29 Novembre 2021
Expand search form

Quale protocollo di crittografia viene usato per https?

HTTPS (Hypertext Transport Protocol Secure) è un protocollo che assicura l’integrità e la riservatezza dei dati mentre passano tra un sito web e il dispositivo di un utente. I visitatori di un sito web si aspettano che le informazioni che forniscono non cadano nelle mani dei truffatori. Raccomandiamo quindi l’uso di HTTPS per tutti i costruttori di siti web (indipendentemente dal contenuto che ospitano).

Sui siti che supportano HTTPS la sicurezza delle informazioni è garantita dall’uso di TLS (Transport Layer Security), che fornisce tre livelli di sicurezza:

  1. Crittografia Crittografare i dati che vengono trasmessi in modo che non possano trapelare. Questo significa che gli aggressori non saranno in grado di scoprire quali informazioni vengono scambiate tra i visitatori del sito, tracciare le loro azioni sul sito, o accedere ai loro dati.
  2. Integrità dei dati. Qualsiasi alterazione o distorsione dei dati trasmessi sarà registrata, indipendentemente dal fatto che sia stata fatta intenzionalmente o meno.
  3. Autenticazione di assicura che i tuoi visitatori vadano al sito che vogliono e li protegge dall’essere presi di mira da un intermediario. Gli utenti avranno più fiducia nel vostro sito, e quindi nel vostro business.

Suggerimenti per l’uso di HTTPS

Usare certificati di sicurezza forti

Se decidi di usare HTTPS sul tuo sito web, devi ottenere un certificato di sicurezza. Questo viene emesso da un’autorità di certificazione che verifica che l’indirizzo web specificato appartenga effettivamente alla vostra organizzazione. Questo protegge i tuoi visitatori dagli attacchi dell’intermediario. Per garantire un alto livello di sicurezza, seleziona un certificato con una chiave a 2048 bit. Se stai già usando un certificato con una chiave meno sicura (1024 bit), sostituiscilo con uno a 2048 bit. Segui le raccomandazioni qui sotto quando scegli un certificato.

  • Contattate un’autorità di certificazione fidata che possa fornirvi supporto tecnico.
  • Determinate quale tipo di certificato è meglio per voi:
    • Un singolo certificato per una singola risorsa sicura ( www.example.com ).
    • Un certificato multidominio per diverse risorse protette preconosciute (per esempio www.example.com, cdn.example.com, example.co.uk ).
    • Certificato modello per una risorsa sicura che utilizza sottodomini dinamici (ad esempio a.example.com, b.example.com ).

    Utilizzare il reindirizzamento permanente del server

    Usate il reindirizzamento costante del server per reindirizzare gli utenti e i motori di ricerca a una pagina o risorsa abilitata HTTPS.

    Assicurati che le pagine HTTPS possano essere scansionate e indicizzate

    • Usa il controllo dell’URL per verificare che le pagine possano essere scansionate.
    • Non bloccate il crawling del vostro sito HTTPS con un file robots.txt.
    • Non mettere tag noindex sulle pagine HTTPS.

    Utilizzare la tecnologia HSTS

    Raccomandiamo di usare HSTS (HTTP Strict Transport Security) sui siti che usano HTTPS. Quando questo viene fatto, il browser richiederà pagine HTTPS anche se l’utente inserisce http nella barra degli indirizzi e Google mostrerà solo URL sicuri nei risultati di ricerca. Questo rende la probabilità di mostrare contenuti non protetti il più basso possibile.

    Se hai bisogno di usare HSTS, assicurati che il tuo server web lo supporti e ricordati di abilitarlo nelle impostazioni del server.

    HSTS aumenta la sicurezza, ma rende più difficile il rollback. Perciò si consiglia di abilitarlo come segue:

    1. Passare a HTTPS senza abilitare HSTS.
    2. Attivare l’invio dell’intestazione HSTS con un valore minimo di max-age . Iniziate a monitorare il volume di traffico degli utenti e degli altri clienti, così come l’efficacia degli oggetti dipendenti come gli annunci.
    3. Aumentare gradualmente il valore dell’età massima nelle impostazioni HSTS.
    4. Se HSTS non rende difficile agli utenti e ai motori di ricerca la navigazione sul web, si può aggiungere il sito alla lista di precaricamento HSTS usata dai browser più popolari. Questo può migliorare la sicurezza e aumentare la velocità di caricamento delle pagine.

