Che cos'è HTTPS?

HTTPS (protocollo di trasferimento ipertestuale sicuro) è una versione sicura del protocollo HTTP che utilizza SSL /TLS protocollo per crittografia e autenticazione. HTTPS è specificato da RFC 2818 (Maggio 2000) e utilizza la porta 443 per impostazione predefinita invece della porta 80 di HTTP.

Il protocollo HTTPS consente agli utenti del sito web di trasmettere dati sensibili come numeri di carte di credito, informazioni bancarie e credenziali di accesso in modo sicuro su Internet. Per questo motivo, HTTPS è particolarmente importante per proteggere attività online come acquisti, operazioni bancarie e lavoro a distanza. Tuttavia, HTTPS sta rapidamente diventando il protocollo standard per contro tutti i siti web, indipendentemente dal fatto che scambino o meno dati sensibili con gli utenti.

In che modo HTTPS è diverso da HTTP?

HTTPS aggiunge crittografia, autenticazionee interezza al protocollo HTTP:

crittografia: Poiché HTTP è stato originariamente progettato come protocollo di testo chiaro, è vulnerabile alle intercettazioni e l'uomo nel mezzo attacca. Includendo SSL /TLS crittografia, HTTPS impedisce che i dati inviati su Internet vengano intercettati e letti da terzi. Attraverso crittografia a chiave pubblica e la SSL /TLS stretta di mano, è possibile impostare in modo sicuro una sessione di comunicazione crittografata tra due parti che non si sono mai incontrate di persona (ad esempio un server web e un browser) tramite la creazione di una chiave segreta condivisa.

Autenticazione: A differenza di HTTP, HTTPS include un'autenticazione affidabile tramite SSL /TLS protocollo. SSL di un sito web /TLS a livello internazionale include un modulo Chiave pubblica che un browser web può utilizzare per confermare che i documenti inviati dal server (come le pagine HTML) sono stati firmati digitalmente da qualcuno in possesso del corrispondente chiave privata. Se il certificato del server è stato firmato da un utente pubblicamente attendibile autorità di certificazione (CA), come SSL.com, il browser accetterà che qualsiasi informazione di identificazione inclusa nel certificato sia stata convalidata da una terza parte fidata.

I siti Web HTTPS possono anche essere configurati per autenticazione reciproca, in cui un browser Web presenta un certificato client che identifica l'utente. L'autenticazione reciproca è utile per situazioni come il lavoro remoto, dove è desiderabile includere l'autenticazione a più fattori, riducendo il rischio di phishing o altri attacchi che comportano il furto di credenziali. Per ulteriori informazioni sulla configurazione dei certificati client nei browser Web, leggere questo come fare.

Integrità: Ogni documento (come una pagina Web, un'immagine o un file JavaScript) inviato a un browser da un server Web HTTPS include una firma digitale che un browser Web può utilizzare per determinare che il documento non è stato alterato da una terza parte o altrimenti danneggiato durante il trasporto. Il server calcola un file hash crittografico del contenuto del documento, incluso con il suo certificato digitale, che il browser può calcolare autonomamente per dimostrare l'integrità del documento.

Nel loro insieme, queste garanzie di crittografia, autenticazione e integrità rendono HTTPS un molti protocollo più sicuro per la navigazione e la conduzione degli affari sul Web rispetto a HTTP.

Quali informazioni fornisce HTTPS agli utenti sui proprietari di siti web?

Le CA usano tre di base metodi di convalida quando si emettono certificati digitali. Il metodo di convalida utilizzato determina le informazioni che verranno incluse nell'SSL /TLS certificato:

· XNUMX€ La convalida del dominio (DV) conferma semplicemente che il nome a dominio coperto dal certificato è sotto il controllo dell'ente che ha richiesto il certificato.
· XNUMX€ Organizzazione / Validazione individuale (OV / IV) i certificati includono il nome convalidato di un'azienda o altra organizzazione (OV) o di una singola persona (IV).
· XNUMX€ Extended Validation (EV) i certificati rappresentano lo standard più elevato di fiducia in Internet e richiedono il massimo impegno da parte della CA per la convalida. I certificati EV vengono emessi solo per aziende e altre organizzazioni registrate, non per individui, e includono il nome convalidato di tale organizzazione.

Per ulteriori informazioni sulla visualizzazione del contenuto del certificato digitale di un sito Web, leggere il nostro articolo, Come posso verificare se un sito Web è gestito da un'azienda legittima?

Perché utilizzare HTTPS?

Esistono diversi buoni motivi per utilizzare HTTPS sul tuo sito Web e per insistere su HTTPS durante la navigazione, gli acquisti e il lavoro sul Web come utente:

Integrità e autenticazione: Attraverso la crittografia e l'autenticazione, HTTPS protegge l'integrità della comunicazione tra un sito Web e i browser di un utente. I tuoi utenti sapranno che i dati inviati dal tuo server web non sono stati intercettati e / o alterati da terzi in transito. E, se hai fatto l'investimento extra in certificati EV o OV, saranno anche in grado di dire che le informazioni proveniva davvero dalla tua azienda o organizzazione.

Privacy: Ovviamente nessuno vuole che gli intrusi raccolgano i numeri di carta di credito e le password mentre fanno acquisti o effettuano operazioni bancarie online, e HTTPS è ottimo per impedirlo. Ma lo faresti veramente vuoi che tutto il resto che vedi e fai sul Web sia un libro aperto per chiunque abbia voglia di ficcare il naso (inclusi governi, datori di lavoro o qualcuno che crea un profilo per de-Anonimizza le tue attività online)? Anche qui HTTPS gioca un ruolo importante.

