L’https spiegato bene: cos’è, come funziona, vantaggi, come ottenerlo

https

Cos’è l’https? Quali sono le caratteristiche e vantaggi di una connessione https? Perché è meglio che il tuo sito – o il sito in cui stai navigando – sia https? In questa guida parleremo del protocollo di sicurezza per avere un sito web al riparo da rischi e brutte sorprese.

Partendo dalle origini, c’era una volta… l’http (hai presente il codice che si mette sempre prima del ://www di un sito web?), ma negli anni 2010 ha avuto una larga diffusione il protocollo https, prima riservato solo ai siti dove si effettuavano transazioni online. I motivi, più che giustificati: proteggere l’autenticità dei siti web, mantenere privati dati, comunicazioni, sicurezza degli account.

Partiamo allora per un viaggio alla scoperta di tutto ciò che ti serve sapere sull’https, come funziona, vantaggi, e perché oggi non ne puoi fare a meno.

Cosa significa https?

Quando navighi in un sito web, il browser comunica con un server e il server invia le informazioni, cioè ti fa visualizzare i contenuti della pagina del sito che hai chiesto.

L’HTTPS è di fatto il protocollo – ovvero, la lingua – con cui il browser (o più genericamente il client web) parla con il server web che ospita il sito. Letteralmente, https, è acronimo di “Hypertext Transfer Protocol Secure”, che in italiano possiamo tradurre in “Protocollo di trasferimento per ipertesto sicuro”.

Ebbene, è proprio questo protocollo di trasferimento con in più la parola “sicuro” a fare la differenza tra http e https, essendo il secondo una versione crittografata del primo.

Differenza tra HTTPS e HTTP

Differenza tra HTTPS e HTTP

Http è nato con il web, ed è quella sigla che vedi all’inizio dell’URL. Con il tempo si è sentita l’esigenza di una maggiore sicurezza, proprio perché questo linguaggio poteva essere letto e utilizzato anche per scopi truffaldini. Una soluzione condivisa è stata quella di sviluppare la crittografia dei dati, che garantirebbe appunto la protezione della loro trasmissione. E di una connessione web.

Quindi, la differenza maggiore dei due protocolli tra proprio qui: HTTPS fornisce una connessione crittografata per proteggere i siti e i dati degli utenti che stanno navigando. 

Di fatto, quindi, http e https sono equivalenti, ma https comunica al browser: “Ehi, tienimi tutti i dati criptati!”, facendo in modo che questi siano pressoché irriconoscibili a soggetti terzi e riducendo di fatto la possibilità che le informazioni cadano in mani sbagliate.

Quando vediamo “http” e “https”, quindi, vediamo innanzitutto comunicazioni protette e non protette. Nella tabella qui sotto puoi vedere le principali differenze lato utente tra i due protocolli.

url: HTTPurl: HTTPS
Dati non criptatiDati criptati
Contrassegnato come “non sicuro”Contrassegnato come “sicuro”
Privo di certificatiCon certificato SSL/TLS
Porta 80Porta 443

Perché l’Encryption di HTTPS è Importante?

Abbiamo appena appreso che la differenza principale tra http e https consiste proprio nella crittografia utilizzata da quest’ultimo protocollo, per rendere i siti più sicuri.

Ma cosa significa,esattamente “sicurI”? E cosa include la protezione dei dati? Innanzitutto tutto ciò che è un dato sensibile e soggetto a manovre illecite o tentativi di phishing, quindi nome, cognome, email, numero di telefono, password, numero di carte di credito o portafogli digitali.

Come abbiamo visto, non c’è differenza, almeno dal punto di vista tecnico, tra http e https: il protocollo, ovvera la lingua con cui comunicano al browser è la stessa, ma la vera differenza sta nel fatto che httos usa un protocollo di comunicazione speciale per rendere i dati incomprensibili a un eventuale terzo interlocutore: TLS (Transport Layer Security) precedentemente SSL (Secure Sockets Layer).

Come funziona l’HTTPS?

Come funziona l’HTTPS?

Come fa l’https a garantire la protezione dei dati? A differenza di http, https utilizza un’estensione – un certificato di protezione – di un fornitore terzo per far sì che una connessione sia sicura e per avallare la legittimità di un sito web. 

Questo certificato di sicurezza, noto come certificato TLS (precedentemente detto SSL), è in grado di creare una connessione sicura tra il server e il sito web, e tra i diversi computer.  

Tutte le comunicazioni trasmesse con questo protocollo di comunicazione saranno quindi crittografate, e quindi solo il destinatario – che sia il browser o il server web – sarà in grado di decodificare, ossia di leggere il contenuto trasmesso.

