HTTPS: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 08:45, 2 mag 2019 modifica Yacine Boussoufa (discussione \| contributi) Utenti autoverificati 6 960 modifiche m Fix wikilink Etichette: Modifica da mobile Modifica da applicazione mobile Modifica da applicazione Android ← Differenza precedente		Versione attuale delle 08:48, 20 lug 2025 modifica annulla Lauretana1975 (discussione \| contributi) 297 modifiche Funzionalità collegamenti suggeriti: 2 collegamenti inseriti. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti
(85 versioni intermedie di 55 utenti non mostrate)
Riga 1: [[File:HTTPS icon.png\|alt=Icona del lucchetto, che nei browser contraddistingue l'uso di HTTPS.\|~~miniatura~~thumb\|[[Icona (informatica)\|Icona]] del lucchetto di HTTPS.]] In [[telecomunicazioni]] e [[informatica]] l{{'~~<nowiki/>~~}}'''HyperText Transfer Protocol over Secure Socket Layer''' ('''HTTPS'''), (anche noto come '''HTTP over [[Transport Layer Security\|TLS]]''',<ref name="HTTP Over TLS">{{Cita web \|url=https://tools.ietf.org/html/rfc2818 \|titolo=HTTP Over TLS \|editore=The Internet Engineering Task Force \|data=May 2000 \|accesso=27 febbraio 2015 \|autore=Network Working Group \|urlarchivio=https://web.archive.org/web/20181031095731/https://tools.ietf.org/html/rfc2818 \|dataarchivio=31 ottobre 2018 \|urlmorto=no }}</ref><ref name="HTTPS-ranking-signal">{{Cita web \|url=https://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html \|titolo=HTTPS as a ranking signal \|editore=Google Inc. \|sito=Google Webmaster Central Blog \|data=6 agosto 2014 \|accesso=27 febbraio 2015 \|citazione= You can mae your site secure with HTTPS (Hypertext Transfer Protocol Secure) [...] \|urlarchivio=https://web.archive.org/web/20160308074838/https://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html \|dataarchivio=8 marzo 2016 \|urlmorto=sì }}</ref> '''HTTP over [[Secure Sockets Layer\|SSL]]'''<ref name="Enabling HTTP Over SSL">{{Cita web \|url=https://docs.adobe.com/docs/en/cq/5-6-1/deploying/config-ssl.html \|titolo=Enabling HTTP Over SSL \|editore=Adobe Systems Incorporated \|accesso=27 febbraio 2015 \|urlarchivio=https://web.archive.org/web/20150308084326/http://docs.adobe.com/docs/en/cq/5-6-1/deploying/config-ssl.html \|dataarchivio=8 marzo 2015 \|urlmorto=no }}</ref> e '''HTTP Secure'''<ref name="Secure your site with HTTPS">{{Cita web \|url=https://support.google.com/webmasters/answer/6073543?hl=en \|titolo=Secure your site with HTTPS \|editore=Google, Inc. \|sito=Google Support \|accesso=27 febbraio 2015 \|urlarchivio=https://web.archive.org/web/20171215041903/https://support.google.com/webmasters/answer/6073543?hl=en \|dataarchivio=15 dicembre 2017 \|urlmorto=no }}</ref><ref name="What is HTTPS?">{{Cita web \|url=https://www.instantssl.com/ssl-certificate-products/https.html \|titolo=What is HTTPS? \|editore=[[Comodo ~~Group~~(azienda)\|Comodo CA Limited]] \|accesso=27 febbraio 2015 \|citazione= Hyper Text Transfer Protocol Secure (HTTPS) is the secure version of HTTP [...] \|urlarchivio=https://web.archive.org/web/20150212105201/https://www.instantssl.com/ssl-certificate-products/https.html \|dataarchivio=12 febbraio 2015 \|urlmorto=sì }}</ref>) è un [[protocollo di comunicazione\|protocollo per la comunicazione]] sicura attraverso una [[rete di computer]] utilizzato su [[Internet]]. La [[porta (reti)\|porta]] utilizzata generalmente (ma non necessariamente) è la 443. Consiste nella comunicazione tramite il protocollo [[Hypertext Transfer Protocol\|HTTP]] (Hypertext Transfer Protocol) all'interno di una connessione [[cifratura\|criptata]], tramite [[crittografia asimmetrica]], dal [[Transport Layer Security]] (''TLS'') o dal suo predecessore, [[Secure Sockets Layer]] (''SSL'') fornendo come ~~requisti~~requisiti chiave: # un'[[autenticazione]] del [[sito Internet\|sito web]] visitato; # protezione della [[privacy]] (riservatezza o [[confidenzialità]]); # [[integrità dei dati]] scambiati tra le parti comunicanti. == Generalità == Nel suo popolare funzionamento su Internet, HTTPS fornisce ~~l'autenticazione~~la sicurezza del sito web e del [[server web]] associato con cui una delle parti sta comunicando, proteggendo la comunicazione dagli attacchi noti tramite la tecnica del [[man in the middle]]. Inoltre, HTTPS fornisce una cifratura bidirezionale delle comunicazioni tra un [[client]] e un [[server]], che protegge la stessa contro le possibili operazioni di [[eavesdropping]], (''azione mediante illa quale viene ascoltata segretamente la conversazione privata tra le parti senza il loro consenso'') e [[tampering (sicurezza informatica)\|tampering]] (''letteralmente manomissione o alterazione della comunicazione'') falsificandone i contenuti.