Quando ti ho mostrato come comprare in sicurezza su internet ho accennato al protocollo HTTPS. E’ la S che fa la differenza, è la nostra unica garanzia che i dati che immettiamo e vediamo non siano stati modificati da qualche hacker o truffatore informatico, o almeno da nessuno di loro alle prime armi, dopo tutto nessuno sul web è al sicuro, mai.
Connessione sicura
Quando mandiamo in informazione attraverso un sito internet, essa può essere elaborata in due modi, tramite un protocollo non sicuro e tramite uno sicuro.
HTTP: Protocollo non sicuro
Tramite la connessione HTTP i dati viaggiano con il protocollo standard per le comunicazioni tra utente e sito web da vedere, questi dati possono essere manomessi, falsificati, alterati, deviati e intercettati, per tutta questa serie di motivazioni, HTTP è un protocollo non sicuro e non va assolutamente usato i negozi online, piattaforme bancarie, di trading o servizi del settore.
HTTPS: la via sicura di fare le cose
Le connessioni HTTPS sono sicure, i dati che viaggiano tramite questo protocollo garantiscono che le informazioni ricevute o ricevute sono genuine e non contraffatte. La crittografia è la magia che sta dietro a questo incantesimo, i dati vengono cifrati solo tramite specifici certificati rilasciati da specifiche aziende riconosciute nel settore.
L’importante è essere sicuri
Quando cerchi di connetterti ad un sito che si finge sicuro Google ti avverte, l’immagine poco sopra te lo dimostra, la connessione viene bloccata e il browser avvisa che la connessione non è sicura perché il certificato non è affidabile.
Per rendere accessibile un sito in https bisogna possedere un certificato di sicurezza, rilasciato da un ente valido riconosciuto come attendibile da tutti i browser.
I certificati di sicurezza
Non esiste un solo tipo di certificato infatti troviamo:
- Certificati Autofirmati
- Certificati su IP
- Certificati US/SAN
- Certificati Wildcard
- Certificati EV
Certificati Autofirmati
I certificati auto firmati non sono validi per le connessioni https, sono generati gratuitamente dal gestore del sito internet o della azienda e vengono di norma usati solo per test o all’interno di connessioni intranet fra computer di uno stesso gruppo. Per il fatto di essere autofirmati ogni browser senza copia di certificato bloccherà ogni connessione verso il sito internet avvisandoti che stai cercando di accedere ad un sito non sicuro.
Certificati su IP
I certificati su base IP vengono rilasciati non ad un dominio, come normalmente avviene ma sul numero IP del server su cui risiede il server, così più siti possono usare lo stesso certificato. Valido per connessioni crittografate non vale quanto uno dei suoi fratelli maggiori, infatti non viene identificata l’azienda che gestisce il sito, per cui la sicurezza è sufficiente ma non pienamente funzionale.
Certificati US/SAN
Questo tipo di certificati, vengono chiamati SAN per l’acronimo che significa Subject Alternate Name, questo tipo di certificazione consente al proprietario di proteggere domini separati fra di loro. Costano di più ma ne vale la pena.
Certificati Wildcard
Un sito internet si basa su un dominio, ma anche su sottodomini, un certificato wildcard permette di proteggere anche i sottodomini, gli altri tipi di certificati ad eccezione del tipo US/SAN vale infatti solo per il dominio per la quale è stato selezionato.
Certificati EV
Extended Validation, questo è il certificato di sicurezza per eccellenza, l’autorità (prima abbiamo detto agenzia o azienda) verifica tutti i dati dell’associazione e una volta controllati rilascia la massima sicurezza per gli utenti. Prima dell’url ci sarà una barra verde con sopra scritto il nome dell’azienda in questione. Questo certificato vale per un solo dominio ed è il più caro di tutti, può costare anche fino a più di mille euro, all’anno ovviamente.
Come funziona HTTPS?
- Inizializzazione di connessione protetta: Il browser chiede al browser di autentificarsi
- Handshake, scambio di certificati: il server presenta il proprio certificato, il browser utilizza la chiave pubblica dell’utente per avviare la procedura di firma della connessione dati
- il server riconosce la firma dell’utente e la controfirma, avviando così un canale di comunicazione
- Se il certificato è valido, il browser accetta il canale sicuro e la connessione può continuare.
Riassumendo