La sicurezza dell’https, garantita dal certificato TLS è fondamentale per la sicurezza del tuo sito – o del sito che stai visitando – in tantissimi casi:

  • per la trasmissione dei dati personali o sensibili (es. iscrizione a una newsletter),
  • per il lavoro a distanza e la trasmissione di dati aziendali riservati;
  • per le transazioni finanziarie contenenti numeri di carta di credito o di wallet digitali

Vantaggi dell’HTTPS

Vantaggi dell'HTTPS

Diciamo subito che a oggi non è consigliato mettere online un sito senza l’https. A partire da ottobre 2017, Google Chrome, ha iniziato a mostrare per l’http l’avviso di sito “non sicuro”, quindi la scelta dell’https è stata adottata pressoché da tutti.

Se navighiamo in un sito non sicuro siamo quindi avvisati da un alert del browser che ci ricorda che la connessione non è sicura, e quindi, se decidiamo di proseguire, è tutto a nostro rischio e pericolo.

Un sito https genererà invece fiducia negli utenti, soprattutto in caso di e-commerce o in siti dove esiste una trasmissione di dati sensibili, vedere il lucchetto e il contrassegno “sicuro” li farà sentire più confidenti e darà loro la certezza che i loro dati non finiranno in mani pericolose. 

È ovvio allora che https sia diventato da alcuni anni il protocollo standard, sostituendo quasi del tutto l’http. Secondo i dati di Google nei principali paesi del mondo l’https è adottato da più del 95% dei siti web.

Sicurezza, che significa fiducia e minor rischio di subire attacchi o altri tentativi fraudolenti, quindi l’approvazione dei browser e dei motori di ricerca. Vediamo ora gli altri principali vantaggi dell’https.

Integrità dei dati

Come abbiamo visto, con l’HTTPS i dati personali sensibili, carte di credito, password, documenti riservati, conversazioni e in generale contenuti e immagini con l’https hanno un livello di sicurezza e di integrità molto maggiore che con http. 

Tieni poi conto che ogni pagina web inviata da un server web https a un browser contiene in sé una sorta di firma digitale che garantisce che quel contenuto non è stato alterato da terzi o non ha subito danni durante la trasmissione, e appare quindi integro. 

Il browser (Google Chrome, Safari, Microsoft Edge, Firefox…) può autonomamente calcolare questo codice per garantire l’integrità del documento. Complessivamente, quindi, l’uso di crittografia, autenticazione e integrità rende HTTPS più sicuro di HTTP per navigare e per comprare o effettuare transazioni online.

Autenticazione

Grazie alla crittografia e all’autenticazione, l’https è in grado di proteggere l ‘integrità della comunicazione tra un sito web e i browser dell’utente. Questo significa che i dati non possono essere alterati né durante la trasmissione dal server al browser, né in qualche modo manipolati perché contengono un certificato che ne garantisce l’autenticità.

Non possono neanche essere intercettati da terzi perché contengono un linguaggio protetto che solo le due parti comprendono e trasmettono integro.

Il certificato TLS di https sarà in grado di crittografare e decrittografare i dati in modo che le informazioni siano sicure, non alterate e protette.

Confidenzialità

La confidenzialità è fondamentale, non solo quando si effettuano acquisti o si trasmettono documenti che non devono essere visti dalla concorrenza o da soggetti terzi pericolosi, ma anche in ogni caso della vita, potremmo dire.

A nessuno piacerebbe sapere che qualcun altro (i datori di lavoro, il governo, giusto per fare due esempi) sta controllando per esempio, i siti che naviga, i contenuti che visualizza e le foto che scarica dal web.

Anche per garantire la confidenzialità, quindi, l’https è fondamentale, aspetto questo che non sarebbe garantito con il semplice http.

SEO

Dal momento che Google utilizza l’https come “file segnale” per generare la classifica dei siti che comparirà nella pagina risultato di ricerca, anche dal punto di vista dell’ottimizzazione di un sito in ottica SEO (Search Engine Optimization) sia fondamentale che questo sito sia https. L’https è dunque un fattore di ranking fondamentale per poter comparire su Google nei risultati di ricerca e gli stessi motori di ricerca invitano i siti web ad adottare l’https come fondamentale garanzia della sicurezza di un sito.

Non solo: utilizzare ancora un obsoleto http può non far navigare nel sito le persone che ricevono l’avviso di connessione non sicura dal browser, a svantaggio delle metriche analytics di visite e di rimbalzo degli utenti sul sito, anche se questo dovesse essere stato indicizzato su Google.

I siti http sono poi generalmente più lenti, e la velocità di caricamento delle pagine è un fattore base di indicizzazione, nonché un aspetto fondamentale di traffico sul sito, dal momento che gli utenti non hanno certo la pazienza di aspettare lunghi tempi di caricamento di una pagina

Anche la versione mobile di un sito richiede l’https, specialmente per i dispositivi che utilizzano le AMP – Accelerated Mobile Pages – ovvero pagine web che su mobile che si caricano in una versione accelerata.

