Wikipedia

HTTPS: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
FrescoBot (discussione | contributi)
Bot
3 592 439 modifiche
m Bot: spazio dopo segni di punteggiatura
LauBot (discussione | contributi)
Bot
874 746 modifiche
m Bot: passaggio degli url da HTTP a HTTPS
Riga 1:
[[File:HTTPS icon.png|alt=Icona del lucchetto, che nei browser contraddistingue l'uso di HTTPS.|miniatura|[[Icona]] del lucchetto di HTTPS.]]
 
In [[telecomunicazioni]] e [[informatica]] l'<nowiki/>'''HyperText Transfer Protocol over Secure Socket Layer''' ('''HTTPS'''), (anche noto come '''HTTP over [[Transport Layer Security|TLS]]''',<ref name="HTTP Over TLS">{{Cita web|url=https://tools.ietf.org/html/rfc2818 |titolo=HTTP Over TLS |editore=The Internet Engineering Task Force |data=May 2000 |accesso=27 febbraio 2015 |autore=Network Working Group}}</ref><ref name="HTTPS-ranking-signal">{{Cita web|url=httphttps://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html |titolo=HTTPS as a ranking signal |editore=Google Inc. |sito=Google Webmaster Central Blog |data=6 agosto 2014 |accesso=27 febbraio 2015 |citazione= You can mae your site secure with HTTPS (Hypertext Transfer Protocol Secure) [...]}}</ref> '''HTTP over [[Secure Sockets Layer|SSL]]'''<ref name="Enabling HTTP Over SSL">{{Cita web|url=https://docs.adobe.com/docs/en/cq/5-6-1/deploying/config-ssl.html |titolo=Enabling HTTP Over SSL |editore=Adobe Systems Incorporated |accesso=27 febbraio 2015}}</ref> e '''HTTP Secure'''<ref name="Secure your site with HTTPS">{{Cita web|url=https://support.google.com/webmasters/answer/6073543?hl=en |titolo=Secure your site with HTTPS |editore=Google, Inc. |sito=Google Support |accesso=27 febbraio 2015}}</ref><ref name="What is HTTPS?">{{Cita web|url=https://www.instantssl.com/ssl-certificate-products/https.html |titolo=What is HTTPS? |editore=[[Comodo Group|Comodo CA Limited]] |accesso=27 febbraio 2015 |citazione= Hyper Text Transfer Protocol Secure (HTTPS) is the secure version of HTTP [...]}}</ref>) è un [[protocollo di comunicazione|protocollo per la comunicazione]] sicura attraverso una [[rete di computer]] utilizzato su [[Internet]]. La [[porta (reti)|porta]] utilizzata generalmente (ma non necessariamente) è la 443. Consiste nella comunicazione tramite il protocollo [[Hypertext Transfer Protocol|HTTP]] (Hypertext Transfer Protocol) all'interno di una connessione [[cifratura|criptata]], tramite [[crittografia asimmetrica]], dal [[Transport Layer Security]] (''TLS'') o dal suo predecessore, [[Secure Sockets Layer]] (''SSL'') fornendo come requisti chiave:
# un'[[autenticazione]] del [[sito Internet|sito web]] visitato
# protezione della [[privacy]] (riservatezza o [[confidenzialità]])
Riga 36:
HTTPS è anche molto importante con le connessioni sulla rete [[Tor (software)|Tor]] (acronimo di The Onion Router) per preservare l'anonimato su internet, siccome i nodi Tor maligni possono danneggiare o alterare i contenuti che li attraversano in maniera insicura e iniettano malware dentro la connessione. Per questa ragione l'[[Electronic Frontier Foundation]] (''EFF'') e il progetto Tor hanno avviato lo sviluppo del protocollo [[HTTPS Everywhere]]<ref name="httpse" />, il quale è incluso all'interno del pacchetto Tor Browser.<ref>{{Cita web|url=https://www.torproject.org/projects/torbrowser.html.en|titolo=Tor|autore=The Tor Project, Inc.|sito=torproject.org}}</ref>
 
Nonostante siano divulgate più informazioni riguardo alla sorveglianza globale di massa e al furto di informazioni personali da parte degli [[hacker]], l'uso di HTTPS per la sicurezza su tutti i siti web sta diventando sempre più importante, a prescindere dal tipo di connessione ad internet usata.<ref name="NYT-Embracing-HTTPS">{{Cita web|url=httphttps://open.blogs.nytimes.com/2014/11/13/embracing-https/ |titolo=Embracing HTTPS |editore=The New York Times |data=13 novembre 2014 |accesso=27 febbraio 2015 |autore=Konigsburg, Eitan |autore2=Pant, Rajiv |autore3=Kvochko, Elena}}</ref><ref name="HTTPS-Why-Not">{{Cita web|url=https://freedom.press/blog/2014/09/after-nsa-revelations-why-arent-more-news-organizations-using-https |titolo=Fifteen Months After the NSA Revelations, Why Aren’t More News Organizations Using HTTPS? |editore=Freedom of the Press Foundation |data=12 settembre 2014 |accesso=27 febbraio 2015 |autore=Gallagher, Kevin}}</ref> Mentre i metadati delle pagine individuali che un utente visita non sono informazioni sensibili, quando queste informazioni sono combinate insieme possono svelare molto sull'identità dell'utente e comprometterne la privacy stessa.<ref name="HTTPS-ranking-signal" /><ref name="Google-HTTPS-Everywhere">{{Cita web|url=https://www.youtube.com/watch?v=cBhZ6S0PFCY |titolo=Google I/O 2014 - HTTPS Everywhere |editore=Google Developers |data=26 giugno 2014 |accesso=27 febbraio 2015 |autore=Grigorik, Ilya |autore2=Far, Pierre}}</ref><ref name=deployhttpscorrectly/>
 