    Problemi comuni

    Di seguito sono elencati alcuni dei problemi che si possono incontrare quando si usa la sicurezza TLS e come risolverli.

    Errori comuni e loro soluzioni
    Certificati scaduti Mantenere aggiornati i certificati.
    Nome del sito errato sul certificato. Assicuratevi di ottenere un certificato per tutti gli hostname utilizzati sul vostro sito. Per esempio, se solo www.example.com è specificato nel certificato, un visitatore che cerca di andare su example.com (senza il prefisso www.) non ci arriverà perché il certificato non corrisponde.
    SNI (Server name indication) non è supportato Il vostro server web deve supportare SNI. Raccomanda inoltre ai visitatori di utilizzare browser che funzionano con questa funzione (tutti i browser moderni). Se hai bisogno di fornire supporto per i vecchi browser, usa un indirizzo IP dedicato.
    Problemi con la scansione Non bloccare il crawling del tuo sito HTTPS con un file robots.txt. Leggi di più…
    Problemi di indicizzazione Se possibile, lasciate che i motori di ricerca indicizzino le vostre pagine. Non usare il tag noindex.
    Versioni obsolete dei protocolli Le vecchie versioni dei protocolli sono vulnerabili. Usate le ultime versioni delle librerie TLS e di protocollo.
    Combinazione di elementi protetti e non protetti Solo il contenuto trasmesso tramite HTTPS può essere incorporato in pagine HTTPS.
    Contenuto diverso sulle pagine HTTP e HTTPS. Il contenuto delle pagine che utilizzano HTTP e HTTPS deve essere identico.
    Errori di codice di stato HTTP sulle pagine che usano HTTPS Assicurati che il tuo sito restituisca il corretto codice di stato HTTP. Per esempio, per le pagine accessibili il codice è 200 OK e per le pagine inesistenti il codice è 404 o 410 .

    Come passare da HTTP a HTTPS

    Cambiare il protocollo del sito da HTTP a HTTPS è considerato una migrazione di URL. Questa azione può influenzare temporaneamente la contabilità del traffico. Leggi di più sulle linee guida per la migrazione del sito…

    Assicurati di aggiungere il tuo nuovo sito a Search Console che utilizza il protocollo HTTPS. Search Console tratta le risorse HTTP e HTTPS come diverse, quindi i dati relativi ad esse non sono gli stessi in Search Console.

    Per altri consigli sull’uso delle pagine HTTPS sul tuo sito, consulta la pagina FAQ sulla conversione HTTPS.

    Maggiori informazioni sull’implementazione di TLS

    I link qui sotto forniscono risorse per aiutarti ad aggiungere il supporto TLS al tuo sito:

    Tranne quando diversamente specificato, il contenuto di questa pagina è concesso in licenza sotto la Creative Commons Attribution 4.0 License, e gli esempi di codice sono concessi in licenza sotto la Apache 2.0 License. Per i dettagli, vedi le politiche del sito degli sviluppatori di Google. Java è un marchio registrato di Oracle e/o dei suoi affiliati.

    Potresti anche essere interessato agli argomenti

    Come è criptato HTTPS?

    HTTPS prende il ben noto e compreso protocollo HTTP, e stratifica semplicemente un livello di crittografia SSL/TLS (di seguito chiamato semplicemente “SSL”) sopra di esso. I server e i clienti parlano ancora esattamente lo stesso HTTP tra loro, ma su una connessione sicura SSL che cripta e decripta le loro richieste e risposte.

    HTTPS è TLS o SSL?

    In HTTPS, il protocollo di comunicazione è criptato utilizzando Transport Layer Security (TLS) o, precedentemente, Secure Sockets Layer (SSL). Il protocollo è quindi indicato anche come HTTP su TLS, o HTTP su SSL.

    HTTPS è un AES?

    AES è un cifrario, un metodo per criptare e decriptare le informazioni. Ogni volta che trasmetti file su protocolli di trasferimento file sicuri come HTTPS, FTPS, SFTP, WebDAVS, OFTP, o AS2, c’è una buona probabilità che i tuoi dati siano criptati da qualche tipo di cifratura AES – AES 256, 192, o 128.

