Upgrade to Pro — share decks privately, control downloads, hide ads and more …

How I learned to understand HTTPS [ITA]

How I learned to understand HTTPS [ITA]

HTTPS speigato semplice, adatto ad un pubblico non tecnico.

Giuseppe Mazzapica

September 27, 2018
Tweet

More Decks by Giuseppe Mazzapica

Other Decks in Technology

Transcript

  1. WP Meetup Catania 27 Settembre 2018 Giuseppe Mazzapica WordPress Engineer

    at Inpsyde Open Source Lover & Maintainer WordPress Stack Exchange Moderator WordCamp Speaker @gmazzap gmazzap.me
  2. WP Meetup Catania 27 Settembre 2018 I server sono computers.

    Internet non è fatta di nuvole, ma di server. I computers «parlano» tra di loro in molti e diversi modi.
  3. WP Meetup Catania 27 Settembre 2018 I vari «linguaggi» con

    cui parlano i computer vengono detti «protocolli», e cambiano a seconda del perché stanno parlando. Il protocollo usato per «scambiarsi» dati riguardanti pagine web è l’HTTP: HyperText Transfer Protocol GET /awesome-cat.png Host: emergencykittens.tumblr.com 200 OK Content-Length: 120321 Content-Type: image/png Kg£™ä€´øîÙƺo{›ùêxãøönÊ"w¤ ¢\9’wyŒ@ÉP úÔÀ|ðó¦–× ¢\9’wyŒ@ 1o:ÓËÉ#÷.‹@ô1ÀàÅtlD 2N`+0;HA®þOÇÝÊ@$#W&Y—ÀOà@˜ ¦²‹ úÔÀ úÔÀ É1¼^„«&óÀÌËÐKÅqƺo{›ùêxãøönÊ"w¤ ¢\9’wy úÔÀ úÔÀ úÔÀÙƺo{›
  4. WP Meetup Catania 27 Settembre 2018 Le comunicazioni tra computer,

    non sono troppo diverse dalle comunicazioni telefoniche tra umani, ci può sempre essere qualcuno (più o meno malintenzionato) all’ascolto...
  5. WP Meetup Catania 27 Settembre 2018 Il modo più antico

    per difendersi da chi «origlia» le conversazioni è parlare «in codice» Anche i computer possono parlare «in codice», attraverso messaggi crittografati La crittografia moderna usata dai computer è di tipo asimmetrico: la chiave di codifica e quella di decodifica sono diverse.
  6. WP Meetup Catania 27 Settembre 2018 chiave privata chiave pubblica

    Il mittente conosce solo la chiave pubblica e la usa per la codifica Il destinatario è l’unico a conoscere la chiave privata e la usa per la decodifica Dati Originali Dati Criptati Dati Decriptati (uguali agli originali) Crittografia Asimmetrica La «coppia» di chiavi è generata dal destinatario
  7. WP Meetup Catania 27 Settembre 2018 Nella crittografia asimmetrica, chi

    invia il messaggio deve conoscere la chiave publica del destinatario. Quando i computer comunicano via HTTP, la chiave publica dei server è resa nota tramite un certificato. Il protocollo di cifratura usato in questo caso è il TSL (successore del SSL), per questo i certificati vengono spesso chiamati «certificati SSL».
  8. WP Meetup Catania 27 Settembre 2018 How I learned to

    understand... Le comunicazioni HTTP, quando criptate via TSL grazie ad un certificato SSL, danno vita ad una variante più «sicura» del protocollo HTTP che si chiama HTTPS.
  9. WP Meetup Catania 27 Settembre 2018 Quando ci si connette

    ad un server che ha un certificato SSL (anche «base») la comunicazione da HTTP diventa HTTPS. Il browser mostra un «lucchetto» accanto all’indirizzo. Con HTTPS siamo sempre sicuri che: Il sito con cui comunichiamo è davvero quello che vogliamo visitare I dati che inviamo e riceviamo sono criptati e non possono essere intercettati o manomessi
  10. WP Meetup Catania 27 Settembre 2018 Fino a qualche anno

    fa i certificati SSL erano a pagamento e solo i siti su cui transitavano dati sensibili (password, carte di credito) erano tenuti ad averli. Nel 2018 per la prima volta il numero di siti in HTTPS ha superato il numero dei siti in HTTP. Oggi un certicato SSL «base» (DV) si può ottenere gratuitamente tramite l’authority senza scopo di lucro Let’s Encrypt
  11. WP Meetup Catania 27 Settembre 2018 Poiché i certificati SSL

    oggi sono gratis e ottenibili facilmente tutti i siti dovrebbero averne uno. Google Chrome, il browser più diffuso al mondo, dal 2017 mostra l’indicazione «Non sicuro» per i siti senza HTTPS.
  12. WP Meetup Catania 27 Settembre 2018 Un certificato «base» (tipo

    «DV»), oltre a permettere una comunicazione cifrata, garantisce solo il dominio, infatti «DV» sta per «Domain Validation». Se è vero che l’assenza di un certificato SSL (e quindi di HTTPS) garantisce la non sicurezza, la presenza di certificato DV non garantisce la totale sicurezza. In pratica, un certificato di tipo DV garantisce la sicurezza della connessione, ma non garantisce nulla sull’interlocutore.
  13. WP Meetup Catania 27 Settembre 2018 Esistono certificati SSL di

    tipo «avanzato» che oltre a garantire la sicurezza della connessione (non più di un certificato tipo DV) garantiscono anche sull’intestatario del certificato stesso. Si tratta di certificati di tipo OV (Organization Validation) e EV (Extended Validation). Non sono gratuiti e la procedura per ottenerli richiede tempo. Il browser ci informa in caso di certificati EV.