<ref name=httpse>{{Cita web \|url=https://www.eff.org/https-everywhere/faq \|titolo=HTTPS Everywhere FAQ \|accesso=3 maggio 2012 \|urlarchivio=https://web.archive.org/web/20180420102255/https://www.eff.org/https-everywhere/faq \|dataarchivio=20 aprile 2018 \|urlmorto=no }}</ref> In pratica, tale meccanismo fornisce una garanzia soddisfacente del fatto che si sta comunicando esattamente con il sito web voluto (al contrario di un sito falso), oltre a garantire che i contenuti delle comunicazioni tra l'utente e il sito web non possano essere intercettate o alterate da terzi. Storicamente, le connessioni HTTPS erano usate soprattutto per i pagamenti nelle transazioni sul [[World Wide Web]] (in particolare per il [[commercio elettronico]]), [[Posta elettronica\|e-mail]] e per le transazioni sensibili all'interno dei [[~~sistema informativo\|~~sistemi informativi]] aziendali]]. Nel tardo 2000 e nei primi anni del 2010, HTTPS ha iniziato ad avere una larga diffusione e ampio utilizzo per proteggere l'autenticità delle [[pagina web\|pagine web]], la sicurezza degli account utente e per mantenere private le comunicazioni, l'identità e la navigazione web dell'utente. == ~~Descrizione generale~~Storia == Questo sistema fu progettato dalla [[Netscape Communications Corporation]] che si occupa delle autenticazioni e delle comunicazioni crittografate ed è largamente usato nel ''World Wide Web'' per situazioni che richiedono particolari esigenze in ambito di [[sicurezza informatica\|sicurezza]] come per esempio il pagamento di transazioni online. In questo caso [[Secure Sockets Layer\|SSL]] garantisce la [[Crittografia\|cifratura]] dei dati inviati e ricevuti su [[internet]].▼ == Descrizione == Nei [[browser]] web, la [[Uniform Resource Identifier\|URI]] (''Uniform Resource Identifier'') che si riferisce a tale tecnologia ha nome di schema <code>https</code> ed è in tutto e per tutto analoga alle URI <code>http</code>. Tuttavia, HTTPS segnala al browser di usare il livello di cifratura aggiuntivo SSL/TLS per proteggere il traffico internet. SSL/TLS è particolarmente adatto al protocollo HTTP, dato che può fornire una qualche protezione, anche se tra le parti comunicanti solo una è autenticata. Questo è il caso di HTTP nelle transazioni su internet, dove tipicamente è il server l'unica parte ad essere autenticata, mentre il client esamina il certificato del server. Riga 16 ⟶ 20: Alla base del funzionamento di HTTPS, sopra il ''Transport Layer Security'', risiede interamente il protocollo HTTP; per questo motivo quest'ultimo può essere criptato del tutto. La cifratura del protocollo HTTP include: * la richiesta URL (''la pagina web che è stata richiesta'') * i parametri di query Riga 25 ⟶ 28: I browser web sanno come fidarsi dei siti web HTTPS basati su [[Certificate authority\|certificati di autorità]] che vengono preinstallati nel loro software. Le autorità di certificazione (come ''Symantec, Comodo, GoDaddy e GlobalSign'') sono fidate per i creatori di browser web, per fornire certificati validi ai fini della comunicazione. Pertanto, un utente dovrebbe fidarsi di una connessione HTTPS verso un sito web se e solo se tutti i punti seguenti sono verificati: * L'utente si fida del fatto che il software del browser implementi correttamente il protocollo HTTPS con dei certificati di autorità correttamente preinstallati. * L'utente si fida dell'autorità di certificazione che garantisce solo siti web legittimi. Riga 32 ⟶ 34: * L'utente si fida del fatto che il livello di crittografia del protocollo (SSL/TLS) è sufficientemente sicuro contro le possibili operazioni degli eavesdropper. HTTPS è particolarmente importante attraverso le reti insicure (come i punti di accesso WiFi pubblici), dato che chiunque sulla stessa rete locale può effettuare uno [[sniffing]] di pacchetti e scoprire informazioni sensibili e non protette da HTTPS. Oltre a ciò, molti vengono pagati per impegnarsi nel fare [[packet injection]] ("iniezione di pacchetti") all'interno di [[Wireless Local Area Network\|reti wireless]] allo scopo di fornire un servizio per le pubblicità delle proprie pagine web, mentre altri lo fanno liberamente. Tuttavia, questa operazione può essere sfruttata malignamente in molti modi, come iniettare dei [[malware]] su pagine web e rubare informazioni private agli utenti.