Ad oggi, il protocollo HTTPS si può ormai ritenere diffuso in larga scala e difficilmente ci si trova a doversi confrontare con clienti che non ne apprezzano i vantaggi! Tuttavia…
Prima di analizzare il motivo per cui l’HTTPS è divenuto recentemente argomento molto trattato su blog e forum del settore, è fondamentale fornire una breve panoramica del protocollo e perché è così importante implementarlo ogni qualvolta vengano condivise risorse sul web.
Iniziamo da SSL/TLS . Security Socket Layer e Transport Layer Security sono protocolli utilizzati al fine di tutelare le informazioni fra browser e server criptando, per esempio, le informazioni trasmesse sul canale.
HTTPS (Hypertext Transfer Protocol Secure – HTTP over Secure Socket Layer (SSL) – HTTP over Transport Security Layer) è un protocollo per la comunicazione su internet che ha come obiettivo quello di proteggere la riservatezza e l’integrità dei dati scambiati fra i nodi della rete. I dati inviati utilizzando HTTPS vengono infatti tutelati mediante I protocolli sopra citati (SSL/TLS) i quali forniscono tre livelli di protezione essenziali:
- Crittografia: I dati scambiati vengono criptati al fine di proteggerli dalle intercettazioni.
- Integrità dei dati: i dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
- Autenticazione: Dimostra che gli utenti comunicano con il sito web previsto.
Un indirizzo web quindi preceduto dalla sigla HTTPS:// indica una risorsa a cui è stato applicato un certificato SSL/TLS e pertanto il sito è stato autenticato e considerato sicuro (lucchetto verde).
Esistono diverse tipologie di certificato SSL/TLS e la scelta dello stesso è proporzionale alla sicurezza che il servizio offerto necessita:
Certificati SSL DV (Domain Validation) a validazione su Dominio.
- Procedura di validazione semplice.
- Emessi in tempi molto brevi.
- Non necessitano dell’invio di documentazione relativa all’azienda.
- Molto economici
Certificati SSL OV (Organization Validation) a validazione dell’Organizzazione.
- Procedura di validazione più complessa rispetto ai certificati DV.
- Richiedono l’invio di documentazione cartacea relativa all’azienda che necessita del certificato.
Certificati SSL EV (Extended Validation) a validazione estesa dell’Organizzazione.
- Questa è la modalità di validazione più completa ed avanzata.
Adottata dai browser ad elevata sicurezza che identificano un certificato di questo tipo ed attivano le segnalazioni grafiche nella loro interfaccia, la cosiddetta Green bar. Ideale per chi vuole trasmettere un elevato livello di sicurezza ed autenticità. - E’ la procedura di rilascio più completa.
- Tempi di validazione mediamente lunghi;
I passi di questa procedura sono definiti nelle “EV Guidelines” come ratificato dal CA/Browser forum nel 2007 ed includono:
- Verifica dell’esistenza fisica, legale e operativa dell’azienda che richiede il certificato;
- Verifica che l’identità dell’azienda coincida con i dati forniti al momento della richiesta;
- Verifica che l’azienda abbia i diritti esclusivi di utilizzo del dominio specificato;
- Verifica che l’azienda abbia autorizzato correttamente l’emissione del certificato.
Tocchiamo ora l’argomento citato nell’introduzione chiedendoci: perché su blog e forum del settore, in questi ultimi tempi, si sta discutendo così tanto dell’HTTPS?
La risposta a questa domanda è connessa ad una delle più grandi aziende che offre servizi online: Google Inc.
Google ha infatti recentemente sottolineato l’importanza del protocollo e si sta muovendo al fine di favorire l’utilizzo delle connessioni cifrate sul web.
Come?
Nel suo blog, Google ha dichiarato che tutte le connessioni che utilizzano il vecchio protocollo HTTP verranno marcate come “non sicure” e che l’utente verrà avvisato di non inserire dati sensibili nel sito visitato.
Inoltre a parità di “qualità” dei contenuti, il motore di ricerca (Google Search) darà più rilevanza ai siti che avranno adottato il protocollo HTTPS (tutti quei siti che, per chi sta approcciando ora all’argomento, mostrano il lucchetto verde nella barra degli indirizzi) rispetto a quelli che ancora non utilizzano certificati di sicurezza efficaci .
A quale fine?
Il fine di Google è quello di responsabilizzare sul trattamento dei dati sensibili tutti coloro che rendono disponibili contenuti online. E’ infatti fondamentale, per l’azienda, proteggere la propria utenza (chi utilizza Google Chrome, Google Search e tutti gli altri servizi a loro connessi).
Applicare queste misure di sicurezza risulta quindi fondamentale per tutti i siti web ma in particolare modo per siti in cui vengono trattati dati sensibili come password ecc.
I siti di e-commerce, per esempio, risultano in tale categoria.
I livelli di protezione sopra citati inoltre non impattano eccessivamente sulle performance e pertanto adeguarsi è un passaggio semplice, che non prevede un considerevole investimento di risorse e che non nasconde alcuna “controindicazione”.
Importante considerare inoltre il fatto che ogni utente che usufruirà di un servizio web si sentirà più sicuro durante la navigazione e senza messaggi di warning da parte del browser, potrà godere a pieno del servizio offerto e riporre maggior fiducia nel provider.