HTTP (Hypertext Transfer Protocol) e HTTPS (Hypertext Transfer Protocol Secure) sono entrambi protocolli utilizzati per la comunicazione tra un client (solitamente un browser web) e un server web.
Avrete sicuramente osservato, durante la navigazione nel web, un messaggio di attenzione evidenziato dal vostro browser del tipo: “sito non sicuro”. Che cosa significa?
“Sito non sicuro” è un messaggio spesso utilizzato per descrivere un sito web che utilizza il protocollo HTTP anziché HTTPS per la trasmissione dei dati tra il client (come un browser web) e il server. Ciò significa che le informazioni scambiate tra l’utente e il sito non sono crittografate e potrebbero essere vulnerabili all’intercettazione da parte di terze parti malintenzionate.
Quando si visita un sito web tramite HTTP anziché HTTPS, i dati vengono trasmessi in formato di testo “in chiaro” (interpretabile). Ciò rende possibile per un malintenzionato intercettare e leggere facilmente le informazioni trasmesse, inclusi dettagli sensibili come password, dati personali e informazioni legate allo stato di salute o finanziarie. Questo può portare a violazioni della normativa nazionale ed europea sulla protezione dei dati personali e al furto di dati.
Cerchiamo di capire le differenze fondamentali e agire responsabilmente al fine di tutelare le attività on line e le informazioni che trasferiamo attraverso la navigazione nella rete.
Ci sono importanti differenze tra i due protocolli, con HTTPS che offre vantaggi significativi in termini di sicurezza e rispetto della privacy.
- Sicurezza dei dati
La principale differenza tra i due protocolli è la sicurezza. HTTP trasmette i dati in formato di testo semplice, il che significa che qualsiasi informazione trasmessa tra il client e il server è potenzialmente visibile a qualsiasi attore malintenzionato in grado di intercettare la comunicazione (sniffing-atto di intercettare e catturare il traffico di rete in modo da poterne analizzare il contenuto).
HTTPS, d’altra parte, crittografa i dati in transito utilizzando protocolli di crittografia come SSL (Secure Sockets Layer) o il suo successore TLS (Transport Layer Security), rendendo molto più difficile intercettare ed interpretare le informazioni. - Autenticità del sito web
Con HTTPS, i siti web possono utilizzare certificati SSL/TLS per autenticare la loro identità. Questo significa che quando accedi a un sito HTTPS, il tuo browser verifica che il certificato presentato dal server sia valido e associato al dominio corretto. Questo aiuta a prevenire attacchi di tipo “phishing” (forma di attacco informatico e truffa online in cui gli aggressori cercano di ottenere informazioni sensibili ingannando gli utenti facendosi passare per entità legittime e affidabili), in cui un sito malevolo cerca di farsi passare per un sito legittimo. - Integrità dei dati
HTTPS garantisce l’integrità dei dati. Poiché i dati sono crittografati, qualsiasi tentativo di manipolare o alterare i dati durante la trasmissione verrà rilevato. Se anche un singolo bit dei dati crittografati viene modificato, la decrittografia fallirà, segnalando un potenziale problema. - Posizionamento favorevole sui motori di ricerca (ranking)
Molti motori di ricerca, come Google, tendono a favorire i siti HTTPS nei loro risultati di ricerca. Questo significa che avere HTTPS può influenzare positivamente il posizionamento del tuo sito nei risultati di ricerca. - Confidenzialità delle informazioni
Con HTTPS, le informazioni scambiate tra il client e il server sono protette e non possono essere lette da terze parti. Ciò è particolarmente importante quando si inseriscono dati sensibili, come numeri di carta di credito o informazioni personali. - Conformità normativa sulla protezione dei dati personali
l’Unione Europea ha sottolineato l’importanza della sicurezza dei dati e della privacy online attraverso regolamenti come il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS Directive). - Cookies sicuri: I cookie trasmessi da un sito HTTPS sono detti “cookie sicuri”, il che significa che possono essere utilizzati solo in una connessione crittografata. Questo riduce il rischio di furto di cookie da parte di attori malevoli.
Ancora oggi, purtroppo, non è difficile incontrare siti che non utilizzano il protocollo HTTPS. Le motivazioni possono essere diverse e tra queste:
- Costi e risorse
L’implementazione e il mantenimento di un certificato SSL/TLS richiedono risorse finanziarie e tecniche. Alcuni proprietari di siti web potrebbero esitare a investire in queste risorse, specialmente se il sito è di piccole dimensioni o ha un budget limitato. - Semplicità
L’HTTP è più semplice da configurare rispetto all’HTTPS. La gestione dei certificati SSL/TLS, delle chiavi e delle configurazioni di sicurezza può essere complessa per chi non è esperto di tecnologie web. - Compatibilità con vecchi sistemi
Alcuni browser e sistemi operativi più vecchi potrebbero avere problemi di compatibilità con HTTPS, rendendo difficile l’accesso al sito per gli utenti che utilizzano tali dispositivi. - Contenuti non sensibili
Alcuni siti web potrebbero non trattare dati sensibili o personali, quindi i proprietari potrebbero percepire una minore necessità di utilizzare HTTPS. - Velocità
Sebbene la differenza di velocità tra HTTP e HTTPS sia diventata meno evidente negli ultimi anni, alcuni potrebbero ancora preoccuparsi che l’uso di HTTPS possa rallentare il caricamento delle pagine. - Migrazione complessa
I siti web più grandi e complessi potrebbero avere migrazioni verso HTTPS più difficili, in quanto richiedono una pianificazione attenta per evitare errori o problemi di compatibilità. - Assenza di consapevolezza
Alcuni proprietari di siti web potrebbero non essere a conoscenza dei vantaggi della migrazione verso HTTPS in termini di sicurezza e classificazione sui motori di ricerca.
Come comportarsi quando si incontra un sito http?
- Attenzione ai dati sensibili
Evita di inserire o inviare dati sensibili come password, informazioni personali o dettagli di pagamento e codici delle carte di credito. Questi dati possono essere trasmessi in forma non crittografata e quindi essere più facilmente intercettati da potenziali attaccanti. - Limita l’utilizzo di informazioni personali
Evita di condividere informazioni personali o sensibili su siti HTTP. Ad esempio, cerca di non compilare moduli di acquisizione dati o fornire dettagli personali. - Navigazione prudente: Limita la navigazione su siti HTTP, specialmente se si tratta di siti sconosciuti o non affidabili. Sii consapevole che questi siti possono essere più suscettibili ad attacchi come il phishing o il malware.
In ultimo, nel malaugurato caso in cui foste vittima di una frode informatica o perdita di sicurezza dei vostri dati, potete contattare la Polizia Postale, denunciando i reati telematici.