Oggi cercherò di spiegare in maniera non troppo complicata cosa rappresentano le sigle HTTP e HTTPS che appaiono in alto sui browser all’inizio dell’indirizzo di un sito web (URL).
di Stefano Ruffini
L’ HTTP (Hypertext Transfer Protocol) è il protocollo, cioè una serie di regole e comandi, che ci permette il dialogo tra un client, nel nostro caso tra il nostro computer o altro mezzo, ed la macchina (server) che ospita il sito web: in pratica ci fa navigare gestendo le richieste del browser e le risposte del server.
Questo protocollo però gestisce il passaggio dei dati “in chiaro” esponendoli potenzialmente ad un attacco informatico chiamato in gergo “man in the middle” (uomo nel mezzo) cioè un’intercettazione che può avere serie conseguenze soprattutto in caso di dati sensibili come carte di credito, pin, password o semplicemente preferenze personali. I siti web “vetrina” o che comunque non scambiano dati soggetti a protezione non hanno bisogno di implementare particolari sicurezza e quindi hanno generalmente un indirizzo che inizia semplicemente per HTTP. I siti invece che hanno bisogno di un certo grado di sicurezza (banche, siti e-commerce, motori di ricerca, web mail, ecc.) comprendono un certificato digitale (rilasciato da una autorità certificativa) che insieme ad un protocollo crittografico chiamato SSL(Secure Sockets Layer )/TLS(Transport Layer Security) scambiano una serie di chiavi digitali rendendo incomprensibile, a chi non le possiede, la trasmissione dei dati tra l’utente e il sito web. Questi siti sono riconoscibili per avere l’indirizzo web che inizia per HTTPS. Come ho detto in altri articoli la faccenda è più complessa e gli esperti non me ne vogliano ma preferisco evitare di entrare nel dettaglio con spiegazioni troppo tecniche. I siti con HTTPS hanno quindi pagine web relativamente protette con gradi di affidabilità più o meno alti a seconda della destinazione d’uso. Chiaramente un sito che scambia i dati personali per utilizzarli solo in una newsletter avrà bisogno di un grado di affidabilità minore di un sito di una banca. Uso la parola “affidabilità” in quanto oltre alla criptazione dei dati da parte dell’SSL/TLS ha la sua importanza il certificato che “certifica” l'identità del soggetto titolare del sito (ad evitare il phishing, cioè un sito falso “trappola” di dati). A seconda del tipo, uso (e costo) del certificato l’ente certificatore potrà richiedere un'integrazione dei dati forniti richiedendo ad esempio l'iscrizione alla Camera di Commercio o più approfondite verifiche. Nei vari browser i siti protetti sono contraddistinti sulla barra degli indirizzi in alto a sinistra da un lucchetto chiuso che può essere verde o grigio a seconda del grado di protezione totale o parziale. I siti non protetti invece possono essere segnalati dai browser (non tutti) da un punto esclamativo cliccabile per maggiori informazioni. Inoltre i motori di ricerca che indicizzano siti che scambiano dati molto delicati (come i pagamenti con carta di credito) ma che non possiedono l’HTTPS segnalano un avviso di sicurezza con segnali rossi. Anticipazioni per i webmaster: nel prossimo futuro tutti i siti HTTP, anche quelli che non necessiteranno di particolari sicurezze perché privi di scambio di dati , verranno segnalati come non protetti o non sicuri, al fine di imporre agli amministratori il passaggio al protocollo HTTPS crittografato che tra l’altro porta anche altri vantaggi come l’usufrutto dell’HTTP/2, una nuova tecnologia progettata per caricare più velocemente le pagine web. Google sta valutando un approccio ancora più estremo, cioè modificare sul suo browser Chrome il colore della scritta “Non sicuro” da grigio a rosso, evidenziandola con un segnale di pericolo anch'esso di colore rosso; inoltre i siti privi di HTTPS saranno penalizzati nelle posizioni sui motori di ricerca.