skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA SPAGNA: HTTPS, Crittografia Sul Web

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA SPAGNA: HTTPS, crittografia sul Web

This post is also available in: English Español Français

Nella maggior parte dei casi in cui viene utilizzato un browser Web o un’app su un telefono cellulare per navigare in Internet, le connessioni crittografate vengono utilizzate tramite un protocollo di comunicazione HTTPS (HyperText Transfer Protocol Secure o HTTP su TLS). 

Questa tecnica è stata inizialmente applicata per garantire le comunicazioni nei metodi di pagamento e nell’online banking. Oggi, la maggior parte dei siti Web utilizza HTTPS per impostazione predefinita ed è diventato uno strumento essenziale per la privacy, in quanto consente la crittografia delle comunicazioni da un capo all’altro, cioè tra le due parti che comunicano tra loro.

HTTP (Hypertext Transfer Protocol) è il protocollo utilizzato su Internet per le comunicazioni tra browser o app e server web. Creato negli anni ’90 e aggiornato nel 2000, la sua impostazione originaria non prevedeva misure che garantissero la riservatezza della comunicazione, così come tutti i protocolli creati all’epoca. Un modo per risolvere questa esigenza è attraverso la tecnologia VPN (Virtual Private Network), che consente di eseguire il tunneling e crittografare questi protocolli non sicuri tramite strumenti di terze parti.

Un aggiornamento HTTP, pubblicato nel 2015 e noto come HTTP2, disponeva della crittografia delle comunicazioni end-to-end, ma solo come opzione. La versione HTTP3, recentemente pubblicata, include, tra gli altri miglioramenti, la crittografia delle comunicazioni come misura obbligatoria. Per il momento, ha un utilizzo solo del 7% su Internet, ma è prevista una rapida adozione di questo protocollo, poiché contribuirà in modo positivo alla privacy su Internet.  

Contestualmente all’evoluzione dell’HTTP e al fine di risolvere le carenze originarie dell’HTTP, la società Netscape ha sviluppato il protocollo SSL (Secure Socket Layer), un’aggiunta al lavoro con HTTP che permette di eseguire la crittografia delle informazioni trasferite , garantendo così sia l’integrità che la riservatezza.

Adottato come standard de facto nella crittografia delle comunicazioni su Internet attraverso un’integrazione con HTTP, SSL è diventato noto come TLS (Transport Layer Security). TLS 1.0 è stato implementato nel 1999 e da allora ha subito diversi aggiornamenti in modo da superare i diversi problemi di sicurezza. Oggi è arrivata alla versione TLS1.3, che è lo standard utilizzato dalla nuova versione HTTP3.

Le applicazioni da HTTP a TLS, o ad HTTPS, forniscono riservatezza e integrità nelle comunicazioni, nonché autenticità nel senso che possiamo confermare che stiamo accedendo al server scritto nella barra degli indirizzi del browser. Tuttavia, non dobbiamo dimenticare che ci sono attacchi come il phishing . Tali attacchi includono un collegamento che reindirizza a un dominio fraudolento con un indirizzo ingannevole, anche con un certificato valido per quel dominio. Questi attacchi cercano di ottenere dati personali per scopi non legittimi falsificando il sito Web dell’organizzazione legittima.

Al fine di garantire la compatibilità con strumenti non aggiornati, i siti web normalmente abilitano collegamenti con protocolli che non aggiungono le opportune garanzie. Gli organismi di sicurezza informatica sconsigliano l’uso di versioni precedenti a TLS1.2 per considerarle insicure. Gli amministratori dei siti Web dovranno impostare i server in modo che accettino solo le ultime versioni di TLS . Inoltre, è anche consigliabile eseguire verifiche delle vulnerabilità TLS. A tal fine, gli utenti possono utilizzare strumenti, online o installabili a livello locale, come testssl.sh che consentono di verificare la sicurezza del nostro server per quanto riguarda l’uso di HTTPS.

Gli utenti possono assicurarsi di non utilizzare protocolli non sicuri nei nostri browser . Di seguito vengono fornite alcune istruzioni di impostazione per i browser più frequenti:

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA SPAGNA – AEPD

Back To Top