<ref>{{Cita web\|titolo=Hotel Wifi JavaScript Injection\|url=http://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/\|accesso=24 luglio 2012\|urlarchivio=https://web.archive.org/web/20120724164025/http://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/\|dataarchivio=24 luglio 2012\|urlmorto=no}}</ref> HTTPS è anche molto importante con le connessioni sulla rete [[Tor (software)\|Tor]] (acronimo di The Onion Router) per preservare l'anonimato su internet, siccome i nodi Tor maligni possono danneggiare o alterare i contenuti che li attraversano in maniera insicura e iniettano malware dentro la connessione. Per questa ragione l'[[Electronic Frontier Foundation]] (''EFF'') e il progetto Tor hanno avviato lo sviluppo del protocollo [[HTTPS Everywhere]]<ref name="httpse" />, il quale è incluso all'interno del pacchetto Tor Browser.<ref>{{Cita web\|url=https://www.torproject.org/projects/torbrowser.html.en\|titolo=Tor\|autore=The Tor Project, Inc.\|sito=torproject.org\|accesso=12 maggio 2016\|urlarchivio=https://archive.is/20130717222709/https://www.torproject.org/projects/torbrowser.html.en\|dataarchivio=17 luglio 2013\|urlmorto=no}}</ref> Nonostante siano divulgate più informazioni riguardo alla sorveglianza globale di massa e al furto di informazioni personali da parte degli [[hacker]], l'uso di HTTPS per la sicurezza su tutti i siti web sta diventando sempre più importante, a prescindere dal tipo di connessione ad internet usata.<ref name="NYT-Embracing-HTTPS">{{Cita web \|url=https://open.blogs.nytimes.com/2014/11/13/embracing-https/ \|titolo=Embracing HTTPS \|editore=The New York Times \|data=13 novembre 2014 \|accesso=27 febbraio 2015 \|autore=Konigsburg, Eitan \|autore2=Pant, Rajiv \|autore3=Kvochko, Elena \|urlarchivio=https://web.archive.org/web/20180422133515/https://open.blogs.nytimes.com/2014/11/13/embracing-https/ \|dataarchivio=22 aprile 2018 \|urlmorto=sì }}</ref><ref name="HTTPS-Why-Not">{{Cita web \|url=https://freedom.press/blog/2014/09/after-nsa-revelations-why-arent-more-news-organizations-using-https \|titolo=Fifteen Months After the NSA Revelations, Why Aren’t More News Organizations Using HTTPS? \|editore=Freedom of the Press Foundation \|data=12 settembre 2014 \|accesso=27 febbraio 2015 \|autore=Gallagher, Kevin \|urlarchivio=https://web.archive.org/web/20161202161557/https://freedom.press/blog/2014/09/after-nsa-revelations-why-arent-more-news-organizations-using-https \|dataarchivio=2 dicembre 2016 \|urlmorto=sì }}</ref> Mentre i metadati delle pagine individuali che un utente visita non sono informazioni sensibili, quando queste informazioni sono combinate insieme possono svelare molto sull'identità dell'utente e comprometterne la privacy stessa.<ref name="HTTPS-ranking-signal" /><ref name="Google-HTTPS-Everywhere">{{Cita web \|url=https://www.youtube.com/watch?v=cBhZ6S0PFCY \|titolo=Google I/O 2014 - HTTPS Everywhere \|editore=Google Developers \|data=26 giugno 2014 \|accesso=27 febbraio 2015 \|autore=Grigorik, Ilya \|autore2=Far, Pierre \|urlarchivio=https://web.archive.org/web/20180315193159/https://www.youtube.com/watch?v=cBhZ6S0PFCY&feature=youtu.be \|dataarchivio=15 marzo 2018 \|urlmorto=no }}</ref><ref name=deployhttpscorrectly/> L'impiego di HTTPS inoltre consente l'utilizzo dei protocolli [[SPDY]]/[[HTTP/2]], che sono nuove generazioni del protocollo HTTP, progettate per ridurre i tempi di caricamento e la latenza delle pagine web. È raccomandato usare [[HTTP Strict Transport Security]] (HSTS) con HTTPS per proteggere gli utenti dagli attacchi man in the middle, in particolare [[Moxie Marlinspike#SSL stripping\|SSL stripping]]. <ref name=deployhttpscorrectly /><ref name="HSTSMDN">{{Cita web\|url=https://developer.mozilla.org/en/Security/HTTP_Strict_Transport_Security\|titolo=HTTP Strict Transport Security\|sito=Mozilla Developer Network\|accesso=14 ottobre 2015\|urlarchivio=https://web.archive.org/web/20120515140602/https://developer.mozilla.org/en/Security/HTTP_Strict_Transport_Security\|dataarchivio=15 maggio 2012\|urlmorto=sì}}</ref> HTTPS non dovrebbe essere confuso con il protocollo poco utilizzato [[Secure Hypertext Transfer Protocol\|Secure HTTP]] (S-HTTP) descritto nella specifica RFC 2660. === Utilizzo nei siti web === Alla data del 3 maggio 2017, il 56,8% dei ~~139.032~~{{formatnum:139032}} maggiori siti web ha un'implementazione sicura del protocollo HTTPS.