    Quale protocollo di crittografia viene usato per SSL?

    Protocollo SSL/TLS
    Il protocollo SSL/TLS cripta il traffico internet di tutti i tipi, rendendo possibile una comunicazione internet sicura (e quindi il commercio su internet).

    TLS 1.1 è sicuro?

    L’esistenza di TLS 1.0 e 1.1 su internet rappresenta un rischio per la sicurezza. I client che usano queste versioni soffrono delle loro carenze, mentre il resto di internet è vulnerabile a vari attacchi che sfruttano vulnerabilità note, per quasi nessun beneficio pratico.

    Qual è la differenza tra la crittografia SSL e TLS?

    SSL è un protocollo crittografico che utilizza connessioni esplicite per stabilire una comunicazione sicura tra server web e client. TLS è anche un protocollo crittografico che fornisce una comunicazione sicura tra server web e client tramite connessioni implicite.

    TLS è sempre HTTPS?

    HTTPS è solo il protocollo HTTP ma con la crittografia dei dati tramite SSL/TLS. SSL è il protocollo originale e ora deprecato creato da Netscape a metà degli anni ’90. TLS è il nuovo protocollo per la crittografia sicura sul web mantenuto da IETF.

    Come faccio a sapere se ho SSL o TLS?

    Inserisci l’URL che vuoi controllare nel browser. Fai clic con il tasto destro del mouse sulla pagina o seleziona il menu a discesa Pagina e seleziona Proprietà. Nella nuova finestra, cerca la sezione Connection. Questa descriverà la versione di TLS o SSL utilizzata.

    Perché RSA è meglio di AES?

    Poiché non esiste un metodo noto per calcolare i fattori primi di numeri così grandi, solo il creatore della chiave pubblica può generare anche la chiave privata necessaria per la decrittazione. RSA è più intensivo dal punto di vista computazionale di AES, e molto più lento. Normalmente viene usato per criptare solo piccole quantità di dati.

    AES è sicuro nel 2020?

    Alla fine, AES non è mai stato decifrato ed è sicuro contro qualsiasi attacco di forza bruta, contrariamente alle credenze e agli argomenti. Tuttavia, la dimensione della chiave utilizzata per la crittografia dovrebbe essere sempre abbastanza grande da non poter essere decifrata dai computer moderni, nonostante i progressi nella velocità dei processori basati sulla legge di Moore.

    Quanto è sicuro HTTPS?

    HTTPS è molto più sicuro di HTTP. Quando ti connetti a un server protetto da HTTPS – siti sicuri come quelli della tua banca ti reindirizzano automaticamente a HTTPS – il tuo browser controlla il certificato di sicurezza del sito web e verifica che sia stato emesso da un’autorità di certificazione legittima.

    Qual è la differenza tra SSL e TLS?

    Transport Layer Security (TLS) è il protocollo successivo a SSL. TLS è una versione migliorata di SSL. Funziona più o meno allo stesso modo di SSL, usando la crittografia per proteggere il trasferimento di dati e informazioni. I due termini sono spesso usati in modo intercambiabile nell’industria, anche se SSL è ancora ampiamente usato.

    Perché TLS 1.1 non è sicuro?

    L’esistenza di TLS 1.0 e 1.1 su internet rappresenta un rischio per la sicurezza. I client che usano queste versioni soffrono delle loro carenze, mentre il resto di internet è vulnerabile a vari attacchi che sfruttano vulnerabilità note, per quasi nessun beneficio pratico.

    TLS 1.0 può essere violato?

    Un aggressore può decifrare i dati scambiati tra due parti sfruttando una vulnerabilità nell’implementazione della modalità Cipher Block Chaining (CBC) in TLS 1.0.

    TLS sostituisce SSL?

    Transport Layer Security (TLS) è il protocollo successivo a SSL. TLS è una versione migliorata di SSL. Funziona più o meno allo stesso modo di SSL, usando la crittografia per proteggere il trasferimento di dati e informazioni. I due termini sono spesso usati in modo intercambiabile nell’industria anche se SSL è ancora ampiamente usato.

Articolo precedente

Il pino trattato a pressione si deforma?

Articolo successivo

Quali sono le differenze strutturali tra le radici monocot e dicot?

You might be interested in …