Che cos’è HTTPS? – Cosa hai bisogno di sapere

Sebbene la crittografia avanzata sia recentemente diventata di tendenza, negli ultimi 20 anni i siti Web hanno utilizzato regolarmente la crittografia end-to-end. Dopotutto, se i siti Web non potessero essere resi molto sicuri, allora nessuna forma di commercio online come lo shopping o il settore bancario sarebbe possibile. Il protocollo di crittografia utilizzato per questo è HTTPS, che sta per HTTP Secure (o HTTP over SSL / TLS). Viene utilizzato da qualsiasi sito Web che deve proteggere gli utenti "ed è la spina dorsale fondamentale di tutta la sicurezza su Internet.

HTTPS viene inoltre sempre più utilizzato dai siti Web per i quali la sicurezza non è una priorità assoluta. Ciò è in gran parte aumentato la preoccupazione per la privacy generale di Internet e le questioni di sicurezza a seguito delle rivelazioni di sorveglianza del governo di massa di Edward Snowden.

Progetti come l'iniziativa Let's Encrypt di EFF, il programma Encryption Everywhere di Symantec e Mozilla che scelgono di deprezzare i risultati della ricerca protetta non HTTPS, hanno tuttavia accelerato l'adozione generale del protocollo.

Quindi cosa fa HTTPS?

Quando visiti un sito Web HTTP non sicuro, tutti i dati vengono trasferiti non crittografati, quindi chiunque guardi può vedere tutto ciò che fai mentre visiti quel sito Web (inclusi elementi come i dettagli della transazione quando effettui pagamenti online). È anche possibile modificare i dati trasferiti tra l'utente e il server Web.

Con HTTPS, si verifica uno scambio di chiavi crittografiche quando ci si collega per la prima volta al sito Web e tutte le azioni successive sul sito Web vengono crittografate e quindi nascoste da occhi indiscreti. Tieni presente che chiunque sta guardando può vedere che hai visitato un determinato sito Web, ma non può vedere quali pagine singole leggi o altri dati trasferiti su quel sito Web.

Ad esempio, il sito Web ProPrivacy è protetto tramite HTTPS. Supponendo che non si stia utilizzando per un po 'durante la lettura di questa pagina Web, il proprio ISP può vedere di aver visitato proprivacy.com, ma non può vedere che si sta leggendo questo particolare articolo.

Se stai usando una VPN, il tuo provider VPN può vedere le stesse informazioni, ma una buona userà gli IP condivisi in modo che non sappia quale dei suoi molti utenti ha visitato proprivacy.com e scarterà tutti i log relativi al visita comunque.

Nota che HTTPS utilizza la crittografia end-to-end, quindi tutti i dati che passano tra il tuo computer (o smartphone, ecc.) E quel sito Web sono crittografati. Ciò significa che puoi accedere in sicurezza ai siti Web HTTPS anche quando sei connesso a hotspot WiFi pubblici non garantiti e simili.

Come faccio a sapere se un sito Web è sicuro??

È facile stabilire se un sito Web visitato è protetto da HTTPS:

  1. In tutto, vedrai l'icona di un lucchetto bloccato a sinistra immediata dell'URL principale / barra di ricerca.
  2. Nella maggior parte, l'indirizzo web inizierà con https: //. (I siti Web non protetti iniziano con http: //, ma sia https: // che http: // sono spesso nascosti.)

Sito Web non protetto Firefox - nessun HTTPS

Sito Web non garantito Chrome

Ecco alcuni esempi di siti Web non garantiti (Firefox e Chrome). Si noti che gli indirizzi Web (URL) non iniziano con https: e che nessuna icona del lucchetto viene visualizzata a sinistra della barra di ricerca

Sito Web protetto Firefox

Sito Web protetto Chrome

Sito Web protetto Edge

Ecco alcuni siti Web HTTPS sicuri in Firefox, Chrome e Microsoft Edge. Anche se sembrano tutti leggermente diversi, possiamo vedere chiaramente l'icona di un lucchetto chiuso accanto alla barra degli indirizzi in tutti loro. Notare che a differenza della maggior parte dei browser, Edge non mostra https: // all'inizio dell'URL. Noterai anche che l'icona può essere verde o grigia ...

Qual è la differenza tra le icone del lucchetto verde e grigio?

Se viene visualizzata l'icona di un lucchetto, il sito Web è sicuro. Se l'icona è verde, tuttavia, indica che il sito Web ha presentato al browser un certificato di convalida estesa (EV). Questi hanno lo scopo di verificare che il certificato SSL presentato sia corretto per il dominio e che il nome di dominio appartenga alla società che ti aspetteresti di possedere il sito Web.

