La differenza tra HTTP e HTTPS attiene alla sicurezza della navigazione on-line. In sintesi possiamo affermare, molto semplicemente, che un sito web con HTTPS garantisce un livello di sicurezza maggiore rispetto ad uno con HTTP.
Ma prima di entrare nel dettaglio e capire perché è così, è bene chiarire alcuni concetti di base.
Cosa sono HTTP e HTTPS?
HTTP e HTTPS sono due protocolli. Un protocollo è un set di regole che definiscono il modo in cui due elaboratori debbano effettuare lo scambio di un certo tipo di dati.
Nel caso specifico, sia HTTP che HTTPS sono protocolli utilizzati per il trasferimento degli ipertesti, definiscono, cioè, le regole attraverso le quali un client, sfruttando la connessione Internet, può contattare un server web e scaricare i documenti ipertestuali che costituiscono le pagine dei siti web.
La differenza è nella "S"
Se è vero che entrambi assolvono al medesimo scopo (consentire la navigazione sul web), è altrettanto vero che lo fanno in modo diverso tra loro. Per cogliere la differenza può essere utile ricordare il significato dei due acronimi:
- HTTP è acronimo di HyperText Transfer Protocol
- HTTPS è acronimo di HyperText Transfer Protocol over Secure Socket Layer
Come è intuitivo osservare, in HTTPS la comunicazione tra client e server avviene secondo le stesse regole del protocollo HTTP, ma all’interno di una connessione criptata (over Secure Socket Layer).
Questo significa che i dati da e verso un sito web che utilizza il protocollo HTTPS non viaggiano "in chiaro" ma criptati, evitando così che malintenzionati li possano catturare e/o manomettere durante il tragitto.
Quali sono i vantaggi di HTTPS
Il web sta velocemente migrando verso HTTPS: se fino a qualche tempo fa erano relativamente pochi i siti web ad adottare questo protocollo, oggi sono sempre di più quelli che hanno scelto di proteggere la sicurezza e la riservatezza dei propri utenti facendo ricorso a connessioni criptate.
I vantaggi offerti da HTTPS sono molteplici:
- certezza circa l’effettiva identità del sito web visitato;
- garanzia circa la riservatezza dei dati scambiati col sito web;
- garanzia circa l’integrità dei dati scambiati tra client e sito web.
Quali siti web dovrebbero usare sempre HTTPS?
In realtà tutti i siti web dovrebbero utilizzare HTTPS, ma l’importanza di questo protocollo diventa imprescindibile in tutti quei siti web che, interagendo con l’utente, vi scambiano informazioni sensibili o, comunque, di un certo valore o di una certa importanza. Facciamo qualche esempio:
- Home-Banking
- Sistemi di pagamento on-line
- E-Commerce
- Siti medico-sanitari
- Siti di enti ed istituzioni che offrono servizi ai cittadini
- Social Network
Tutte queste tipologie di siti web non possono prescindere dall’utilizzo di connessioni criptate: i dati trattati, infatti, assumono una notevole importanza per l’utente in quanto coinvolgono il suo patrimonio e/o altri ambiti della sua vita privata meritevoli di una adeguata tutela.
I siti senza HTTPS sono pericolosi?
Un sito non può essere definito pericoloso solo perché privo di un certificato SSL. La presenza di HTTPS deve essere considerata imprescindibile per determinate tipologie di siti web, non per ogni sito web. Un blog, una rivista, un sito aziendale o un qualsiasi altro sito che non raccolga o tratti i dati personali dei propri utenti non comporta nessun rischio particolare e, pertanto, la presenza di HTTPS può essere considerata non indispensabile.
Browser e HTTPS
Tutti i moderni browser di navigazione sono compatibili con il protocollo HTTPS. Da diversi anni, inoltre, i principali browser segnalano in modo evidente la presenza o meno del protocollo HTTPS. Un sito con protocollo HTTP, infatti, verrà definito "non sicuro", mentre uno con HTTPS verrà definito "sito sicuro":
Solitamente i siti web fruiti tramite HTTPS sono contrassegnati da un lucchetto chiuso posizionato accanto all’indirizzo del sito. Il lucchetto può essere di colore grigio o verde a seconda del browser utilizzato e/o del tipo di certificato SSL di cui è dotato lo specifico sito web che si sta navigando.