Come posso sapere se un sito web utilizza l’HTTPS?

Capire se un sito web utilizza http o https è molto semplice: basta vedere all’inizio dell’URL di una pagina: i siti https iniziano appunto con https://www…, mentre gli altri con http://.

Non solo: come abbiamo detto, i browser già da alcuni anni etichettano i siti non in HTTPS come “non sicuri”, comunicandolo all’utente direttamente nell’interfaccia del browser.

Una curiosità, alla URL https il browser aggiunge in automatico il numero di porta 443, indicando così al computer che ha inviato la richiesta, che deve comunicare attraverso TSL o SSL. 

Come abilitare l’HTTPS sul mio sito web?

Ora vediamo, passo dopo passo, come abilitare l’HTTPS sul tuo sito web. 

In caso tu dovessi passare da un http a un https, il procedimento è piuttosto semplice ma deve essere fatto con attenzione e la giusta pianificazione. Calcola inoltre che ci potrebbero essere ore o giorni di inattività per cui evita magari di effettuare il passaggio nei periodi di traffico più intenso sul sito. In ogni caso, ecco i procedimenti che dovrai seguire

Passo 1 – Compra un certificato TSL/SSL

Per utilizzare l’https, dovrai innanzitutto installare un certificato SSL o TLS nel tuo sito web. Per ottenere questa estensione di sicurezza potrai rivolgerti al tuo fornitore di hosting web, o, alternativamente, potresti richiederla a un’autorità di certificazione e installarlo tu stesso. Ti suggeriamo, se possibile, di seguire la prima strada perché è più semplice.

Passo 2 – Scegli il tuo certificato

Quale certificato scegliere? Molti siti web di piccole imprese scelgono certificati SSL convalidati dal dominio perché sono semplici da ottenere e installare, mentre i SSL di convalida ampliata hanno requisiti rigorosi per i siti web.

Passo 3 – Segui le istruzioni dell’host 

In base all’host del tuo sito web, potrai seguire step by step l’installazione del certificato SSL/TSL guidata. Il tuo certificato è ora attivo e hai abilitato l’https sul tuo sito.

Passo 4 – Rinnova periodicamente il tuo certificato SSL/TLS 

Ricorda che I certificati SSL/TLS potrebbero richiedere periodicamente di essere rinnovati.

Conclusione

In questa guida abbiamo approfondito gli aspetti principali dell’https, il linguaggio che un server web utilizza per comunicare con i browser in forma crittografata. La crittografia mette al riparo dati e informazioni da eventuali tentativi di manipolazione da parte di terzi, garantendo nello stesso tempo l’inalterabilità dei contenuti. 

Abbiamo capito come l’https sia fondamentale non solo per la sicurezza, ma anche per l’immagine di un sito. Abbiamo infine esaminato come abilitare l’https su un sito web.

A fronte di una piccola spesa per i certificati, i vantaggi dell’https sono d’altronde evidenti , tanto da essere, al giorno d’oggi, imprescindibili per un sito web.

Domande frequenti su HTTPS

Come funziona l'encryption di HTTPS?

L’ encryption di HTTPS – in italiano crittografia – garantisce che un contenuto di una pagina web, trasmesso da un server web al browser e quindi al computer dell’utente, sia incomprensibile a parti terze, e che solo le parti autorizzate siano in grado di decodificare. Questo garantisce la sicurezza dei dati e la loro non manomissione o alterazione.

Cos'è SSL/TLS?

SSL/TSL è l’estensione di https standard che protegge una connessione web con la crittografia dei dati scambiati tra un sito web e un browser, o tra due server. L’SSL/TLS evita che dati personali o informazioni bancarie finiscano in mani non sicure o vengano visualizzate e sottratte per scopi illeciti.

L'HTTPS influisce sulle prestazioni del sito web?

Sì, i siti con https si caricano più velocemente dei siti web http, e aumentano quindi le prestazioni di un sito, consumando inoltre meno risorse. Inoltre, anche su mobile sarà richiesto l’https per la visualizzazione “accelerata” (AMP) delle pagine mobile. Inoltre, più una pagina è lenta a caricarsi, più aumenta la percentuale di abbandono della stessa, con il conseguente crollo di visite e di lead di un sito.

Devo acquistare un certificato SSL/TLS?

Si, acquistare un certificato SSL/TLS, è necessario per ottenere l’https sul tuo sito. In base alla complessità del tuo sito e alla presenza o meno di dati sensibili o finanziari dei tuoi utenti, potrai scegliere tra certificati di base, o certificati più complessi e specifici per le tue esigenze.

Share