato

HTTP è un protocollo web utilizzato per fornire il contenuto di un sito web, consentendone la visualizzazione in un browser. Il protocollo web, HTTP, è un protocollo basato su richieste-risposte che definisce il modo in cui i client web comunicano con i server web. HTTPS è la versione sicura di questo protocollo che utilizza il protocollo TLS (Transport Layer Security) e la crittografia a coppia di chiavi per proteggere lo scambio di messaggi tra il client (ad esempio, il browser) e un server web.

No, HTTPS non significa necessariamente che un sito web sia sicuro. 

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo che crittografa la comunicazione tra un browser web e un sito web, fornendo una connessione sicura. Garantisce che i dati trasmessi tra l'utente e il sito web non possano essere intercettati o manomessi da soggetti non autorizzati.

Sebbene HTTPS sia un'importante misura di sicurezza che protegge i dati durante la trasmissione, non garantisce la sicurezza o l'affidabilità complessiva di un sito web. Un sito Web potrebbe comunque contenere contenuti dannosi, presentare vulnerabilità o impegnarsi in attività fraudolente anche se utilizza HTTPS.

HTTPS è l'acronimo di "Hypertext Transfer Protocol Secure". Lo scopo della "S" in HTTPS è di indicare che la comunicazione tra un browser web e un sito web è crittografata e sicura.

La "S" in HTTPS in HTTPS indica che sul sito web è installato un certificato SSL/TLS e che la connessione è crittografata e sicura. Questa crittografia aiuta a proteggere le informazioni sensibili e garantisce che la connessione dell'utente al sito web sia autentica e affidabile.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.

Scoprite tutte le soluzioni per la sicurezza di Akamai