Come si possono fare acquisti su un sito web e sentirsi sicuri nell’inviare informazioni riservate e personali? Prima di arrivare a destinazione, i nostri dati, il numero della carta di credito e qualsiasi altra informazione ci riguardi, attraversa l’infinità della rete… luogo in cui certamente non mancano le insidie.

Il normale traffico effettuato attraverso il browser si basa sul protocollo HTTP (Hyper Text Transfer Protocol), un’applicazione che si preoccupa solo del trasferimento delle informazioni tra il mittente ed il destinatario, senza porre in relazionare i dati tra le sessioni precedenti e le successive. Questo, in termini pratici, significa minore quantità di dati da trasferire e dunque maggior velocità. Il traffico HTTP avviene, in ricezione e trasmissione, mediante protocollo TCP (Transmission Control Protocol) sulla porta 80 del nostro computer.

Sintatticamente identico al protocollo impiegato per la normale navigazione in rete, l’ HTTPS (Secure HyperText Transfer Protocol) impiega, oltre ad i protocolli TCP e HTTP, un ulteriore livello che si occupa della crittografia ed autenticazione dei dati trasmessi, chiamato SSL (Secure Sockets Layer). I dati transitano sulla porta 443 anziché 80.

Ipotizziamo di esser seduti davanti al nostro PC e navigare in internet con un browser qualsiasi come Internet Explorer, Firefox, Chrome… Il software di navigazione non fa altro che interpretare le istruzioni che giungono via HTTP e trasformarle secondo il disegno di chi ha creato la pagina web che visitiamo. Oltre a sapere cosa fare se clickiamo su un link (e poche altre operazioni) il browser non è in grado di fare altro. Come i dati transitino da un punto all’altro o se questi siano più o meno completi, non è compito che gli riguarda. Del resto, è lo scotto da pagare se vogliamo che la trasmissione dei dati sia molto veloce; in fondo cosa ci interessa crittografare il flusso delle informazioni quando consultiamo le ultime notizie dell’ANSA o leggiamo un post su maxlaconca.com !

Con l’HTTPS la situazione è diversa. La sicurezza diventa necessaria e dunque rendere univoci i mittenti ed i rispettivi destinatari delle informazioni diventa indispensabile. Il protocollo SSL prende i dati, in entrata come in uscita, e li cripta attraverso un algoritmo matematico che li rende praticamente indecifrabili. Più è complesso l’algoritmo più risultano blindati i dati trasmessi, più risulta difficile violarne la riservatezza.

L’operazione di criptaggio avviene quando il proprietario di un sito web acquista un certificato da un’autorità di certificazione, come Verisign, o lo genera in proprio. Questo certificato non è altro che un codice di notevole complessità creato ad hoc per uno specifico utente e per uno specifico sit,  in una specifica sessione. Oltre il codice vengono acquisite anche informazioni aggiuntive relative alle entità interessate, come ad esempio il nome del server che ospita il sito o gli indirizzi IP.

Tutto ciò allo scopo di rendere evidentemente il più affidabile possibile il sito al quale ci apprestiamo ad inviare le nostre informazioni riservate. Il browser in presenza di una connessione HTTPS visualizza una finestra con tutti i dati caratteristici della connessione e chiede all’utente l’eventuale accettazione del certificato.

Che la sicurezza in rete non sia assoluta non è certamente qui che lo scopriamo. Evidentemente, nonostante tutti i controlli e le verifiche impiegate per la crittografia SSL, non possiamo dirci mai sicuri al 100%. Gli errori possono avvenire anche per semplice distrazione nella digitazione di indirizzi simili, spesso creati ad arte per confondere e truffare la gente, o se vittime di phishing, oppure molto prima che inviamo i dati in rete, se siamo stati oggetto di un attacco da parte di malintenzionati che, nella nostra piena inconsapevolezza, riescono a catturare da remoto tutto ciò che scriviamo sulla nostra tastiera!