La sicurezza informatica passa anche attraverso l’uso di un sito sicuro: il protocollo https://

di Giovanni Modesti 4 CommentiIn Privacy

Google premierà dal 2017 i siti in “https” perchè piu’ sicuri e penalizzera’ quelli con estensione “http” perche siti non sicuri.

FiscoeTasse.com è passata al protocollo https:// da piu’ di un anno per la sicurezza anche dei nostri utenti.

Internet, che tutti noi usiamo, è una rete ad accesso pubblico che connette vari dispositivi (pc, smartphone, I.O.T., ecc.) in tutto il mondo. Dalla sua nascita rappresenta il principale mezzo di comunicazione di massa, che offre all’utente una vasta serie di contenuti potenzialmente informativi e di servizi.

Il trasferimento di informazioni inizialmente avveniva attraverso un protocollo, HyperText Transfer Protocol (HTTP) (protocollo di trasferimento di un ipertesto).

http, però, non è criptato ed è vulnerabile ad attacchi che possono consentire agli attaccanti di ottenere l’accesso agli account di siti web con informazioni sensibili e modificare le pagine web per iniettare al loro interno dei malware o della pubblicità malevola.

A metà degli anni ottanta dello scorso secolo iniziarono a diffondersi su Internet siti con l’estensione “https”.

La aggiunta della “s” sta a significare che il sito adotta misure di sicurezza tali da rendere il sito difficilmente attaccabile dall’esterno.

Il protocollo https garantisce i seguenti ambiti di sicurezza:

·        cifratura del traffico;

·        verifica di integrità del traffico;

·        autenticazione del server;

·        autenticazione dell’utente.

Pertanto, l’HyperText Transfer Protocol over Secure Socket Layer (HTTPS), è un protocollo per la comunicazione sicura attraverso una rete di computer, il quale è largamente utilizzato su Internet.

Il principio che sta alla base di HTTPS è quello di avere:

1.    un’autenticazione del sito web visitato

2.    protezione della privacy

3.    integrità dei dati scambiati tra le parti comunicanti.

Viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti.

Nel suo popolare funzionamento su internet, HTTPS fornisce l’autenticazione del sito web e del server web associato con cui una delle parti sta comunicando, proteggendo la comunicazione dagli attacchi noti.

Inoltre, HTTPS fornisce una cifratura bidirezionale delle comunicazioni tra un client e un server, che protegge la stessa contro le possibili azioni mediante le quali viene ascoltata segretamente la conversazione privata tra le parti senza il loro consenso) e quelle che consentono la manomissione o l’alterazione della comunicazione) falsificandone i contenuti.

In pratica, tale meccanismo fornisce una garanzia soddisfacente del fatto che si sta comunicando esattamente con il sito web voluto (al contrario di un sito falso), oltre a garantire che i contenuti delle comunicazioni tra l’utente e il sito web non possano essere intercettate o alterate da terzi.

Il simbolo che appare in alto quando si accede ad un sito https è il  lucchetto.

Questa premessa per comunicare che Google ha inteso scoraggiare la presenza di siti con estensione “http” (quindi siti non sicuri) e a tale scopo ha stabilito che tali siti saranno messi agli ultimi posti nella indicizzazione delle ricerche e ad inizio del 2017 saranno messi al bando in quanto (appunto) non sicuri. Tale decisione è stata recentemente comunicata all’indirizzo https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html?m=1

Ciò accadrà, in particolare per i siti che offrono la possibilità di effettuare transazioni e/o rilasciano credenziali di autenticazione (password) per accedere ad aree riservate del sito stesso.

Tale decisione assunta dal maggiore player mondiale in materia di browser avrà certamente delle forti ricadute nelle comunicazioni e nello scambio di dati, contenuti multimediali ecc. che avviene su Internet.

Nel nostro Paese, sia la pubblica amministrazione sia le imprese dovranno adeguarsi a tale decisione e dovranno farlo in tempi brevi.

Indubbiamente la mossa di Google va nella direzione di rendere Internet più sicura e di garantire la privacy degli utenti.

Una considerazione, però, dobbiamo farla: in un modo sempre più globalizzato le regole sono sempre meno appannaggio delle istituzioni e degli Stati in quanto vengono, direttamente, stabilite dalle multinazionali che, almeno, nel settore delle telecomunicazioni la fanno da padrone.

Se ciò è vero, atteso che i singoli Stati non hanno sufficiente forza per potere interloquire con i giganti dell’ICT, si rende sempre più urgente dare forza ed autorevolezza alle istituzioni internazionali preposte a regolamentare tali settori, affinchè possano dialogare, almeno, alla pari con le Aziende che operano nelle telecomunicazioni.

Autore dell'articolo
identicon

Giovanni Modesti

Docente universitario incaricato all’Università di Chieti, è consulente per la privacy e le nuove tecnologie. Autore di oltre 100 pubblicazioni in materia di Privacy, Diritto del lavoro, Responsabilità professionale e management.

Comments 4

  1. E’ sicuramente triste che certe decisioni siano lasciate nelle mani di una multinazionale. Come si può essere sicuri che non le prendano per tornaconto personale, dico io…

    1. Per darLe una idea della forza di queste multinazionali mi limito a riportare una notizia di cronaca che aveva per protagonista il Presidente Obama il quale si era recato a trovare Zuckerberg (Proprietario di F. B.) per avere consigli sull’evoluzione del mercato delle comunicazioni e non il contrario!
      Da ciò se ne deduce che il potere di queste corporation supera quello delle nazioni.
      Sa per quale motivo accade ciò? Perché queste aziende trattano i dati personali di miliardi di persone.
      Nel terzo millennio i dati avranno un valore maggiore delle fonti energetiche!

  2. Buongiorno Professore e grazie per l’interessante articolo. Per chi ha un sito http e dovrà rivolgersi al proprio informatico per la migrazione al nuovo protocollo, quali potrebbero essere i costi orientativi?

    1. i prezzi per migrare all’https sono davvero minimi, addirittura ci sono autorità di certificazione che svolgono il servizio gratuitamente. le giro a tal eproposito la presentazione che appare sul sito della
      Encrypt, si tratta di una nuova autorità di certificazione che offrirà in modo gratuito certificati SSL validati dall’apposita Certification Authority a chiunque ne farà richiesta e consentirà l’applicazione dello stesso al proprio sito con una procedura semplificata.

      In questo modo i fattori prezzo e difficoltà operativa che fino a ora hanno reso impopolare l’uso del protocollo HTTPS verranno superati in una sola volta, anche con l’ausilio di apposite tecnologie sviluppate all’uopo, come il protocollo ACME, usato per supportare in modo più rigoroso le procedure di validazione dei domini fra i Web server e la CA.
      rif. https://letsencrypt.org/2014/11/18/announcing-lets-encrypt.html

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *