L’adozione del protocollo HTTPS per l’accesso al sito della propria azienda garantisce un canale di comunicazione criptato e certificato dal Transport Layer Security (TLS) tra il client e il server e risponde, quindi, all’esigenza di un livello di adeguatezza delle misure di sicurezza richiesta dall’articolo 32, lettera b, del GDPR, il Regolamento UE sulla protezione dei dati: “…capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
Usando questa particolare misura tecnica, il titolare del trattamento che utilizza piattaforme Web per la comunicazione di dati personali adotta in pieno il principio di accountability introdotto proprio con il GDPR (che, lo ricordiamo per completezza di informazione, non riporta comunque alcuna indicazione esplicita sull’utilizzo del protocollo HTTPS).
Indice degli argomenti
Cos’è e come funziona il protocollo HTTPS
Con la modalità di trasmissione garantita dall’HTTPS solo il client e il server sono in grado di conoscere il contenuto di una comunicazione, in quanto lo scambio informativo tra i due nodi della Rete è crittografato e garantito da certificati di crittografica asimmetrici che attestano l’associazione univoca tra una chiave pubblica e l’identità dell’utente. Nei protocolli HTTP e HTTPS la Uniform Resource Identifier (URI) è analoga, tuttavia in HTTPS viene usato un livello aggiuntivo di cifratura SSL/TLS per proteggere le comunicazioni. L’HyperText Transfer Protocol over Secure Socket Layer rispetta dunque i principi di autenticazione (del sito web visitato), riservatezza del dato e integrità del dato.
Con l’entrata in vigore a pieno regime del GDPR (che enfatizza l’importanza della crittografia) e con la segnalazione dei browser in merito al livello di sicurezza dei siti web, il numero delle aziende che hanno implementato la comunicazione web criptata è aumentato. Tuttavia ci sono ancora siti “in chiaro”, basati cioè sul protocollo HTTP (HyperText Transfer Protocol) privo di certificato di security che utilizza generalmente la porta TCP 80, dove le informazioni scambiate non sono crittografate e non garantiscono i principi di Data Confidentiality, Data Integrity e Authentication.
Diversamente, con il protocollo HTTPS si utilizza un canale di comunicazione criptato, in grado di garantire riservatezza e identità del dato scambiato su Internet. Tale protocollo, nato nel 1994, utilizza generalmente la porta di comunicazione 443.
L’HTTPS per evitare eventuali data breach
Dato il crescente numero di attacchi che vengono sferrati con una frequenza sempre maggiore (e che purtroppo spesso vanno in porto), in un contesto in cui le minacce digitali si arricchiscono di nuove varianti diventa fondamentale, per ogni azienda, proteggere il proprio business e adottare strategie di data protection per i clienti. All’aumentare della complessità, di fronte a cyber criminali sempre più competenti, a minacce sempre più complesse e sofisticate, è necessario aggiornare la strategia difensiva, adottando nuovi approcci.
Lo scambio di comunicazioni crittografate è parte integrante di ogni strategia difensiva, costituisce una misura di sicurezza che aziende e titolari sono chiamati ad implementare.
Quali sono i rischi che si corrono utilizzando una trasmissione non crittografata?
Una comunicazione “in chiaro” (senza crittografia) è rischiosa. I cyber criminali potrebbero infatti intercettare, manipolare e rubare dati e informazioni o addirittura prendere l’identità del destinatario o del mittente in un messaggio e-mail (eavesdropping). Esempio: l’utente Luca crede di scrivere e ricevere risposte da Mario, mentre in realtà potrebbe ricevere risposte da un potenziale attaccante.
La suddetta tipologia di attacco è definita Man in the middle (in italiano “uomo nel mezzo”) e la definizione è spesso abbreviata con le sigle: MITM, MIM, MITMA.
