Il motore di ricerca più importante al mondo, Google, annunciava attraverso il suo blog di Google chrome che a partir dal gennaio 2017 tutti siti web che non avranno il protoccolo https verrano segnalati nella pagina del suo navigatore come “non sicuri”. E l’aveva annunciato nel suo blog di chrome riservato agli sviluppatori. Con la nuova versione di Google chrome 56 tutto prende forma.
Le pagine che riguarderanno per prima questa misura saranno quelle dove gli utenti mettono i loro dati personali, poi la misura verrà estesa a tutti i siti senza il protocollo https.
L’idea alla base del ragionamento di Google è che la gente non si rende veramente conto dell’assenza di sicurezza con il protocollo http.
Secondo gli studi di google la maggiore parte degli utenti non percepiscono l’icona di assenza di sicurezza in un sito come avvertimento per la salvaguardia della propria sicurezza. E in più, gli stessi utenti dopo un determinato tempo iniziano a fare astrazione di quelle icone di avvvertimento non prendendo più in considerazione quegli avvertimenti. E quindi Google cercherà di rendere il più chiaro possibile per gli utenti il fatto che i siti senza il protocollo https non siano sicuri e rappresentino un pericolo per la loro sicurezza.
Cos’è il protocollo https e a cosa serve?
Il protocollo https in inglese vuole dire hyper text transfer protocol secure mentre http vuole dire hyper text transfer protocol. La differenza è la “S” finale che viene aggiunta al protocollo http per renderlo più sicuro.
Come funziona il protocollo https?
Il protocollo https permette all’utente di un sito web di verificare l’identità del sito web al quale sta accedendo grazie ad un certificato di autentificazione emesso da un’autorità terza affidabile e riconosciuta a livello mondiale o internazionale (di solito queste aziende che garantiscono l’identità di un sito web grazie al certificato di autenticità che rilasciano fanno parte della lista bianca dei navigatori internet). Cosi facendo queste autorità o aziende garantiscono teoricamente la confidenazialità dei dati mandati da un utente e ricevute da un server (ad esempio informazioni inserite in un formulario di contatto).
Il protocollo https può permettere anche di convalidare l’identificazione del visitatore.
Https e sicurezza
La sicurezza delle informazioni trasmesse dal protocollo https è basata sull’utilizzazione di un algoritmo di codifica, e sulla riconoscibilità della validità del certificato del sito visitato.
Campo d’utilizzo del protocollo https
Il protocollo https veniva usato principalmente per fare delle transazioni delicate online come quelle di tipo finaziario o per la compilazione dei dati personali (posta elettronica, form di contatto ecc..). Poi pian piano si è esteso ad altri campi meno delicati per rendere la navigazione online più sicura possibile. Oggi l’uso del protocollo https si è esteso al punto tale che lo ritroviamo perfino in semplici blog.
Dall’inizio del 2010 il protocollo https è utlizzato dai social network.
Come migrare da http verso https?
La migrazione da http a https è diversa a seconda del tipo di server:
- come migrare da http verso https con Apache Webserver?
Per un amministratore del server web Apache, bisogna farlo andando nel file https.conf seguendo questi step:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Pour le webhosting, il doit faire le réglage à l’aide d’un fichier .htaccess à l’aide de la configuration suivante :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
- Come migrare da http a https con Nginx?
Per il server Nginx bisogna aggiunger la stringa seguente:
server {
listen 80;
server_name nazev-domeny.cz www.nazev-domeny.cz;
rewrite ^ https://$server_name$request_uri? permanent;
}
server {
listen 443;
server_name my.domain.com;
ssl on;
[….]
}
Definizione del giorno
Cos’è un HSTTS?
In inglese Strict Transport Security (HSTS) è un meccanismo di sicurezza che permette ad un server web di richiedere ad un agente utilizzatore (in questo caso un navigatore web) una connessione compatibile che per interagire con lui deve essere sicura (come ad esempio un https).
k.k