Differenza tra http e https

Ho già parlato diffusamente del dominio internet, di come si legge e di come si interpreta, quindi è ora necessario avere qualche accenno alla differenza tra http e https in un indirizzo internet o URL.

Ecco un tipico indirizzo internet o URL (Uniform Resource Locator per dirla in termine tecnico e spiegare cosa significa l’acronimo)

https://www.apple.com

Le altre parti dell’indirizzo internet le ho spiegate chiaramente nell’articolo relativo al dominio internet, ma avrai sicuramente notato che all’inizio c’è sempre o http o https e che negli articoli di phishing, faccio sempre notare che il sito fasullo nel 98% dei casi è sempre http e non https come dovrebbe essere.

Le differenze tra http e https Condividi il Tweet

http è l’acronimo di HyperText Transfer Protocol ed è il protocollo usato per trasferire informazioni e dati tra il tuo browser e il sito su cui stai navigando. Nel caso di http tali informazioni vengono trasferite in chiaro e, in teoria, se qualcuno fosse in ascolto o stesse controllando cosa passa sulla tua linea internet, potrebbe intercettare tutte le informazioni e farne l’uso che meglio crede. Questo ovviamente non è bello nel caso di trasmissione e ricezioni di dati come nomi utente, password, dati finanziari, ecc. ecc.

https è l’acronimo di HyperText Transfer Protocol Secure ed è una variazione del precedente per il quale tutte le informazioni, prima di essere trasmesse o ricevute, vengono crittografate in modo da risultare illeggibili a un presunto “spione”. Questo è il motivo per il quale un sito serio di e-commerce, dove fai acquisti e dove inserisci i dati della tua carta di credito, deve obbligatoriamente avere https perché se è solo in http vuole dire che c’è sotto qualcosa di poco chiaro.

Se hai notato leggendo il blog, nel 90% dei casi tutti i casi di phishing ti portano a siti che non sono https ma http e io lo faccio notare ogni volta, proprio perché è uno degli elementi discriminanti tra un sito serio e uno fasullo.

Vero è che, soprattutto negli ultimi tempi e vista la facilità di avere un certificato autoassegnato, sono molti i siti di phishing che sono sotto https, ma comunque questo rimane sempre un valido indicatore.

Come distinguere un sito legittimo in https e uno falso

Una cosa importante. Non pensare che un sito http possa diventare sicuro con https semplicemente aggiungendo una “s” al suo indirizzo. Eccoti un esempio di come appare in Chrome un sito https:

sito sicuro https
sito https in Chrome

Vedi che c’è un lucchetto chiuso che indica il fatto che il sito sta usando il protocollo https.

Un sito non sicuro, in http, appare invece così:

Differenza tra http e https 1
Sito in http visto con Chrome

Il non sicuro appare in chiaro proprio per indicare che il sito è in http.

Dicevo prima di non pensare che un sito http possa diventare sicuro con https semplicemente aggiungendo una “s”. Se lo fai appare una cosa del genere

Differenza tra http e https 1

che indica l’assenza di un certificato valido, quindi significa che il sito è accessibile solo in http e non in https. Il fatto che un sito non sia sicuro non significa automaticamente che sia un sito di phishing ma solo che il proprietario del sito non è attento agli ultimi dettami della tecnologia oppure che il sito non tratta o richiede alcun dato che deve essere protetto.

Anche in questo caso però Google, nella sua campagna di sicurezza per internet, raccomanda di avere https e quindi sarebbe il caso che lo avessero veramente tutti i siti, anche se non richiedono alcun dato al visitatore.

Purtroppo come ho detto prima, ormai tanti siti di phishing oggi usano https che quindi non è più una discriminante come in passato. Rimane però un elemento da controllare sempre anche se sicuramente non l’unico, come ho anche rilevato nell’articolo che parla di come riconoscere un sito e-commerce legittimo da uno che vuole truffarti.

Sending
User Review
5 (1 vote)

Lascia un commento...

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.