Tag: Sicurezza

Cosa significa Https e Http e quale conviene per il tuo sito

Http e https non sono la stessa cosa. Esistono delle differenze importanti che non tutti conoscono e spesso si tende a confonderne il significato. In questo articolo spiegheremo nel dettaglio questi due acronimi molto utilizzati, così da capirne il funzionamento e da saper scegliere quale tra i due, al momento attuale, risulta migliore per la creazione di un sito web professionale e di successo.

Quali sono le differenze

La principale differenza tra il protocollo HTTP (HyperText Transfer Protocol) e HTTPS (HyperText Transfer Protocol Secure) riguarda il grado di sicurezza offerto. Nella prima variante, lo scambio di risorse tra client e server avviene in chiaro, quindi l’informazione può essere letta da chiunque decida di intromettersi nello scambio di dati. Nell’HTTPS la comunicazione è protetta grazie a certificati come il Secure Socket Layer (SSL) che garantisce:

• l’identità dei dati e la loro riservatezza;
• la cifratura del traffico;
• la verifica di integrità del traffico.

Inoltre, i due protocolli utilizzano una porta standard differente: HTTP sfrutta la porta 80, mentre HTTPS usa la porta 443.

L’importanza di proteggere il proprio sito con il protocollo https

A partire da luglio 2018, utilizzare un protocollo https che a sua volta faccia uso di connessioni protette da crittografia è diventato ancora più importante. Google Chrome, uno dei motori di ricerca più utilizzati al mondo, ha iniziato a segnalare all’utente come “non sicuri” tutti i siti che sono sprovvisti di certificati SSL: il messaggio è affiancato da una “i” e da un’icona rossa di avvertimento. La scomparsa della dicitura “sicuro” è, quindi, un monito ad impiegare il protocollo https, che è diventato lo standard per definizione.

Inoltre, Google ha deciso di inserire il protocollo https tra i fattori di ranking del motore di ricerca: questo significa che, a parità di autorevolezza e valore, risorse che utilizzano il protocollo https si posizioneranno meglio di quelle che non lo usano.

Sicurezza

Un protocollo HTTP standard non crittografa le connessioni. Ciò significa che le righe di testo in una richiesta o risposta HTTP sono visibili a chiunque monitori la connessione, inclusi hacker e criminali informatici.

L’utilizzo di HTTP standard generalmente pone problemi minimi se il testo contiene solo informazioni generali, ad esempio per caricare una pagina web pubblica.

Tuttavia, se contiene dati sensibili come nomi utente, password o dettagli di carte di credito, l’utilizzo di HTTP non crittografato può comportare gravi rischi per la sicurezza. Poiché queste informazioni sono visibili a chiunque, violazioni dei dati, hack e furto di identità diventano problemi seri.

I certificati SSL “Let’s Encrypt” sono gratuiti e sono forniti da un’autorità garante no profit: essi sono ottimi per gli e-commerce e per altri portali di carattere commerciale dove sono previste transazioni in denaro. Tuttavia, questi certificati non forniscono una protezione completa, in quanto sono in grado di proteggere solo l’utente: non è previsto alcun tipo di validazione (semplicemente il lucchetto verde vicino all’url del sito) e non sono previsti controlli della proprietà del dominio da parte dello sviluppatore che attiva il certificato.

Il certificato SSL a pagamento (Commercial Certificate) è quello assolutamente più raccomandato. L’autenticazione avviene con la validazione del dominio, verificando che la proprietà sia del privato o dell’azienda che lo ha registrato.