L'esperienza utente: Le recenti modifiche all'interfaccia utente del browser hanno portato i siti HTTP a essere contrassegnati come insicuro. Vuoi che i browser dei tuoi clienti dicano loro che il tuo sito web è "Non sicuro" o mostri loro un lucchetto barrato quando lo visitano? Ovviamente no!

Compatibilità: Le attuali modifiche al browser stanno spingendo HTTP sempre più vicino all'incompatibilità. Mozilla Firefox ha recentemente annunciato un optional Modalità solo HTTPS, mentre Google Chrome si sta costantemente spostando verso bloccare i contenuti misti (Risorse HTTP collegate a pagine HTTPS). Se visualizzati insieme agli avvisi del browser di "insicurezza" per i siti Web HTTP, è facile vedere che la scritta è sul muro per HTTP. Nel 2020, tutti i principali browser e dispositivi mobili attuali supportano HTTPS, quindi non perderai utenti passando da HTTP.

SEO: I motori di ricerca (incluso Google) utilizzano HTTPS come file segnale di classifica durante la generazione dei risultati di ricerca. Pertanto, i proprietari di siti web possono ottenere un facile miglioramento SEO semplicemente configurando i loro server web per utilizzare HTTPS anziché HTTP.

In breve, non ci sono più buone ragioni per cui i siti web pubblici continuino a supportare HTTP. Persino il Governo degli Stati Uniti è a bordo!

Come funziona HTTPS?

HTTPS aggiunge crittografia al protocollo HTTP avvolgendo HTTP all'interno del file SSL /TLS protocollo (motivo per cui SSL è chiamato protocollo di tunneling), in modo che tutti i messaggi siano crittografati in entrambe le direzioni tra due computer in rete (ad esempio un client e un server web). Sebbene un intercettatore possa ancora potenzialmente accedere a indirizzi IP, numeri di porta, nomi di dominio, la quantità di informazioni scambiate e la durata di una sessione, tutti i dati effettivi scambiati sono crittografati in modo sicuro da SSL /TLS, Compreso:

· XNUMX€ URL richiesta (quale pagina web è stata richiesta dal cliente)
· XNUMX€ Siti web
· XNUMX€ Parametri di query
· XNUMX€ Headers
· XNUMX€ Cookies

HTTPS utilizza anche SSL /TLS protocollo per autenticazione. SSL /TLS utilizza documenti digitali noti come Certificati X.509 per legare crittografico coppie di chiavi alle identità di entità come siti Web, individui e aziende. Ogni coppia di chiavi include a chiave privata, che è protetto, e a Chiave pubblica, che può essere ampiamente distribuito. Chiunque abbia la chiave pubblica può usarla per:

• Inviare un messaggio che solo il possessore della chiave privata può decrittografare.
• Verificare che un messaggio sia stato firmato digitalmente dalla chiave privata corrispondente.


Se il certificato presentato da un sito Web HTTPS è stato firmato da un pubblico attendibile autorità di certificazione (CA), come SSL.com, gli utenti possono essere certi che l'identità del sito Web è stata convalidata da una terza parte attendibile e controllata rigorosamente.

Cosa succede se il mio sito web non utilizza HTTPS?

Nel 2020, i siti Web che non utilizzano HTTPS né servono contenuto misto (che servono risorse come immagini tramite HTTP da pagine HTTPS) sono soggetti ad avvisi ed errori di sicurezza del browser. Inoltre, questi siti Web compromettono inutilmente la privacy e la sicurezza dei loro utenti e non sono preferiti dagli algoritmi dei motori di ricerca. Pertanto, i siti Web HTTP e con contenuti misti possono aspettarsi più avvisi ed errori del browser, minore fiducia degli utenti ed SEO più scadente che se avessero abilitato HTTPS.

Come faccio a sapere se un sito web utilizza HTTPS?

Un URL HTTPS inizia con https:// invece di http://. I browser Web moderni indicano anche che un utente sta visitando un sito Web HTTPS sicuro visualizzando un simbolo di lucchetto chiuso a sinistra dell'URL:
barra degli indirizzi
Nei browser moderni come Chrome, Firefox e Safari, gli utenti possono farlo fare clic sul lucchetto per vedere se il certificato digitale di un sito Web HTTPS include informazioni di identificazione sul suo proprietario.

Come abilito HTTPS sul mio sito web?

Per proteggere un sito Web pubblico con HTTPS, è necessario installare un file SSL /TLS a livello internazionale firmato da un pubblico di fiducia autorità di certificazione (CA) sul tuo server web. SSL.com base di conoscenza include molte guide utili e procedure per configurare un'ampia varietà di piattaforme di server web per supportare HTTPS.

Per guide più generali alla configurazione del server HTTP e alla risoluzione dei problemi, leggi SSL /TLS Best practice per il 2020 ed Risoluzione dei problemi SSL /TLS Errori e avvisi del browser.

Grazie per aver visitato SSL.com! Se hai domande sull'ordinazione e l'installazione SSL /TLS certificato, contatta il nostro team di supporto 24 ore su 7, XNUMX giorni su XNUMX via e-mail all'indirizzo Support@SSL.com, telefonando al numero 1-877-SSL-Secure, o semplicemente facendo clic sul collegamento della chat in basso a destra di questa pagina web.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.