Upgrade to Pro — share decks privately, control downloads, hide ads and more …

How I learned to understand HTTPS [ITA]

How I learned to understand HTTPS [ITA]

HTTPS speigato semplice, adatto ad un pubblico non tecnico.

Giuseppe Mazzapica

September 27, 2018
Tweet

More Decks by Giuseppe Mazzapica

Other Decks in Technology

Transcript

  1. WP Meetup Catania 27 Settembre 2018
    How I
    to
    learned
    understand
    HTTPS

    View Slide

  2. WP Meetup Catania 27 Settembre 2018
    Giuseppe Mazzapica
    WordPress Engineer at Inpsyde
    Open Source Lover & Maintainer
    WordPress Stack Exchange Moderator
    WordCamp Speaker
    @gmazzap gmazzap.me

    View Slide

  3. WP Meetup Catania 27 Settembre 2018
    I server sono computers.
    Internet non è fatta di nuvole,
    ma di server.
    I computers «parlano» tra
    di loro in molti e diversi modi.

    View Slide

  4. WP Meetup Catania 27 Settembre 2018
    I vari «linguaggi» con cui parlano i computer vengono detti
    «protocolli», e cambiano a seconda del perché stanno parlando.
    Il protocollo usato per «scambiarsi» dati riguardanti pagine web
    è l’HTTP: HyperText Transfer Protocol
    GET /awesome-cat.png
    Host: emergencykittens.tumblr.com
    200 OK
    Content-Length: 120321
    Content-Type: image/png
    Kg£™ä€´øîÙÆºo{›ùêxãøönÊ"w¤ ¢\9’wyŒ@ÉP úÔÀ|ðó¦–× ¢\9’wyŒ@
    1o:ÓËÉ#÷.‹@ô1ÀàÅtlD 2N`+0;HA®þOÇÝÊ@$#W&Y—ÀOà@˜
    ¦²‹ úÔÀ úÔÀ
    É1¼^„«&óÀÌËÐKÅqƺo{›ùêxãøönÊ"w¤ ¢\9’wy úÔÀ úÔÀ úÔÀÙÆºo{›

    View Slide

  5. WP Meetup Catania 27 Settembre 2018
    Le comunicazioni tra computer, non sono troppo diverse
    dalle comunicazioni telefoniche tra umani, ci può sempre essere
    qualcuno (più o meno malintenzionato) all’ascolto...

    View Slide

  6. WP Meetup Catania 27 Settembre 2018
    Il modo più antico per difendersi da chi «origlia» le
    conversazioni è parlare «in codice»
    Anche i computer possono parlare «in codice», attraverso
    messaggi crittografati
    La crittografia moderna usata dai computer
    è di tipo asimmetrico: la chiave di codifica
    e quella di decodifica sono diverse.

    View Slide

  7. WP Meetup Catania 27 Settembre 2018
    chiave privata
    chiave pubblica
    Il mittente conosce solo
    la chiave pubblica
    e la usa per la codifica
    Il destinatario è l’unico
    a conoscere la chiave privata
    e la usa per la decodifica
    Dati Originali Dati Criptati Dati Decriptati
    (uguali agli originali)
    Crittografia
    Asimmetrica
    La «coppia» di chiavi
    è generata dal destinatario

    View Slide

  8. WP Meetup Catania 27 Settembre 2018
    Nella crittografia asimmetrica, chi invia il messaggio deve
    conoscere la chiave publica del destinatario.
    Quando i computer comunicano via HTTP, la chiave publica
    dei server è resa nota tramite un certificato.
    Il protocollo di cifratura usato in questo caso è il TSL
    (successore del SSL), per questo i certificati vengono spesso
    chiamati «certificati SSL».

    View Slide

  9. WP Meetup Catania 27 Settembre 2018
    How I learned to understand...
    Le comunicazioni HTTP, quando criptate via TSL grazie ad un
    certificato SSL, danno vita ad una variante più «sicura» del
    protocollo HTTP che si chiama HTTPS.

    View Slide

  10. WP Meetup Catania 27 Settembre 2018
    Quando ci si connette ad un server che ha un certificato SSL
    (anche «base») la comunicazione da HTTP diventa HTTPS.
    Il browser mostra un «lucchetto» accanto all’indirizzo.
    Con HTTPS siamo sempre sicuri che:
    Il sito con cui comunichiamo è davvero quello che vogliamo
    visitare
    I dati che inviamo e riceviamo sono criptati e non possono
    essere intercettati o manomessi

    View Slide

  11. WP Meetup Catania 27 Settembre 2018
    Fino a qualche anno fa i certificati SSL erano a pagamento e solo
    i siti su cui transitavano dati sensibili (password, carte di credito)
    erano tenuti ad averli.
    Nel 2018 per la prima volta il numero di siti in HTTPS ha
    superato il numero dei siti in HTTP.
    Oggi un certicato SSL «base» (DV) si può ottenere gratuitamente
    tramite l’authority senza scopo di lucro Let’s Encrypt

    View Slide

  12. WP Meetup Catania 27 Settembre 2018
    Poiché i certificati SSL oggi sono gratis e ottenibili facilmente
    tutti i siti dovrebbero averne uno.
    Google Chrome, il browser più diffuso al mondo, dal 2017
    mostra l’indicazione «Non sicuro» per i siti senza HTTPS.

    View Slide

  13. WP Meetup Catania 27 Settembre 2018
    Un certificato «base» (tipo «DV»), oltre a permettere una
    comunicazione cifrata, garantisce solo il dominio, infatti «DV»
    sta per «Domain Validation».
    Se è vero che l’assenza di un certificato SSL (e quindi di HTTPS)
    garantisce la non sicurezza, la presenza di certificato DV
    non garantisce la totale sicurezza.
    In pratica, un certificato di tipo DV garantisce la sicurezza della
    connessione, ma non garantisce nulla sull’interlocutore.

    View Slide

  14. WP Meetup Catania 27 Settembre 2018
    Esistono certificati SSL di tipo «avanzato» che oltre a garantire
    la sicurezza della connessione (non più di un certificato tipo DV)
    garantiscono anche sull’intestatario del certificato stesso.
    Si tratta di certificati di tipo OV (Organization Validation) e
    EV (Extended Validation). Non sono gratuiti e la procedura per
    ottenerli richiede tempo.
    Il browser ci informa in caso di certificati EV.

    View Slide

  15. WP Meetup Catania 27 Settembre 2018
    Grazie per l’ascolto,
    domande?

    View Slide