<ref name=sslpulse>{{Cita web\|titolo=SSL Pulse\|url=https://www.trustworthyinternet.org/ssl-pulse/\|editore=Trustworthy Internet Movement\|data=3 ottobre 2015\|accesso=07 Maggio 2017\|urlarchivio=https://web.archive.org/web/20170515034337/https://www.trustworthyinternet.org/ssl-pulse/\|dataarchivio=15 maggio 2017\|urlmorto=sì}}</ref> HTTPS è utilizzato dal 5,24% del totale dei domini italiani registrati<ref>{{Cita web\|url=https://www.centroli.it/statistiche-internet-in-italiano\|titolo=Statistiche internet in italiano ~~centroli.it\|sito=www.~~centroli.it\|lingua=it\|accesso=07 Maggio 2017\|urlmorto=sì\|urlarchivio=https://web.archive.org/web/20170216064108/https://www.centroli.it/statistiche-internet-in-italiano\|dataarchivio=16 febbraio 2017}}</ref>. === Integrazione nei browser === La maggior parte dei browser visualizza un messaggio di warning se riceve un certificato non valido dal server che funge come autorità di certificazione. I browser meno recenti, quando si connettevano ad un sito web con un certificato non valido, mostravano all'utente un messaggio di dialogo che chiedeva loro se volevano proseguire con la navigazione. I browser più recenti invece, visualizzano un messaggio di warning che copre l'intera finestra, mostrando per bene all'utente le informazioni di sicurezza del sito visitato sulla [[barra degli indirizzi]] del browser. Nei browser moderni la validazione estesa dei certificati mostra la barra degli indirizzi con un colore verde. Inoltre, la maggior parte dei browser visualizza un messaggio di warning all'utente quando esso sta visitando un sito che contiene un misto di contenuti criptati e non criptati. [[Mozilla Firefox\|Firefox]] usa il protocollo HTTPS per le ricerche Google dalla versione 14,<ref>{{Cita web\|titolo=Firefox 14.0.1 Release Notes\|url=https://www.mozilla.org/en-US/firefox/14.0.1/releasenotes/\|accesso=24 luglio 2012\|urlarchivio=https://web.archive.org/web/20120722232551/http://www.mozilla.org/en-US/firefox/14.0.1/releasenotes/\|dataarchivio=22 luglio 2012\|urlmorto=no}}</ref> con lo scopo di "proteggere i nostri utenti dall'infrastruttura di rete che può raccogliere dati dagli utenti o modificare/censurare i loro risultati di ricerca".<ref>{{Cita web\|titolo=Firefox Rolling Out HTTPS Google search\|url=https://blog.mozilla.org/futurereleases/2012/05/09/rolling-out-https-google-search/\|accesso=24 luglio 2012\|urlarchivio=https://web.archive.org/web/20120720204529/https://blog.mozilla.org/futurereleases/2012/05/09/rolling-out-https-google-search/\|dataarchivio=20 luglio 2012\|urlmorto=no}}</ref> L'[[Electronic Frontier Foundation]], ha espresso l'opinione che: “''In un mondo ideale, ogni richiesta web potrebbe essere trasformata di default in una richiesta HTTPS''”. Per i ~~browser~~ [[browser]] [[Google Chrome]], [[Mozilla Firefox]] (anche su [[Android]]) e [[Opera]] è disponibile un [[Plugin (informatica)\|add-on]] chiamato “''[[HTTPS Everywhere]]''” che abilita il protocollo HTTPS di default per centinaia di siti web. === Sicurezza === La sicurezza di HTTPS è garantita dal protocollo [[Transport Layer Security\|TLS]] sottostante, che ~~in pratica~~ utilizza chiavi private e pubbliche a lungo termine per generare chiavi di sessione a breve termine. Queste chiavi sono utilizzate successivamente per cifrare il flusso dei dati scambiati tra client e server. I certificati definiti dallo standard [[X.509]] sono utilizzati per autenticare il server (a volte anche il client). Di conseguenza, le [[Certificate authority\|autorità certificative]] e i certificati a chiave pubblica sono necessari al fine di verificare il rapporto che sussiste tra il certificato e il suo proprietario, oltre a generare la firma e gestire la validità dei certificati. Mentre questo può essere più vantaggioso rispetto a verificare le identità attraverso una rete di fiducia, le divulgazioni di massa sulla sorveglianza nel 2013 hanno richiamato all'attenzione le autorità certificative come potenziale punto debole per attacchi [[man in the middle]].<ref>[https://www.wired.com/threatlevel/2010/03/packet-forensics/ Law Enforcement Appliance Subverts SSL] {{Webarchive\|url=https://web.archive.org/web/20140315064727/http://www.wired.com/threatlevel/2010/03/packet-forensics \|data=15 marzo 2014 }}, Wired, 2010-04-03.</ref><ref>[https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl New Research Suggests That Governments May Fake SSL Certificates] {{Webarchive\|url=https://web.archive.org/web/20160104234608/https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl \|data=4 gennaio 2016 }}, EFF, 2010-03-24.