Con sempre maggiore frequenza, anche dettata dalla spinta allarmistica di alcune versioni del Browser Google Chrome (che indicava insicuri i siti HTTP con certe caratteristiche), sempre più siti si stanno dotando di certificati per garantire l'accesso con il protocollo sicuro HTTPS anziché il classico HTTP.
Un sito accessibile con protocollo HTTPS, ad oggi evidenziato dai browser con l'icona del lucchetto verde in corrispondenza della barra degli indirizzi, garantisce:
in poche parole: è più sicuro per un utente scambiare dati sensibili o riservati tramite il protocollo HTTPS e non tramite HTTP, ad oggi considerato insicuro
Anni fa HTTPS era utilizzato soltanto dai siti che effettuavano transazioni con la carta di credito o da siti e-commerce o di una certa rilevanza. Ad oggi pare che sia adottato trasversalmente anche su siti dove i dati scambiati sono soltanto pagine pubbliche del sito, questo anche perché si ritiene che possa impattare sul SEO.
Per utilizzare HTTPS è necessario ottenere un Certificato firmato da una Autority della quale il browser abbia "a bordo" il certificato di root. Questo impone quindi l'acquisto da Autority di un certificato apposito che opportunamente installato consente l'accesso al sito in HTTPS.
Di recente, grazie a Let's Encrypt è diventato più facile ottenere, velocemente e gratuitamente dei certificati. Anche se vi sono delle differenze che rendono ancora oggi preferibile per un sito di una certa importanza adottare un certificato standard anziché un certificato Let's Encrypt. Let's Encrypt ha di fatto rivoluzionato e aumentato notevolmente il numero di siti presenti accessibili su protocollo sicuro.
Garantire la privacy dei dati scambiati non necessariamente è sinonimo di sicurezza. Alcune riflessioni. Inconsapevolmente un visitatore attribuisce alla icona del lucchetto verde sicurezza, ma in realtà è il protocollo sicuro, non è detto che il contenuto del sito lo sia! Un sito di phishing ad esempio può oggi facilmente dotarsi di un certificato gratuito. Oppure una pagina di un sito in HTTPS può essere hakerata. La larga diffusione ne fa inoltre consuetudine e cala l'attenzione di quando solo prima di inserire i dati della carta di credito si controllava che sulla barra degli indirizzi fosse indicato HTTPS. Essendo inoltre il traffico tra client e server criptato alcuni sistemi di protezione Antivirus perimetrali usati dalle aziende non possono funzionare (se non tramite opportune modifiche ai computer) e paradossalmente un virus trasferito via HTTPS può essere bloccato solo dall'end-point ovvero quando viene decriptato sul computer, non da un eventuale sistema proxy intermedio.
In definitiva HTTPS avrebbe potuto essere usato soltanto sulle transazioni dove i dati scambiati non devono essere intercettati (per evitare un attacco man in the middle) ma non necessariamente per trasferire grossi contenuti magari pubblici. Tuttavia pare che la direzione del web sia oramai segnata e HTTPS stia di fatto diventando il nuovo standard del web.
RHX è a tua disposizione per verificare il tuo sito e attivare il certificato più adatto alle tue esigenze.
Dalla soluzione gratuita, adatta a piccoli siti istituzionali, a certificati garantiti rilasciati da Autority a più lunga durata, ideali per siti e-commerce o con un alto traffico di visitatori.
Contattaci per maggiori informazioniDocumenti correlati