HTTPS DAL 2017

TUTTI IN SICUREZZA CON IL NUOVO PROTOCOLLO HTTPS


Partiamo dal principio.
Cos’è un protocollo?
Un protocollo di rete è un insieme di regole che due apparati devono rispettare per comunicare tra loro. L’utilizzo di protocolli diventa, quindi, necessario quando la tipologia di macchina varia (es: computer e palmare) o più semplicemente quando il costruttore è diverso.
Fino ad oggi il protocollo HTTP è stato alla base della comunicazione internet ed è quello che permette, prima di tutto, di visualizzare i siti web. Attraverso il suo uso si chiedono e si ricevono pagine e contenuti. L’HTTP, però, non è un protocollo sicuro al 100%: i dati trasmessi tra client e server possono essere intercettati e letti senza alcun problema.

​Che cos’è quindi l’HTTPS?
L’HTTPS (HyperText Transfer Protocol over SSL) è la veicolazione di HTTP attraverso un secondo protocollo chiamato SSL (Secure Sockets Layer) che si occupa della codifica/crittazione/autenticazione dei dati trasmessi.
In breve, la comunione d‘intenti tra i protocolli HTTP e SSL va a migliorare la sicurezza della trasmissione dati tra server e utente, impedendo a terzi di leggere o modificare i messaggi che sono trasmessi, rendendo, così, i dati scambiati completamente sicuri.
Per questa ragione, è bene controllare che le nostre informazioni sensibili (come comunicazioni bancarie o numeri di carta di credito), quando vengono spedite via web, vengano inviate usando il protocollo HTTPS.

​Perché è importante che si inizi a usare dal 2017?
Il tutto parte dal futuro rilascio, che avverrà il primo gennaio 2017, del browser Chrome 56 di Google, usato da più del 53% dell’utenza internet.
La nuova versione del browser segnalerà come insicuri e non protetti tutti i siti web che scambiano dati personali, dal blog, all’e-commerce e qualsiasi sito in cui sia presente un’area protetta da login e password, privi di certificazione HTTPS.
Attualmente Google ha già iniziato a favorire i siti HTTPS: risultano tra i primi nelle ricerche sul suo motore di ricerca, proprio per preparare il terreno al grande lancio.

​Come fare per avere la certificazione HTTPS?
Per ottenere un certificato SSL riconosciuto, installarlo e mantenerlo efficiente, è necessario passare per alcuni punti tecnici importanti.
1 – GENERARE UNA CSR (Certificate Signing Request)
La primissima cosa da fare è generare sul server una richiesta CSR: un file che contiene tutte le informazioni sul server e sulla chiave privata, necessarie per il certificato d’identità pubblica (PKC), un po’ come la nostra carta d’identità o il nostro passaporto.
2 – ORDINARE IL CERTIFICATO SSL
Ci sono molti servizi on line di Certification Auhorities (CA) che offrono questo tipo di attestazione, alcuni di questi gratuiti; per dirne alcuni di popolari potremmo scegliere Symantec, VeriSign e GlobalSign.
L’importante è che vi assicuriate che la CA scelta sia affidabile e diffusa. Secondo le esigenze, il certificato SSL dovrà essere valutato con attenzione, poiché offre anche una copertura assicurativa in caso di falsificazione, inoltre non tutte le CA sono riconosciute come “sicure” dai vari browser.
3 – INSTALLARE IL CERTIFICATO
Una volta scaricato il certificato emesso dalla CA, l’SSL va installato sul server e riconfigurato il servizio per fornire la connessione tramite HTTPS.
4 – VERIFICA E AGGIORNAMENTO DELLA CONFIGURAZIONE DEL SITO WEB
Ovviamente una volta sistemati i punti precedenti, si andrà a correggere tutte le eventuali problematiche del sito esistente intervenendo direttamente sulla struttura dello stesso.
5 – ATTENZIONE ALLA SCADENZA DELLA CERTIFICAZIONE
I certificati hanno validità di un anno o più, ma devono essere rinnovati prima della data di scadenza tramite un processo simile alla prima generazione. In caso si fosse scelto un certificato gratuito come quello che offre Let’s Encrypt, bisognerà ricordarsi di richiedere il sistema di rinnovo automatico, non sempre fattibile, avendo valenza solo bimestrale.

​​
(Fonte: https://netdream.it/blog/2016/09/http-https-cos-e-google-ssl-gennaio-2017)