How I learned to understand HTTPS - Giuseppe Mazzapica
Nell'appuntamento di Settembre 2018 del WordPress Meetup Catania, Giuseppe Mazzapica ci ha parlato di HTTPS chiarendo parecchi dubbi circa questo argomento di grande attualità.
cui parlano i computer vengono detti «protocolli», e cambiano a seconda del perché stanno parlando Il protocollo usato per «scambiarsi» pagine web è l’HTTP: HyperText Transfer Protocol GET /awesome-cat.png Host: emergencykittens.tumblr.com 200 OK Content-Length: 120321 Content-Type: image/png Kg£™ä€´øîÙƺo{›ùêxãøönÊ"w¤ ¢\9’wyŒ@ÉP úÔÀ|ðó¦–× ¢\9’wyŒ@ 1o:ÓËÉ#÷.‹@ô1ÀàÅtlD 2N`+0;HA®þOÇÝÊ@$#W&Y—ÀOà@˜ ¦²‹ úÔÀ úÔÀ É1¼^„«&óÀÌËÐKÅqƺo{›ùêxãøönÊ"w¤ ¢\9’wy úÔÀ úÔÀ úÔÀÙƺo{›
per difendersi da chi «origlia» le conversazioni è parlare «in codice» Anche i computer possono parlare «in codice», attraverso messaggi crittografati La crittografia moderna usata dai computer è di tipo asimmetrico: la chiave di codifica e quella di decodifica sono diverse.
Il mittente conosce la chiave pubblica e la usa per la codifica Il destinatario è l’unico a conoscere la chiave privata e la usa per la decodifica Dati Originali Dati Criptati Dati Decriptati (uguali agli originali) Crittografia Asimmetrica La «coppia» di chiavi è generata dal destinatario
invia il messaggio deve conoscere la chiave publica del destinatario. Quando i computer comunicano via HTTP, la chiave publica dei server è resa nota tramite un certificato.
fa i certificati SSL erano costosi, e solo i siti che richiedevano dati sensibili (password, carte di credito) erano tenuti ad averli. Nel 2018 per la prima volta il numero di siti in HTTPS ha superato il numero dei siti in HTTP. Oggi un certicato SSL «base» (DV) si può ottenere gratuitamente tramite l’authority Let’s Encrypt
oggi è gratis e ottenibile facilmente tutti i siti dovrebbero averlo. Google Chrome, il browser più diffuso al mondo, dal 2017 mostra l’indicazione «Non Sicuro» per i siti senza HTTPS.
ad un server che ha un certificato SSL (anche «base») la comunicazione da HTTP diventa HTTPS. Il browser mostra un «lucchetto» accanto all’indirizzo. Con HTTPS siamo sempre sicuri che: Il sito con cui comunichiamo è davvero quello che vogliamo visitare I dati che inviamo e riceviamo sono criptati e non possono essere intercettati o manomessi
«DV») garantisce solo il dominio (oltre a permettere comunicazione cifrata), infatti «DV» sta per «Domain Validation». Se è vero che l’assenza di certificato garantisce la non sicurezza la presenza di certificado DV non garantisce la sicurezza. In pratica, un certificato di tipo DV garantisce la sicurezza della connessione, ma non garantisce nulla sull’interlocutore.
tipo «avanzato» che oltre a garantire la sicurezza della connessione garantiscono anche sull’intestatario del certificato stesso. Si tratta di certificati di tipo OV (Organization Validation) e EV (Extended Validation). Non sono gratuiti e la procedura per ottenerli richiede tempo. Il browser ci informa in caso di certificati EV.
wmc
faithandbrave
seike460
lovee
hinakko2
akkie76
mraible
pospome
gunnarmorling
mackey0225
kishida
bkuhlmann
tomokusaba
jonyablonski
tanoku
keithpitt
mojombo
panda_program
rmw
maggiecrowley
pauljervisheath
geeforr
sonatard
destraynor
edds
