HTTP e HTTPS: differenze fondamentali e perché contano

La differenza tra HTTP e HTTPS è un cambiamento impercettibile nella barra degli indirizzi del browser per l'utente medio di Internet, ma fondamentale per la sicurezza dei suoi dati. Di seguito, esamineremo cos'è l'HTTP, le differenze tra HTTP e HTTPS, come vengono utilizzati oggi e i loro usi futuri.

Che cos'è l'HTTP?

Ogni link URL che inizia con HTTP utilizza un protocollo di base chiamato “protocollo di trasferimento ipertestuale”. Questo standard di protocollo di rete è ciò che consente ai browser web e ai server di comunicare scambiando dati tramite una connessione TCP (Transmission Control Protocol).

L'HTTP è quello che viene definito un “sistema stateless”, il che significa che consente la connessione su richiesta e non richiede alcun tipo di connessione costante. Quando un utente clicca su un link, il suo sistema invia una richiesta di connessione a un server. Non appena il server risponde, i dati vengono mostrati all'utente sul suo browser web. La velocità di questa connessione è determinata dalla connessione tra il server e il sistema.

HTTP è anche un “protocollo di livello applicativo”, il che significa che si concentra sulla conservazione della chiarezza delle informazioni che viaggiano attraverso le sue connessioni. Ciò rende affidabile la connessione ai server, ma apre la porta a malintenzionati che possono intercettare i dati, consentendo loro di leggere e modificare i dati durante il trasferimento. Questo è chiamato “attacco man-in-the-middle” e richiede un modo sicuro per comunicare su Internet. È qui che entra in gioco il protocollo HTTPS.

HTTP vs HTTPS: perché è importante?

Il protocollo HTTPS è un'estensione dell'HTTP. In parole povere, l'HTTPS è l'HTTP con crittografia. Sta per “Hypertext Transfer Protocol Secure” e la differenza principale è che viene eseguito utilizzando certificati Transport Layer Security (TLS) e Secure Sockets Layer (SSL). È stato creato appositamente per contrastare le vulnerabilità agli attacchi Man-in-the-Middle a cui è esposto il protocollo HTTP. HTTPS offre diversi vantaggi a chi lo utilizza. Aggiunge un livello di sicurezza al trasferimento dei dati tra un sistema e un server, crittografandoli in modo completo. Inoltre, il processo SSL/TLS utilizza certificati SSL per aggiungere un livello di autenticazione, consentendo ai browser web moderni di identificare il server web che viene contattato.

I certificati SSL identificano i server ai browser web dei visitatori e sono emessi da autorità di certificazione (CA) affidabili come Sectigo. Per ricevere un certificato, è necessario dimostrare almeno di controllare il nome di dominio associato al server. Le CA emettono quindi certificati digitali che proteggono il server sulla base dell'infrastruttura a chiave pubblica (PKI), lo standard di riferimento per l'autenticazione e la crittografia.

Tutto ciò impedisce agli hacker di accedere ai dati sensibili trasferiti tra una pagina web e un browser.

Come funziona HTTPS

Senza HTTPS, tutti i dati inseriti nel sito (come nome utente/password, dati della carta di credito o bancari, dati inviati tramite moduli, ecc.) vengono inviati come testo in chiaro non crittografato e sono quindi suscettibili di intercettazione o spionaggio. Per questo motivo, è necessario verificare sempre che un sito utilizzi HTTPS prima di inserire qualsiasi informazione, soprattutto se si tratta di un sito di e-commerce o se si inseriscono dati finanziari di qualsiasi tipo.

A livello pratico, per l'utente medio non c'è molta differenza quando una connessione viene aggiornata da HTTP a HTTPS. L'unica differenza reale è che nell'intestazione del browser viene visualizzato un lucchetto, che indica che si tratta di una connessione HTTPS sicura.

HTTPS significa che un sito web è sicuro?

HTTPS significa che l'identità del server è stata autenticata e che esiste una connessione sicura con crittografia dei dati su tutte le informazioni trasferite. È un requisito indispensabile per qualsiasi sito web o organizzazione che abbia a cuore la sicurezza informatica, ma è solo una parte di un quadro più ampio che rende sicuro un sito web. HTTPS non funziona come un firewall che impedisce l'invio di codice dannoso da un dispositivo all'altro, ma fornisce una connessione crittografata tra una fonte autenticata e l'utente. Gli sviluppatori adottano molte altre misure per garantire la sicurezza dei propri utenti.

