In questo articolo vediamo cosa sono i protocolli HTTP e HTTPS e quali differenze hanno tra di loro. Vedremo, inoltre, che oltre la metà dei siti della Pubbliche Amministrazioni italiane non sono sicuri. Il dato è contenuto in un report rilasciato da AgID, al termine del terzo monitoraggio sull’uso del protocollo HTTPS e lo stato di aggiornamento dei CMS nei siti web della PA italiana.
Ma vediamo innanzitutto cos’è il protocollo HTTPS e in che modo riesce a rendere sicura la navigazione su un sito web.
Cos’è l’HTTPS e che differenze ci sono con l’HTTP
HTTPS è l’acronimo di HyperText Transfer Protocol over Secur Socket Layer (noto anche come HTTP Secure). In italiano si traduce con Protocollo di Trasferimento dell’IperTesto Sicuro.
In informatica, un protocollo di comunicazione è un insieme di regole che stabiliscono in che modo deve avvenire la comunicazione tra due o più entità.
HTTPS è una derivazione del protocollo HTTP, perché partendo da quest’ultimo lo ha reso più sicuro grazie, come spieghiamo in seguito, all’uso dei certificati digitali e della crittografia.
Sia HTTP che HTTPS sono due protocolli a livello applicativo usati per la comunicazione sul web, tra due entità che assumono i ruoli di client e server e che dialogano tra loro secondo il metodo richiesta-risposta.
Pensiamo, ad esempio, a quando dal nostro Pc visitiamo un sito web o scarichiamo un Pdf. In questo caso, il browser che usiamo per navigare è il client che esegue la richiesta della risorsa al server che ospita il sito web. Il server replica alla richiesta fornendo come risposta la risorsa richiesta.
Da questo scambio di dati e informazioni deriva un problema di sicurezza, nato insieme al protocollo HTTP e risolto con il protocollo HTTPS.
Chi ha inventato l’HTTP e quali problemi risolve l’HTTPS
La prima versione del protocollo HTTP fu sviluppata nel 1990 nel Cern di Ginevra da Tim Berners-Lee (l’inventore del World Wide Web), insieme al linguaggio HTML e all’URL. L’HTTP nasceva per consentire agli scienziati del Cern e ai loro colleghi sparsi per il mondo di condividere i loro studi. Si era agli albori del web e, pertanto, l’HTTP non teneva conto del problema della sicurezza dei dati, tema che invece avrebbe assunto rilievo solo in seguito.
Per questo motivo il protocollo HTTP prevede che le comunicazioni web avvengano “in chiaro”. I dati trasferiti tra client e server non sono cifrati, ma possono essere carpiti da terzi, con un’operazione che si definisce “man in the middle” (un terzo soggetto si inserisce nella comunicazione tra client e server, intercettando le informazioni che si scambiano).
A risolvere il problema ci ha pensato il protocollo HTTPS, con l’introduzione di una comunicazione criptata dei dati tra client e server. Ciò è stato possibile aggiungendo al protocollo HTTP il protocollo crittografico di presentazione SSL (Secure Socket Layer), introdotto nel 1994 da Netscape e sostituito poi dal protocollo TLS (Transport Layer Security).
Perché il protocollo HTTPS è sicuro
L’HTTPS rende sicure le comunicazioni sul web grazie all’utilizzo dei certificati digitali e alla crittografia asimmetrica a chiave pubblica/privata.
L’uso di certificati digitali a fini di autenticazione riguarda principalmente il server e il sito web ospitato dal server. La presenza di un certificato, emesso da una Certification Authority (CA), garantisce l’autenticità del sito.
Il protocollo TLS, invece, usa chiavi pubbliche e private per cifrare i dati scambiati tra client e server. Certificati digitali e crittografia assicurano, quindi, autenticità del sito web, riservatezza delle comunicazioni e integrità dei dati scambiati.
Sicurezza dei siti della PA italiana
Sul fronte sicurezza, le notizie che arrivano dalla Pubblica Amministrazione italiana non sono delle migliori. Dal terzo monitoraggio svolto da AgID sull’uso del protocollo HTTPS e lo stato di aggiornamento dei CMS nei siti web della PA italiana, emerge infatti che oltre la metà dei siti web non è sicuro.
- Solo il 47% dei siti monitorati rientrano nella categoria dei siti “sicuri” (percentuale più che raddoppiata rispetto al 22% del 2021).
- Il 41% ha “gravi problemi di sicurezza”. Sono siti con HTTPS facilmente aggirabile (perché con certificato non corretto) o debole (con cifrari con chiavi piccole o senza confidenzialità).
- L’11% dei siti sono “mal configurati”, perché ad esempio supportano versioni obsolete di TLS.
- L’1% dei siti web delle PA italiane è senza HTTPS, cioè usano ancora il protocollo HTTP. In valore assoluto parliamo di 223 siti web, un numero che si è ridotto di un terzo rispetto al 2021 e della metà rispetto al 2020.