Come riconoscere una connessione HTTPS
Per incentivare la migrazione verso siti sicuri, tutti i browser visualizzano oramai lo status dei website:
- un’icona a forma di lucchetto di colore grigio o verde significa che il sito è sicuro ed ha un certificato attendibile (in Microsoft Edge il lucchetto grigio indica: sito web crittografato e verificato; il lucchetto verde indica un certificato di convalida più esteso (EV, Extended Validation) che richiede un processo di verifica dell’identità molto rigoroso);
- un’icona a forma di cerchio con il simbolo di Informazioni significa “sito non sicuro”;
In particolare, Chrome è molto esplicito e indica, oltre l’icona, anche la parola sicuro/non sicuro oppure “pericoloso” (mediante un’icona di colore rosso a forma di triangolo). I siti pericolosi sono quelli che sono stati segnalati dal servizio “Navigazione sicura di Google”, un servizio che esamina miliardi di URL, software e i contenuti delle relative pagine.
Cliccando sulle suddette icone è possibile sapere, nel caso di siti sicuri, chi ha rilasciato il certificato di sicurezza come pure la validità ed altre informazioni.
Va da sé che qualsiasi utente dotato di buon senso non effettuerà mai una transazione commerciale su un sito etichettato come “non sicuro”, si sentirà incerto nel trasmettere i propri dati e, alla fin fine, abbandonerà la navigazione, cercando nel Web siti più affidabili.
L’importanza di un certificato HTTPS
Perché allora circa il 20% dei siti utilizzano ancora il protocollo HTTP? Ritengo che la causa non sia di ordine economico (ottenere un certificato di sicurezza costa un centinaio di euro, alcuni provider lo rilasciano addirittura gratuitamente) ma è da ricercarsi in un approccio culturale come pure in una mancanza di competenze o di organizzazione.
I “disguidi”, per un webmaster che gestisce un sito Internet, nel migrare da HTTP a HTTPS sono minimi: bisogna avere o fare un backup del sito stesso, come pure un backup di tutte le comunicazioni e-mail che potrebbero, in alcuni casi, andar perse se si usa una Webmail. Successivamente bisogna modificare le impostazioni del CMS (Content Management System, cioè le applicazioni come WordPress usate per la gestione dei contenuti pubblicati on-line), fare un redirect 301 da HTTP verso HTTPS, cambiare i link interni, aggiornare tutti i link nel template e nei plugin per eliminare i richiami in HTTP e così via.
Sono operazioni che, qualsiasi, webmaster professionista è in grado di effettuare nel giro di breve (in alcuni casi è l’hosting provider ad effettuare tutta la procedura di migrazione).
Alla fine del processo, nonostante il redirect, può capitare che per un certo periodo di tempo ci siano ancora dei browser che visualizzano il vecchio protocollo: questo si verifica, generalmente, perché i motori di ricerca devono indicizzare il sito (se abbiamo cambiato il provider di hosting, per i motori di ricerca il nostro è un “nuovo sito” ancora da indicizzare): se questo si verifica il consiglio è quello di accelerare l’indicizzazione segnalando ai motori il nuovo URL con HTTPS.
HTTPS e Google: perché un sito in HTTPS è meglio per il SEO
Quali sono i vantaggi in termini SEO? I motori di ricerca “ci mettono la faccia” nel portare un sito in vetta alle classifiche in quanto ne garantiscono il contenuto e attualmente anche il livello di sicurezza. Il protocollo HTTPS consente quindi un ranking migliore, un posizionamento “non penalizzato”.
Tra gli altri vantaggi sono da annoverare la Web Reputation, la solidità del business e l’aumento di fiducia in prospect e clienti, tenuto conto del fatto che circa l’80% dei visitatori abbandona la navigazione in un sito non in grado di garantire un adeguato livello di sicurezza.
Il consiglio, rivolto ad aziende e professionisti che ancora non hanno adottato la comunicazione Web crittografata, è quello di agire subito, “senza se e senza ma”! La crescita, la solidità, lo “stato di salute” del business si baseranno sempre di più sul livello di affidabilità e sicurezza che siamo in grado di fornire agli stakeholder.
