Rendere sicuro un sito web con il protocollo HTTPS

Rendere sicuro un sito web con il protocollo HTTPS

Tutti ormai usiamo internet quotidianamente e visitiamo siti web o acquistiamo prodotti in rete, ma cosa succede quando scriviamo, ad esempio, www.groweb.it?

Quando ci connettiamo ad un sito web diamo l’input ad un processo dove client (il nostro computer) e server remoto devono comunicare tra loro, inviando non solo dati per far visualizzare immagini e testi all’utente, ma anche dati sensibili come user e password di accesso ad un portale o numeri di carte di credito e secure code per un pagamento.

Come funziona in pratica questo dialogo “client-server”? Il nostro computer (client) per collegarsi al server utilizza un protocollo di comunicazione affinché quest’ultimo possa interpretare correttamente i dati che riceve; esistono vari protocolli di comunicazione client-server ed i più utilizzati in ambito web, sono due: http e https.

Partiamo dal più diffuso in assoluto, l’http (Hypertext Transfer Protocol), il protocollo con il quale la maggior parte dei server oggi presenti in rete dialoga con i nostri computer. Il protocollo http è nato alla fine degli anni ‘80, praticamente in contemporanea alla nascita del www (World Wide Web) e quindi di internet come la conosciamo oggi. Ormai collaudato e molto stabile http ha però alcuni punti deboli  in materia di sicurezza dei dati che, con l’aumentare del commercio elettronico e del cloud computer, lo rendono ormai obsoleto se non addirittura rischioso per le nostre tasche.

Nel protocollo http infatti i dati transitano nella rete “in chiaro” ovvero sono totalmente leggibili, compresi i dati sensibili come carte di credito e codici di sicurezza, a chiunque riesca ad intercettarli… cosa che gli hacker sono molto bravi a fare.

E’ stata quindi sviluppata una variante di questo protocollo, chiamato https (HyperText Transfer Protocol over SSL) che utilizza un sistema di cifratura a monte della trasmissione dei dati ed una decifratura da parte del browser che li riceve. I siti che utilizzano questo protocollo vengono indicati con la dicitura “Sicuro” sulla barra dell’indirizzo e/o l’icona di un lucchetto chiuso. Questa evoluzione garantisce che la comunicazione tra server e client non sia visibile da eventuali malintenzionati che, qualora la intercettassero, vedrebbero soltanto dati crittografati e quindi illeggibili; soltanto il browser autorizzato avrà la chiave di decodifica dei dati e lo farà subito prima di mostrarli in maniera chiara solo all’utente che li ha richiesti. Un pagamento diventerà dunque molto sicuro ed i miei dati personali saranno al sicuro da occhi indiscreti.

Trasformare un sito da http ad https è un piccolo investimento sia in termini di modifica del codice sia in termini di acquisto di un certificato SSL (che nella versione base, sufficiente per la maggior parte dei siti web, ha un costo indicativo di circa 100€ all’anno) ma molti dei grandi operatori di internet, Google in testa, stanno spingendo pesantemente per il passaggio ad un protocollo sicuro. Infatti già dal gennaio 2017, con il rilascio delle ultime versioni dei browser (ad esempio Chrome v 56.xx) i siti http che scambiano dati personali come ad esempio codici, password, dati bancari etc., saranno segnalati come non sicuri. E questa cosa potrebbe avere pesanti ripercussioni sia a livello di immagine che in termini di perdita di fatturato, ad esempio, per i siti di e-commerce.

Per i proprietari di un sito web garantire maggiore sicurezza agli utenti è sicuramente un dettaglio importante, ma in realtà anche Google stesso premia i siti HTTPS nella graduatoria del suo motore di ricerca. Avere un sito https diventa quindi un grande fattore SEO e questo, già di per sé, può rappresentare per molti una motivazione che giustifica l’aggiornamento e l’investimento.