L'impiego di HTTPS inoltre consente l'utilizzo dei protocolli [[SPDY]]/[[HTTP/2]], che sono nuove generazioni del protocollo HTTP, progettate per ridurre i tempi di caricamento e la latenza delle pagine web.
Riga 58:
La sicurezza di HTTPS è garantita dal protocollo [[Transport Layer Security|TLS]] sottostante, che in pratica utilizza chiavi private e pubbliche a lungo termine per generare chiavi di sessione a breve termine. Queste chiavi sono utilizzate successivamente per cifrare il flusso dei dati scambiati tra client e server. I certificati definiti dallo standard [[X.509]] sono utilizzati per autenticare il server (a volte anche il client).
Di conseguenza, le [[Certificate authority|autorità certificative]] e i certificati a chiave pubblica sono necessari al fine di verificare il rapporto che sussiste tra il certificato e il suo proprietario, oltre a generare la firma e gestire la validità dei certificati.
Mentre questo può essere più vantaggioso rispetto a verificare le identità attraverso una rete di fiducia, le divulgazioni di massa sulla sorveglianza nel 2013 hanno richiamato all'attenzione le autorità certificative come potenziale punto debole per attacchi [[man in the middle]].<ref>[httphttps://www.wired.com/threatlevel/2010/03/packet-forensics/ Law Enforcement Appliance Subverts SSL], Wired, 2010-04-03.</ref><ref>[https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl New Research Suggests That Governments May Fake SSL Certificates], EFF, 2010-03-24.</ref>
Una proprietà importante in questo contesto è la ''[[forward secrecy]]'', che garantisce che le comunicazioni cifrate registrate nel passato non possano essere recuperate e decifrate e le chiavi di cifratura a lungo termine o le password non siano compromesse in futuro. Non tutti i web server forniscono la ''forward secrecy''.<ref name=ecdhe>[http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html SSL: Intercepted today, decrypted tomorrow], Netcraft, 2013-06-25.</ref>
 
Riga 82:
 
==== Acquisizione dei certificati ====
I certificati firmati autorevolmente possono essere gratuiti<ref>{{Cita web|url=httphttps://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html
|titolo=Free SSL Certificates from a Free Certificate Authority
|editore=sslshopper.com
|accesso=24 ottobre 2009
}}</ref><ref>{{Cita web|url=httphttps://www.techrepublic.com/blog/networking/secure-outlook-web-access-with-free-ssl-part-1/293
|titolo=Secure Outlook Web Access with (free) SSL: Part 1
|autore=Justin Fielding
Riga 133:
|data=19 aprile 2005
|accesso=13 maggio 2009
}}</ref> e Internet Explorer su [[Windows Vista]]<ref>{{Cita web|url=httphttps://msdn.microsoft.com/en-us/library/bb250503.aspx
|titolo=HTTPS Security Improvements in Internet Explorer 7
|cognome=Lawrence
Riga 179:
Questo consente ad un attaccante di aver accesso al testo non formattato (il contenuto statico pubblicamente accessibile) e al testo cifrato (la versione cifrata del contenuto statico), permettendo un attacco crittografico.
 
Poiché TLS opera sotto il protocollo HTTP e non ha conoscenza dei protocolli di livello superiore, i server TLS possono strettamente presentare solo un certificato per una particolare combinazione di porta e indirizzo IP.<ref>{{Cita web|url=httphttps://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts|titolo=SSL/TLS Strong Encryption: FAQ|sito=apache.org}}</ref>
Questo significa che, nella maggior parte dei casi, non è possibile usare l'[[Virtual hosting#Name-based virtual hosting|hosting virtuale basato sui nomi]] con HTTPS. Esiste una soluzione chiamata [[Server Name Indication]] (SNI) che invia il nome dell'host al server prima di cifrare la connessione, benché molti browser più vecchi non supportino tale estensione. Il supporto per SNI è disponibile a partire da:
Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 e Internet Explorer 7 su Windows Vista.<ref>{{Cita web|url=httphttps://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx
|titolo=Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2
|cognome=Lawrence
Riga 212:
 
=== Implicazioni SEO ===
In data 8 agosto 2014 [httphttps://googlewebmastercentral.blogspot.it/2014/08/https-as-ranking-signal.html Google annuncia] che i siti ospitati sotto protocollo HTTPS saranno ritenuti maggiormente affidabili agli occhi del motore di ricerca. Il protocollo HTTPS viene annunciato ufficialmente come fattore di ranking.
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/HTTPS"