</ref> Una proprietà importante in questo contesto è la ''[[forward secrecy]]'', che garantisce che le comunicazioni cifrate registrate nel passato non possano essere recuperate e decifrate e le chiavi di cifratura a lungo termine o le password non siano compromesse in futuro. Non tutti i web server forniscono la ''forward secrecy''.<ref name=ecdhe>[http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html SSL: Intercepted today, decrypted tomorrow] {{Webarchive\|url=https://web.archive.org/web/20130921053551/http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html \|data=21 settembre 2013 }}, Netcraft, 2013-06-25.</ref> Un [[sito web]] deve essere totalmente ospitato sul protocollo HTTPS, senza avere parte dei suoi contenuti su HTTP - per esempio, avere script caricati online in modo insicuro (in chiaro) - o l'utente sarà vulnerabile a certi attacchi e sottoposto a sorveglianza. Riga 66 ⟶ 68: == Aspetti tecnici == === Differenza da HTTP === Le URL del protocollo HTTPS iniziano con https:// e utilizzano la [[porta (reti)\|porta]] 443 di [[default (informatica)\|default]], mentre le URL HTTP cominciano con http:// e utilizzano la [[porta (reti)\|porta]] 80. HTTP non è criptato, edquindi è vulnerabile alle intercettazioni e ad attacchi man-in-the-middle: egli ~~eavesdropping, che~~attaccanti possono ~~consentire agli attaccanti di~~ ottenere l'accesso ~~agli~~ad account di siti web con informazioni sensibili, eo modificare le pagine web per iniettare al loro interno dei [[malware]] o della pubblicità malevola. HTTPS è progettato per resistere a tali attacchi ed è considerato sicuro contro di essi (con eccezione delle versioni più obsolete e deprecate del protocollo [[Secure Sockets Layer\|SSL]]). === Livelli di rete === HTTPS opera al livello più alto del modello TCP/IP, il [[livello di applicazione]]; come fa anche il protocollo di sicurezza [[Transport Layer Security\|TLS]] (operando come un sotto-strato più basso dello stesso livello). In pratica, tra il protocollo [[Transmission Control Protocol\|TCP]] e [[Hypertext Transfer Protocol\|HTTP]] si interpone (trasparentemente all'utente) un livello di [[crittografia]]/[[autenticazione]] come il [[Secure Sockets Layer]] (SSL) o il [[Transport Layer Security]] (TLS) il quale cripta il messaggio HTTP prima della trasmissione e decripta il messaggio una volta giunto a destinazione. Riga 79 ⟶ 80: Questo tipo di comunicazione garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione. Ogni cosa nel messaggio HTTPS è cifrata, inclusi gli header e il carico di richiesta/risposta del messaggio. Con l'eccezione del possibile attacco crittografico CCA descritto nella sezione “[[~~HTTPS~~#Limiti\|Limiti]]” successiva, l'attaccante può solamente sapere che è avvenuta una connessione tra le due parti comunicanti e può conoscere i loro nomi di dominio e indirizzi IP. ==== Acquisizione dei certificati ==== I certificati firmati autorevolmente possono essere gratuiti<ref>{{Cita web \|url=https://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html \|titolo=Free SSL Certificates from a Free Certificate Authority \|editore=sslshopper.com \|accesso=24 ottobre 2009 \|urlarchivio=https://web.archive.org/web/20100209035224/http://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html }}</ref><ref>{{Cita web\|url=https://www.techrepublic.com/blog/networking/secure-outlook-web-access-with-free-ssl-part-1/293▼ \|dataarchivio=9 febbraio 2010 \|urlmorto=no }}</ref><ref>{{Cita web ▲~~}}</ref><ref>{{Cita web~~\|url=https://www.techrepublic.com/blog/networking/secure-outlook-web-access-with-free-ssl-part-1/293 \|titolo=Secure Outlook Web Access with (free) SSL: Part 1 \|autore=Justin Fielding Riga 92 ⟶ 98: \|editore=[[TechRepublic]] \|accesso=24 ottobre 2009 \|urlarchivio=https://web.archive.org/web/20110324233903/http://www.techrepublic.com/blog/networking/secure-outlook-web-access-with-free-ssl-part-1/293 }}</ref> oppure costare tra gli 8<ref>{{Cita web\|url=https://www.namecheap.com/ssl-certificates/comodo/positivessl-certificate.aspx▼ \|dataarchivio=24 marzo 2011 \|urlmorto=no }}</ref> oppure costare tra gli 8<ref>{{Cita web ▲~~}}</ref> oppure costare tra gli 8<ref>{{Cita web~~\|url=https://www.namecheap.com/ssl-certificates/comodo/positivessl-certificate.aspx \|titolo=Namecheap.com SSL Services \|editore=namecheap \|accesso=30 gennaio 2012 \|urlarchivio=https://web.archive.org/web/20120204093050/http://www.namecheap.com/ssl-certificates/comodo/positivessl-certificate.aspx }}</ref> e i 70<ref>{{Cita web\|url=https://ssl.comodo.com/comodo-ssl-certificate.php▼ \|dataarchivio=4 febbraio 2012 \|titolo=Secure Site Pro with SSL Certificate \|accesso=23 Aug 2014▼ \|urlmorto=no }}</ref> e i 70<ref>{{Cita web ▲~~}}</ref> e i 70<ref>{{Cita web~~\|url=https://ssl.comodo.com/comodo-ssl-certificate.php ▲\|titolo=Secure Site Pro with SSL Certificate ~~\|accesso=23 Aug 2014~~ \|accesso=23 Aug 2014 \|urlarchivio=https://web.archive.org/web/20140826033455/http://ssl.comodo.com/comodo-ssl-certificate.php \|dataarchivio=26 agosto 2014 \|urlmorto=no }}</ref> [[Dollaro statunitense\|USD]] all'anno. (2012-2014). Le organizzazioni possono anche adottare le proprie autorità certificative, in particolare se esse sono responsabili per la configurazione dei browser per accedere ai propri siti (per esempio, siti su una [[intranet]] aziendale, o di importanti università). Riga 104 ⟶ 122: Tuttavia, quest'ultima non è inclusa nei certificati di origine fidati di molti browser web popolari (e.g. [[Firefox]], [[Google Chrome\|Chrome]], [[Internet Explorer]]), i quali possono visualizzare dei messaggi di warning agli utenti finali. Un'autorità certificativa, “[[Let's Encrypt]]” è stata lanciata verso la fine del 2015<ref>{{Cita web\|titolo=Launch schedule\|url=https://letsencrypt.org/2015/08/07/updated-lets-encrypt-launch-schedule.html\|sito=Let's Encrypt\|accesso=21 settembre 2015\|urlarchivio=https://web.archive.org/web/20150927173815/https://letsencrypt.org/2015/08/07/updated-lets-encrypt-launch-schedule.html\|dataarchivio=27 settembre 2015\|urlmorto=no}}</ref> e fornisce certificati SSL/TLS automatici e gratuiti per siti web.<ref name="Lets-Encrypt-Aims-to-Improve-Security">{{Cita web \|url=http://www.eweek.com/security/lets-encrypt-effort-aims-to-improve-internet-security.html \|titolo=Let's Encrypt Effort Aims to Improve Internet Security \|editore=Quinstreet Enterprise \|sito=eWeek.com \|data=18 novembre 2014 \|autore=Kerner, Sean Michael \|lingua = en \|accesso =27 ~~febbraio~~18 ~~2015~~novembre 2022\|~~autore~~ urlarchivio =~~Kerner,~~ ~~Sean~~https://archive.is/20141119005413/http://www.eweek.com/security/lets-encrypt-effort-aims-to-improve-internet-security.html \|dataarchivio = 19 novembre 2014 ~~Michael~~}}</ref> In accordo con la [[Electronic Frontier Foundation]], “Let's Encrypt” eseguirà il passaggio dal protocollo HTTP a HTTPS “così facilmente come lanciare un comando, o cliccare su un bottone.”<ref name="Launching-2015-CA-to-Encrypt-Entire-Web">{{Cita web \|url=https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web \|titolo=Launching in 2015: A Certificate Authority to Encrypt the Entire Web \|editore=[[Electronic Frontier Foundation]] \|data=18 novembre 2014 \|accesso=27 febbraio 2015 \|autore=Eckersley, Peter \|urlarchivio=https://web.archive.org/web/20180510222107/https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web \|dataarchivio=10 maggio 2018 \|urlmorto=no }}</ref> ==== Utilizzo come controllo dell'accesso ==== Riga 111 ⟶ 129: ==== In caso di chiave privata segreta compromessa ==== ~~Un importante~~Un’importante proprietà in questo contesto è la [[forward secrecy\|perfect forward secrecy]] (PFS). Possedere una chiave privata segreta asimmetrica a lungo termine usata per stabilire una sessione HTTPS non dovrebbe rendere più semplice derivare la chiave di sessione a breve termine per poi decifrare la conversazione, anche in un secondo momento. Lo [[scambio di chiavi]] [[Diffie-Hellman]] (DHE) e [[Elliptic curve Diffie-Hellman]] (ECDHE) Riga 128 ⟶ 146: \|urlarchivio = https://web.archive.org/web/20090526233211/http://www.mozilla.com/en-US/legal/privacy/firefox-en.html \|dataarchivio = 26 maggio 2009 }}</ref> Opera,<ref>{{Cita news \|url=http://news.softpedia.com/news/Opera-8-launched-on-FTP-1330.shtml \|titolo=Opera 8 launched on FTP \|editore=[[Softpedia]] \|data=19 aprile 2005 \|accesso=13 maggio 2009 \|pubblicazione= }}</ref> e Internet Explorer su [[Windows Vista]]<ref>{{Cita web\|url=https://msdn.microsoft.com/en-us/library/bb250503.aspx▼ \|urlarchivio=https://web.archive.org/web/20090712032745/http://news.softpedia.com/news/Opera-8-launched-on-FTP-1330.shtml \|dataarchivio=12 luglio 2009 \|urlmorto=sì ▲}}</ref> e Internet Explorer su [[Windows Vista]]<ref>{{Cita web~~\|url=https://msdn.microsoft.com/en-us/library/bb250503.aspx~~ \|url=https://msdn.microsoft.com/en-us/library/bb250503.aspx \|titolo=HTTPS Security Improvements in Internet Explorer 7 \|cognome=Lawrence Riga 140 ⟶ 164: \|data=31 gennaio 2006 \|accesso=13 maggio 2009 \|urlarchivio=https://web.archive.org/web/20171001051314/https://msdn.microsoft.com/en-us/library/bb250503.aspx }}</ref> implementano il protocollo [[Online Certificate Status Protocol]] (OCSP) e l'autorità risponde, indicando al browser se il certificato è ancora valido o meno.