In teoria, quindi, dovresti avere maggiore fiducia nei siti Web che mostrano un lucchetto verde. In pratica, tuttavia, il sistema di convalida può essere fonte di confusione.

nwolb

Ad esempio, nel Regno Unito, l'indirizzo bancario online della banca NatWest (www.nwolb.com) è protetto da un veicolo elettrico appartenente a quello che l'osservatore occasionale potrebbe pensare come un concorrente di strada - la Royal Bank of Scotland. A meno che tu non sappia che NatWest è di proprietà di RBS, ciò potrebbe diffidare del Certificato, indipendentemente dal fatto che il tuo browser gli abbia dato un'icona verde.

La confusione può anche essere causata dal fatto che browser diversi a volte utilizzano criteri diversi per accettare Firefox e Chrome, ad esempio, mostrano un lucchetto verde quando si visita Wikipedia.com, ma Microsoft Edge mostra un'icona grigia.

In generale, il buon senso dovrebbe prevalere. Se stai visitando Google e l'URL è www.google.com, puoi essere abbastanza certo che il dominio appartiene a Google, indipendentemente dall'icona del lucchetto!

Altre icone di lucchetto

Potresti anche imbatterti in altre icone di lucchetto che indicano elementi come contenuto misto (il sito Web è solo parzialmente crittografato e non impedisce intercettazioni) e certificati SSL scaduti o scaduti. Tali siti Web lo sono non sicuro.

Informazioni aggiuntive

In tutti i browser, è possibile trovare ulteriori informazioni sul certificato SSL utilizzato per convalidare la connessione HTTPS facendo clic sull'icona del lucchetto.

HTTPS maggiori informazioni

La maggior parte dei browser consente di approfondire ulteriormente e persino visualizzare il certificato SSL stesso

Come funziona effettivamente HTTPS?

Il nome Hypertext Transfer Protocol (HTTP) indica fondamentalmente uno standard non protetto (è il protocollo dell'applicazione che consente alle pagine Web di connettersi tra loro tramite collegamenti ipertestuali).

Le pagine Web HTTPS sono protette utilizzando la crittografia TLS, con gli algoritmi di autenticazione e determinati dal server Web.

Dettagli TLS

La maggior parte dei browser fornisce dettagli sulla crittografia TLS utilizzata per le connessioni HTTPS. Questa è la crittografia utilizzata da ProPrivacy, come visualizzato in Firefox. Maggiori informazioni su molti dei termini utilizzati sono disponibili qui

Per negoziare una nuova connessione, HTTPS utilizza l'infrastruttura a chiave pubblica X.509 (PKI), un sistema di crittografia a chiave asimmetrica in cui un server Web presenta una chiave pubblica, che viene decrittografata utilizzando la chiave privata di un browser. Per garantire un attacco man-in-the-middle, X.509 utilizza i certificati HTTPS, piccoli file di dati che legano digitalmente la chiave crittografica pubblica di un sito Web ai dettagli di un'organizzazione.

Un certificato HTTPS viene emesso da un'autorità di certificazione riconosciuta (CA) che certifica la proprietà di una chiave pubblica da parte del soggetto nominato del certificato, agendo in termini crittografici come terza parte fidata (TTP).

Se un sito Web mostra al tuo browser un certificato rilasciato da una CA riconosciuta, il tuo browser determinerà che il sito è autentico (un simbolo mostra un lucchetto chiuso). E come notato in precedenza, i certificati di convalida estesa (EV) sono un tentativo di migliorare la fiducia in questi certificati SSL.

HTTPS Ovunque

Molti siti Web possono utilizzare ma non per impostazione predefinita. In tal modo è spesso possibile accedervi in ​​modo sicuro semplicemente anteponendo il loro indirizzo web con https: // (anziché: //). Una soluzione molto migliore, tuttavia, è utilizzare HTTPS Everywhere.

Questa è un'estensione del browser gratuita e open source sviluppata da una collaborazione tra e la Electronic Frontier Foundation. Una volta installato, HTTPS Everywhere utilizza "una tecnologia intelligente per riscrivere le richieste a questi siti su HTTPS".

Se è disponibile una connessione HTTPS, l'estensione proverà a connettersi in modo sicuro al sito Web tramite HTTPS, anche se non viene eseguita per impostazione predefinita. Se non è disponibile alcuna connessione HTTPS, ti collegherai tramite un normale HTTP non sicuro.