Qual è più veloce?

Sotto molti aspetti, l'HTTP sarà sempre più veloce dell'HTTPS. Uno dei compromessi dell'aggiunta di ulteriore sicurezza al processo è che richiede più tempo dall'inizio alla fine. L'HTTP non richiede certificati SSL, il che significa che viene eliminato il passaggio di convalida aggiuntivo che garantisce una connessione sicura. Le richieste non richiedono identità, autenticazione o crittografia, il che significa che, grazie al suo design di sistema stateless, i dati vengono inviati non appena viene ricevuta la richiesta.

Al contrario, le connessioni HTTPS richiedono un handshake SSL prima di trasmettere qualsiasi dato. Tuttavia, questa fase di handshake aggiunge pochissimo tempo ai processi di comunicazione. Sebbene il ritardo sia insignificante e probabilmente non riconoscibile dall'utente, può essere influenzato da diversi fattori, tra cui la cache del browser.

L'uso di HTTPS oggi

L'HTTPS è ormai onnipresente nella sicurezza informatica odierna. La maggior parte degli sviluppatori lo utilizza per tutti i siti web, indipendentemente dal livello di sicurezza richiesto. Ciò non è stato determinato solo dalle migliori pratiche, ma anche dall'obbligo imposto da molti dei più grandi browser e sistemi operativi al mondo. L'adozione dell'HTTPS è un modo semplice per proteggere i dati dei propri clienti senza trasferire alcun lavoro sui clienti stessi. Molti sviluppatori sono felici di implementarlo perché comprendono i rischi per la sicurezza associati alla versione meno sicura.

Google, SEO e HTTPS

Google è stato uno dei sostenitori più accesi del passaggio completo all'HTTPS. Ritiene che ogni utente debba poter contare su un certo livello di sicurezza ogni volta che visita un sito web.

Nel 2014, Google ha annunciato per la prima volta che HTTPS sarebbe stato un fattore di ranking per i risultati di ricerca organici, rendendolo una misura SEO (ottimizzazione per i motori di ricerca). Le organizzazioni che sono passate a HTTPS hanno registrato un aumento costante del posizionamento SEO e un numero maggiore di visualizzazioni complessive delle pagine dai motori di ricerca rispetto a quelle che non hanno effettuato il passaggio.

Nel luglio 2018, Google Chrome ha modificato la sua interfaccia utente con un ulteriore passo avanti per costringere gli sviluppatori a passare al nuovo protocollo. Ha iniziato a contrassegnare tutti i siti HTTP come non sicuri. Questo simbolo rosso brillante dà l'impressione che il sito non sia sicuro per la navigazione dell'utente. Inoltre, inserisce automaticamente https:// nella barra degli indirizzi per impostazione predefinita, costringendo i siti web a fornire la versione più sicura del loro sito, se possibile.

Presto verrà rilasciata quella che viene definita un'opzione “HTTPS-first” che obbligherà i siti web a visualizzare la versione HTTPS e a mostrare un avviso a tutta pagina ogni volta che HTTPS non è disponibile. Per ora viene pubblicizzata come un'impostazione per gli utenti più attenti alla sicurezza, ma alla fine l'organizzazione sta pensando di renderla l'opzione predefinita.

HTTPS in futuro

I siti web HTTPS sono ormai una realtà. Qualsiasi sito che contiene informazioni sensibili ha probabilmente effettuato il passaggio dal semplice HTTP anni fa e tutti gli altri hanno seguito l'evoluzione nel corso del tempo. Alla fine, le pressioni dei browser costringeranno tutti i siti a effettuare il passaggio e a opporre una forte resistenza anche alla visualizzazione dei siti non HTTPS. Tuttavia, non aspettatevi che l'HTTPS sia la risposta definitiva ai protocolli di trasferimento dati online. Oggi l'HTTPS è superiore all'HTTP, ma un giorno potrebbe essere migliorato o sostituito da un altro protocollo. La sicurezza informatica è in continua evoluzione e progredisce man mano che emergono nuove problematiche relative alla sicurezza dei dati o vengono scoperte nuove limitazioni.

Messaggi relativi:

Che cos'è un certificato SSL e come funziona?

Che cos'è il PKI? Guida completa all'infrastruttura a chiave pubblica