<ref>{{Cita web\|url=https://tools.ietf.org/html/rfc2560▼ \|dataarchivio=1 ottobre 2017 \|urlmorto=no ▲}}</ref> implementano il protocollo [[Online Certificate Status Protocol]] (OCSP) e l'autorità risponde, indicando al browser se il certificato è ancora valido o meno.<ref>{{Cita web~~\|url=https://tools.ietf.org/html/rfc2560~~ \|url=https://tools.ietf.org/html/rfc2560 \|titolo=Online Certificate Status Protocol – OCSP \|editore=[[Internet Engineering Task Force]] \|data=June 1999 \|autore=Myers, M \|autore2=Ankney, R \|autore3=Malpani, A \|autore4=Galperin, S \|autore5= Adams, C \|accesso=13 maggio 2009 \|urlarchivio=https://web.archive.org/web/20171125063121/https://tools.ietf.org/html/rfc2560 \|dataarchivio=25 novembre 2017 \|urlmorto=no }}</ref> Riga 161 ⟶ 195: Questa tecnologia quindi può essere usata anche per permettere un accesso limitato ad un [[web server]]. L'amministratore spesso crea dei certificati per ogni utente che vengono caricati nei loro browser contenenti informazioni come il relativo nome e indirizzo [[e-mail]] in modo tale da permettere al server di riconoscere l'utente nel momento in cui quest'ultimo tenti di riconnettersi senza immettere [[nome utente]] e/o [[password]]. Per un migliore grado di protezione delle connessioni HTTPS di fronte ad attacchi ''[[Attacco man in the middle\|man-in-the-middle]]'', e in particolare per fronteggiare la tecnica di «''stripping SSL''», è raccomandabile utilizzare l'uso di [[HTTP Strict Transport Security]], un meccanismo addizionale di sicurezza che forza l'uso di HTTPS.<ref name=deployhttpscorrectly>{{Cita web\|titolo=How to Deploy HTTPS Correctly\|url=https://www.eff.org/https-everywhere/deploying-https\|accesso=13 giugno 2012\|urlarchivio=https://web.archive.org/web/20180314095223/https://www.eff.org/https-everywhere/deploying-https\|dataarchivio=14 marzo 2018\|urlmorto=no}}</ref><ref name="HSTSMDN" /> === Limiti === Riga 179 ⟶ 213: Questo consente ad un attaccante di aver accesso al testo non formattato (il contenuto statico pubblicamente accessibile) e al testo cifrato (la versione cifrata del contenuto statico), permettendo un attacco crittografico. Poiché TLS opera sotto il protocollo HTTP e non ha conoscenza dei protocolli di livello superiore, i server TLS possono strettamente presentare solo un certificato per una particolare combinazione di porta e indirizzo IP.<ref>{{Cita web\|url=https://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts\|titolo=SSL/TLS Strong Encryption: FAQ\|sito=apache.org\|accesso=1 maggio 2019\|urlarchivio=https://web.archive.org/web/20181019105423/http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts\|dataarchivio=19 ottobre 2018\|urlmorto=no}}</ref> Questo significa che, nella maggior parte dei casi, non è possibile usare l'[[Virtual hosting#Name-based virtual hosting\|hosting virtuale basato sui nomi]] con HTTPS. Esiste una soluzione chiamata [[Server Name Indication]] (SNI) che invia il nome dell'host al server prima di cifrare la connessione, benché molti browser più vecchi non supportino tale estensione. Il supporto per SNI è disponibile a partire da: Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 e Internet Explorer 7 su Windows Vista.<ref>{{Cita web \|url=https://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx \|titolo=Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2 \|cognome=Lawrence Riga 188 ⟶ 223: \|data=22 ottobre 2005 \|accesso=12 maggio 2009 \|urlarchivio=https://web.archive.org/web/20100126041019/http://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx }}</ref><ref>{{Cita web\|url=http://blog.ebrahim.org/2006/02/21/server-name-indication-sni/\|titolo=Server Name Indication (SNI)\|sito=inside aebrahim's head}}</ref><ref>{{Cita web\|url= https://bugzilla.mozilla.org/show_bug.cgi?id=116169 \|titolo= Browser support for TLS server name indication \|accesso= 15 dicembre 2010 \|cognome= Pierre \|nome= Julien \|data= 19 dicembre 2001 \|sito= Bugzilla \|editore= Mozilla Foundation}}</ref>▼ \|dataarchivio=26 gennaio 2010 \|urlmorto=no ▲}}</ref><ref>{{Cita web\|url=http://blog.ebrahim.org/2006/02/21/server-name-indication-sni/\|titolo=Server Name Indication (SNI)\|sito=inside aebrahim's head\|accesso=13 maggio 