04. Sicurezza sul web (HTTPS)

Il protocollo HTTPS (HTTP Secure) è un protocollo di comunicazione realizzato per rendere più sicuro ed affidabile lo scambio di informazioni tra due nodi del web.

Tecnicamente non si tratta di un protocollo vero e proprio ma dell'applicazione del protocollo SSL/TLS in congiunzione al protocollo HTTP con lo scopo di prevenire attacchi del tipo man-in-the-middle (letteralmente “uomo nel mezzo”, tipologia di attacco hacker nella quale una terza entità si inserisce nella linea di comunicazione tra client e server ed intercetta tutti gli scambi informativi tra i due nodi).

Per far ciò, il protocollo HTTPS garantisce l'identificazione del sito web che si sta visitando e del server web che lo ospita. Inoltre, fornisce la crittografia bidirezionale della comunicazione, proteggendo l'utente dal pericolo di essere intercettato o di visitare siti manomessi. Storicamente questo protocollo è stato utilizzato per proteggere transazioni economiche e finanziarie telematiche, servizi di posta elettronica e per proteggere lo scambio di informazioni sensibili all'interno di grandi corporation.

Ad "assicurare" i browser web sull’autenticità di un sito e del server che lo ospita sono le autorità di certificazione (VeriSign, Microsoft, ecc.) che forniscono certificati digitali che attestano, appunto, l'autenticità del portale web che si sta visitando.

I browser web vengono rilasciati fin dall'origine con i certificati digitali delle principali autorità di certificazione incorporati nel programma stesso in modo da poter riconoscere come validi i certificati prodotti da tali autorità.

I browser web per evidenziare che un sito web è stato correttamente identificato utilizzano un'apposita grafica in corrispondenza dell'URL. Ad esempio, Google Chrome mostra una lucchetto chiuso.

In questo contesto, dire che il sito web è "identificato", significa che il nome di dominio utilizzato per risolvere l'indirizzo IP, è coerente con quanto riportato nel certificato.

Contestualmente è garantita anche la riservatezza dei dati, che sono crittografati utilizzando una chiave di sessione.

Nel mese di Aprile del 2014, un gruppo di hacker è riuscito a "bucare" il protocollo HTTPS, ritenuto sino ad allora praticamente inviolabile (falla divenuta celebre con il nome Heartbleed).

Subito dopo è stata corretta questa falla informatica.

Certificato lato client

Il protocollo HTTPS prevede la possibilità che anche il client che si connette ad un sito disponga di un certificato per farsi identificare.

Questa modalità non è usuale anche se praticata in alcuni contesti aziendali.

In questo scenario il client deve installare un certificato (normalmente consegnato direttamente dalla controparte) nel proprio browser.

Durante la navigazione fatta con il protocollo HTTPS, l'utente è certo dell'identità del sito web e, simmetricamente, il sito web riconosce l'utente che sta navigando.

Sito: 7ecnologie

Sezione: 14. Sicurezza informatica

Capitolo: 03. Protocolli per la sicurezza

Paragrafo: 04. Sicurezza sul web (HTTPS)

Indice dei capitoli: 00. Risorse - 01. Il quadro normativo - 02. Crittografia - 03. Protocolli per la sicurezza - 04. Applicazioni e Servizi - 98. Esercizi

Indice dei paragrafi: 01. La chiave di sessione - 02. Autenticazione di client remoti (CHAP) - 03. Sicurezza nella rete Wi-Fi - 04. Sicurezza sul web (HTTPS) - 05. Crittografia end to end nelle chat