Con HTTPS Everywhere installato ti collegherai a molti altri siti Web in modo sicuro, e quindi noi fortemente raccomandato installandolo. HTTP Everywhere è disponibile per Firefox (incluso Firefox per Android), Chrome e Opera.

Problemi con HTTPS

Certificati SSL falsi

Il problema più grande con HTTPS è che l'intero sistema si basa su una rete di fiducia: crediamo che le CA rilasciano certificati SSL solo ai proprietari di domini verificati. Tuttavia…

Esistono circa 1200 CA che possono firmare certificati per domini che saranno accettati da quasi tutti i browser. Sebbene diventare una CA comporti molte formalità (non solo chiunque può configurarsi come una CA!), Possono essere (e sono) appoggiati dai governi (il problema più grande), intimiditi dai criminali o hackerati dai criminali per emettere falsi certificati.

Ciò significa che:

  1. Con centinaia di autorità di certificazione, basta un "uovo cattivo" che emette certificati falsi per compromettere l'intero sistema
  2. Una volta emesso un certificato, non è possibile revocare tale certificato se non per il produttore del browser di emettere un aggiornamento completo del browser.

Se il tuo browser visita un sito Web compromesso e viene presentato con quello che sembra un certificato HTTPS valido, avvierà ciò che ritiene sia una connessione sicura e visualizzerà un lucchetto nell'URL.

La cosa spaventosa è che solo una delle 1200+ CA deve essere stata compromessa perché il browser accetti la connessione. Come osserva questo articolo del FEP,

In breve: ci sono molti modi per interrompere HTTPS / TLS / SSL oggi, anche quando i siti Web fanno tutto nel modo giusto. Come attualmente implementato, i protocolli di sicurezza del Web possono essere abbastanza buoni da proteggere dagli aggressori con tempo e motivazione limitati, ma sono inadeguati per un mondo in cui i conflitti geopolitici e aziendali vengono sempre più spesso disputati da attacchi contro la sicurezza dei sistemi informatici.

Peter Eckersley

Sfortunatamente, questo problema è lungi dall'essere teorico. Allo stesso modo, sfortunatamente, non esistono soluzioni generalmente riconosciute, anche se insieme ai veicoli elettrici, il pinning con chiave pubblica viene utilizzato dalla maggior parte dei siti Web moderni nel tentativo di affrontare il problema.

Con il blocco della chiave pubblica, il browser associa un host del sito Web al certificato HTTPS o alla chiave pubblica previsti (questa associazione viene "bloccata" all'host) e, se presentata con un certificato o una chiave imprevisti, rifiuterà di accettare la connessione e di emettere un avvertimento.

La Electronic Frontier Foundation (EFF) ha anche avviato un progetto dell'Osservatorio SSL allo scopo di indagare su tutti i certificati utilizzati per proteggere Internet, invitando il pubblico a inviarlo per l'analisi. Per quanto ne sappia, tuttavia, questo progetto non è mai stato realizzato ed è rimasto inattivo per anni.

Analisi del traffico

I ricercatori hanno dimostrato che l'analisi del traffico può essere utilizzata su connessioni HTTPS per identificare singole pagine Web visitate da un target su siti Web protetti con HTTPS con precisione 89.

Sebbene preoccupante, tale analisi costituirebbe un attacco altamente mirato contro una specifica vittima.

Conclusione HTTPS

Sebbene non sia perfetto (ma cos'è?), HTTPS è una buona misura di sicurezza per i siti Web. In caso contrario, nessuno dei miliardi di transazioni finanziarie e trasferimenti di dati personali che avvengono ogni giorno su Internet sarebbe possibile e Internet stesso (e forse l'economia mondiale!) Collasserebbe dall'oggi al domani.

Il fatto che l'implementazione di HTTPS stia diventando sempre più standard sui siti Web è ottimo sia per la privacy sia per la privacy (poiché rende il lavoro della NSA e dei suoi simili molto più difficile!).

La cosa principale da ricordare è verificare sempre l'icona di un lucchetto chiuso quando si fa qualcosa che richiede sicurezza o privacy su Internet. Se stai utilizzando una connessione Internet non sicura (come un hotspot WiFi pubblico), puoi comunque navigare in sicurezza sul Web purché visiti solo siti Web crittografati HTTPS.

Se per qualsiasi motivo sei preoccupato per un sito Web, puoi controllare il suo certificato SSL per vedere se appartiene al proprietario che ti aspetteresti da quel sito Web.

TL è che grazie a HTTPS puoi navigare in siti Web in modo sicuro e privato, il che è ottimo per la tua tranquillità!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me