2016\|urlarchivio=https://web.archive.org/web/20170630170605/http://blog.ebrahim.org/2006/02/21/server-name-indication-sni/\|dataarchivio=30 giugno 2017\|urlmorto=sì}}</ref><ref>{{Cita web \|url= https://bugzilla.mozilla.org/show_bug.cgi?id=116169 \|titolo= Browser support for TLS server name indication \|accesso= 15 dicembre 2010 \|cognome= Pierre \|nome= Julien \|data= 19 dicembre 2001 \|sito= Bugzilla \|editore= Mozilla Foundation \|urlarchivio= https://web.archive.org/web/20181008070112/https://bugzilla.mozilla.org/show_bug.cgi?id=116169 \|dataarchivio= 8 ottobre 2018 \|urlmorto= sì }}</ref> Da un punto di vista architetturale: Riga 204 ⟶ 242: applicazioni web di alto profilo e migliori nel campo della sanità, della tassazione, negli investimenti e nella ricerca web. Nel giugno 2014, un team di ricercatori dell'[[Università della California, - Berkeley]] e [[Intel]] guidati da [http://bradmiller.io Brad Miller], ~~hanno~~ha dimostrato un approccio generalizzato all'analisi del traffico HTTPS basato sull'[[apprendimento automatico]].<ref>{{Cita web\|titolo=Statistical Tricks Extract Sensitive Data from Encrypted Communications\|url=https://www.technologyreview.com/s/528336/statistical-tricks-extract-sensitive-data-from-encrypted-communications/\|editore=MIT Technology Review\|data=19 giugno 2014}}</ref><ref>{{Cita web\|titolo=Researchers Use Big Data to Get Around Encryption\|url=http://blogs.wsj.com/digits/2014/06/23/researchers-use-big-data-to-get-around-encryption/\|editore=The Wall Street Journal\|data=23 giugno 2014\|accesso=13 maggio 2016\|urlarchivio=https://web.archive.org/web/20160318164352/http://blogs.wsj.com/digits/2014/06/23/researchers-use-big-data-to-get-around-encryption/\|dataarchivio=18 marzo 2016\|urlmorto=no}}</ref> I ricercatori hanno dimostrato tale attacco applicato ad un range di siti web, inclusi [[Mayo Clinic]], [[Planned Parenthood]] e [[YouTube]].<ref>{{Cita web\|url=http://bradmiller.io/resources/pets2014.pdf\|titolo=I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis\|autore=Brad Miller, Ling Huang, Anthony D. Joseph, J.D. Tygar\|accesso=13 maggio 2016\|urlarchivio=https://web.archive.org/web/20160531223219/http://bradmiller.io/resources/pets2014.pdf\|dataarchivio=31 maggio 2016\|urlmorto=no}}</ref> L'attacco suppone che l'attaccante sia in grado di visitare le stesse pagine web della vittima per raccogliere informazioni sul traffico di rete che fungono da allenamento dati. L'attaccante successivamente è in grado di identificare somiglianze nelle dimensioni e ordinamenti del pacchetto tra il traffico della vittima e il traffico di allenamento dati che consente all'attaccante di dedurre frequentemente la pagina web esatta che la vittima sta visitando. Per esempio, questo attacco potrebbe essere usato per determinare se un utente che sta visitando il sito web Planned Parenthood sta cercando informazioni su uno screening sanitario preventivo oppure un aborto. Notare che l'attacco non può essere utilizzato per scoprire valori specifici dell'utente incorporati in una pagina web. Per esempio, molte banche offrono interfacce web che consentono agli utenti di prendere visione del proprio saldo di conto corrente. Mentre l'attaccante sarebbe in grado di scoprire che l'utente sta visionando una pagina di visualizzazione del saldo del conto corrente, non sarebbe però in grado di conoscere il valore esatto del saldo del conto corrente o il numero di conto degli utenti. ~~== Storia ==~~ ▲Questo sistema fu progettato dalla [[Netscape Communications Corporation]] che si occupa delle autenticazioni e delle comunicazioni crittografate ed è largamente usato nel ''World Wide Web'' per situazioni che richiedono particolari esigenze in ambito di [[sicurezza informatica\|sicurezza]] come per esempio il pagamento di transazioni online. In questo caso [[Secure Sockets Layer\|SSL]] garantisce la [[Crittografia\|cifratura]] dei dati inviati e ricevuti su [[internet]]. === Implicazioni SEO === Riga 231 ⟶ 266: == Altri progetti == {{interprogetto\|preposizione=sull'}} == Collegamenti esterni == * {{Collegamenti esterni}} * {{FOLDOC}} === Documenti ufficiali === * {{cita web\|https://tools.ietf.org/html/rfc2818\|RFC 2818: HTTP Over TLS}} Riga 243 ⟶ 280: * [https://github.com/kevinjacobs/HTTPS-Finder HTTPS Finder] un'estensione per Firefox che mantiene aggiornata la lista di HTTPS Everywhere. {{Browser Internet}} {{IPstack}} {{Portale\|Sicurezza informatica\|Telematica}} ~~[[Categoria:Protocolli livello applicazione]]~~ [[Categoria:Protocolli crittografici]] [[Categoria:Hypertext Transfer Protocol]]