SSL vs HTTPS
Le comunicazioni su reti o Internet potrebbero diventare molto insicure se non sono state prese le misure di sicurezza appropriate. Questo potrebbe essere fondamentale per applicazioni come le transazioni di pagamento sul web, causando perdite di milioni di dollari al cliente e all'impresa. È qui che arrivano SSL e HTTPS. SSL è un protocollo crittografico utilizzato per fornire sicurezza alle comunicazioni sopra il livello di trasporto. HTTPS è una combinazione di HTTP e SSL che può certificare canali sicuri su reti non sicure.
Cos'è SSL?
SSL (Secure Socket Layer) è un protocollo crittografico utilizzato per garantire la sicurezza delle comunicazioni in corso su Internet. SSL utilizza la crittografia asimmetrica per preservare la privacy e i codici di autenticazione dei messaggi per garantire l'affidabilità di tutte le connessioni di rete al di sopra del livello di trasporto. SSL è ampiamente utilizzato per la navigazione web, e-mail, fax su Internet, IM (messaggi istantanei) e VoIP (Voce-over-IP). SSL è stato sviluppato da Netscape Corporation ed è stato sostituito da TLS (Transport Layer Security). SSL 2.0 è stato rilasciato nel 1995 (la versione 1.0 non è mai stata rilasciata al pubblico) e la versione 3.0 (rilasciata un anno) ha sostituito la versione 2.0 (che aveva diversi difetti di sicurezza significativi). Successivamente, TLS è stato introdotto come SSL 3.1. La versione corrente è SSL 3.3, che è per lo più identificato come TLS 1.2. SSL incapsula i protocolli del livello dell'applicazione come HTTP, FTP e SMTP implementando il livello di trasporto. Tradizionalmente è stato utilizzato con TCP (Transmission Control Protocol) e in misura minore con UDP (User Datagram Protocol). SSL viene utilizzato con HTTP per ottenere HTTPS, che utilizza certificati a chiave pubblica per identificare gli endpoint per le applicazioni come l'e-commerce.
Che cos'è HTTPS?
HTTPS (HTTP Secure) è un protocollo creato combinando i protocolli HTTP (HyeperText Transfer Protocol) e SSL / TLS. HTTPS fornisce comunicazioni sicure tramite crittografia e identifica i punti finali delle connessioni, rendendolo ideale per applicazioni quali transizioni di pagamento su WWW (World Wide Web) o transazioni sensibili nelle società. Fondamentalmente, HTTPS può creare una connessione sicura attraverso una rete non sicura. Se le suite di crittografia utilizzate sono adeguate e i certificati del server sono attendibili, questi canali protetti HTTPS proteggeranno da attacchi di tipo "eavesdroppers" e attacchi Man-in-the-Middle. Tuttavia, anche se HTTPS viene utilizzato, l'utente può garantire che il canale sia completamente sicuro solo se sono soddisfatte tutte le seguenti condizioni: il browser implementa HTTPS correttamente con le CA (autorità di certificazione), le CA garantiscono solo i siti legittimi, il certificato fornito dal il sito è valido, il sito web è correttamente identificato dal certificato e, infine, gli hop intermedi sono affidabili. Tutti i browser moderni avvisano gli utenti se ricevono certificati non validi dai siti Web. Ovviamente all'utente viene data la possibilità di continuare ulteriormente a proprio rischio.
Qual è la differenza tra SSL e HTTPS?
La principale differenza tra SSL e HTTPS è che SSL è un protocollo crittografico, mentre HTTPS è un protocollo creato che combina HTTP e SSL. Ma, a volte, HTTPS non è identificato come un protocollo di per sé, ma un meccanismo che utilizza semplicemente HTTP su connessioni SSL crittografate. In altre parole, HTTPS utilizza SSL per creare una connessione HTTP sicura. A causa della crittografia fornita da SSL, HTTPS è in grado di sopportare attacchi di tipo eavesdropping e man-in-the-middle.