Http e Https: quanto conta scegliere il protocollo giusto?
Http e https sono due varianti del procollo che media il trasferimento fra le pagine del web. Le vediamo scritte tutti i giorni nei link che apriamo dal telefono, dal tablet o dal PC. Spesso non ci fa caso nessuno, ma chi è meglio informato sa che fra loro sono molto diversi soprattutto a livello di sicurezza. Vediamo come.
Http è la variante meno recente.
Nei browser che tutti utilizziamo (Firefox, Safari, Internet Explorer) è più frequente trovare questa versione. La sua messa a punto avvenne nel 1989 in concomitanza con la creazione del linguaggio HTML e degli URL. Assieme a loro venne a costituire le fondamenta del World Wide Web (www.).
Si tratta del primo sistema di trasferimento delle informazioni per consentire la navigazione su Internet. L’acronimo sta per HyperText Transfert Protocol. Tradotto letteralmente, protocollo per trasmettere documenti ipertestuali. Il modello di funzionamento segue l’architettura client-server.
Il client è il terminale che effettua una ricerca su Internet e manda la richiesta al server, che la fornisce reindirizzandolo. Quando questi due elementi si mettono in contatto si parla di sessione HTPP. Questa consiste in una serie di richieste di rete fra le due parti.
La richiesta del client riceve risposta dal server attraverso un codice di stato e le informazioni o la risorsa richiesti. Per segnalare un eventuale problema insorto invece il server invia un messaggio di errore.
Https, nato per prevenire gli hacker
Come si noterà, il concetto è un miglioramento dello stesso http. Infatti questo nuovo acronimo significa HyperText Trasnfert Protocol Secure. In sintesi, maggiore sicurezza. Per cosa? Per prevenire quello che in linguaggio hacker si chiama attacco man-in.-the -middle.
Il man-in-the-middle è un’interferenza nella comunicazione client-server, dove un terzo elemento si frappone. A questo punto l’intruso ha la possibilità di intercettare gli scambi informativi fra i due nodi.
Il protocollo https previene questa intercettazione grazie alla crittografia bidirezionale della comunicazione. Questa consente di proteggere l’utente dall’intercettazione e anche dal reindirizzamento a siti manomessi.
I supi utilizzi sono svariati: dalla protezione delle transazioni finanziarie ai servizi di posta elettronica. A garantirne l’autenticità sono le autorità di certificazione (CA) per mezzo di appositi documenti elettronici detti certificati digitali. Tra le più note ci sono Comodo e Symantec.
La differenza sta nella crittografia.
Http è nato come sistema di trasferimento libero nel web, ma proprio per questo espone i dati di ogni scambio tra client e server. L’https è stato sviluppato a partire dal primo grazie all’applicazione del protocollo SSL/TLS.
SSL sta per Secure Socket Layer, prevede che client e server si scambino delle chiavi di cifratura e utilizzino un algoritmo di autenticazione. Ormai considerato obsoleto, è stato soppiantato dal successivo TLS. Questo secondo sistema opera in un modo simile al primo e significa Trasnport Layer Security.
Ciò che differenzia insomma i due protocolli indispensabili per passare da un pagina web all’altro è la presenza o meno della crittografia. Tramite il suo utilizzo in un caso viene creato un canale di comunicazione più sicuro.
Esiste però anche un’altra differenza sostanziale fra http e https, ovverossia la porta standard utilizzata per comunicare con il server. Il protocollo senza crittografia utilizza la porta 80, l’altro la porta 443. Tuttavia da un po’ ormai entrambi sono attivi in ambedue le porte.
Una scelta obbligata?
Una domanda che dovrebbe sorgere spontanea a questo punto è se sia d’obbligo propendere in favore del protocllo https anziché http. In effetti l’utilizzo dell’applicazione SSL/TLS dovrebbe essere imprescindibile in diversi casi.
L’accortezza per la tutela dell’utente è necessaria in tutte le situazion in cui questi debba comunicare dati sensibili. Vale a dire l’home banking e in generale tutti i sistemi di pagamento online. Di conseguenza anche tutte le pagine di E commerce, dove si acquistano e vendono beni online.
Poi i siti legati ai pubblici servizi e specialmente quelli legati all’area medico-sanitaria. Le informazioni qui contenute hanno carattere legale.
Ovviamente non si possono escludere i posti dove si scambiano più informazioni personali, i social network come Facebook, Linkedln eccetera. Considerato che sia i dati realtivi alla vita privata sia quelli riguardanti il patrimonio sono esposti, non si può rischiare.