ll protocollo HTTPS è sempre più in voga ultimamente, al punto che si sta assistendo ad una migrazione web da HTTP ad HTTPS, quest'ultimo più sicuro e affidabile.
Se fino a qualche tempo fa HTTPS era sinonimo solo di sicurezza di dati sensibili, oggi la visione si amplia poiché questo identifica un vero e proprio requisito per i browser e per le recenti app, donando ulteriori benefici.
Cos'è l'HTTPS e che vantaggi comporta
HTTPS, acronimo di "Hypertext Transfer Protocol Secure" è un protocollo web che, a differenza del tradizionale HTTP, trasferisce dati in modo criptato difficili da intercettare da parte dei malintenzionati, costituendo quindi un modo più sicuro per l'utente.
La comunicazione diventa quindi difficile da scalfire e da captare da parte di terzi.
A livello tecnico, potremmo definire l'HTTPS non come un protocollo "tout court" ma piuttosto come un'applicazione congiunta e derivante dall'HTTP, studiata per prevenire eventuali intercettazioni esterne. Infatti HTTPS è la combinazione tra il più classico HTTP e il "Secure Socket Layer", ovvero SSL.
Chi opera con siti di e-commerce il protocollo sicuro è praticamente un obbligo per tutelare le informazioni sensibili dei clienti. Oggi è però sempre consigliabile questo tipo di protocollo trasferimento dati, anche quando non vi sono informazioni sensibili da proteggere. Un sito che utilizza il protocollo HTTPS, possiede pure il certificato SSL a tutela della riservatezza.
I vantaggi dell'HTTPS non riguardano unicamente la sicurezza, ma vanno oltre. Ecco quali sono:
- protezione da utilizzi impropri del sito;
- requisito chiave per applicazioni innovative (ad esempio assistenza da remoto);
- protezione integrità sito;
- protezione privacy (anche per accessi a blog);
- protezione da intrusioni maligne e da inserzioni spam non gradite;
- integrità dello scambio dati tra cliente e sito;
- miglioramento indicizzazione Google;
L'importanza del protocollo crittografato HTTPS
L'importanza del protocollo HTTPS assume rilevanza pure quando vi sia uno scambio di informazioni che non riguardi carte di credito o dati sensibili. Anche dalla semplice iscrizione ad una newsletter, ad esempio, un malintenzionato può captare delle informazioni importanti da utilizzare a suo vantaggio e a danno dell'utente (o del sito stesso).
L'HTTPS fornisce la garanzia dell'autenticità del sito in consultazione e del suo server, crittografando in maniera bidirezionale la comunicazione. In sua assenza, un hacker può inserirsi abusivamente nella comunicazione tra l'utente e il sito web, captare le informazioni e dirottare l'ignaro internauta verso un sito parallelo, malevolo.
Il web consente oggi di disporre di funzionalità nuove che richiedono interazione sempre maggiore con gli utenti, i quali caricano fotografie, filmati, informazioni personali relative ai loro gusti e preferenze.
Agendo in ambiente HTTPS protetto è possibile evitare la diffusione (anche involontaria) delle identità degli utenti e delle loro informazioni. Ecco perchè il protocollo HTTPS rappresenta il futuro del mondo internet, sempre più orientato alla tutela della privacy, ma paradossalmente sempre più esposto a rischi.
Sono molti i siti che richiedono all'utente autorizzazioni a procedere verso "qualcosa": servirsi dell'HTTPS è un fattore determinante nella gestione di queste operazioni e nel controllo dei flussi informativi.
Nella struttura di un sito web è caldamente consigliabile utilizzare campi di input all'interno di pagine con protocollo HTTPS: in caso contrario Google classificherà il sito come non sicuro, penalizzandolo nell'indicizzazione.
Per vedere se un sito possiede i certificati SSL he lo rendono più protetto è necessario verificare che nella barra degli indirizzi compaia il lucchettino https prima del classico www.
Il certificato SSL
HTTPS e SSL vanno a braccetto e uno è legato all'altro a filo diretto. Vediamo le tre tipologie di certificazione.
- Certificato SSL DV "Domain Validation": rapido e semplice da ottenere in seguito ad una verifica sulla proprietà del dominio. Ideale per siti in cui non vi è scambio di dati di pagamento, come blog o siti di presentazione.
- Certificato SSL OV "Organization Validation": questo genere di certificato mira ad approfondire maggiormente il livello di sicurezza. Non è più sufficiente conoscere il proprietario del dominio ma serve anche un accertamento relativo alla proprietà dell'azienda, specialmente se vi è la sezione e-commerce dedicata.
- Certificato EV "Extended Validation": i livelli di sicurezza e di affidabilità con l'estenzione della validità raggiungono i massimi livelli, ma solo in seguito a verifiche più puntuali e approfondite sull'azienda. Tale certificato è richiesto ad esempio da istituti di credito o da aziende importanti sotto l'aspetto del business online. L'ottenimento richiede alcuni giorni.
Google verifica costantemente la rete per indicizzare e posizionare nelle pagine SERP i siti ritenuti migliori e privilegia chi impiega protocolli sicuri per le comunicazioni cifrate, proprio come l'HTTPS. Considerando due siti la cui ottimizzazione SEO è paritaria, verrà premiato chi dimostrerà più protezione, ovvero chi avrà più pagine con il protocollo crittografato. E' importante che tutti gli elementi di una pagina, considerati fruibili, presentino tale protocollo.
