 |
Oggi la sicurezza è un tema centrale in qualsiasi operazione noi compiamo. Dato che la maggior parte di queste operazioni si svolge online, sapersi tutelare in questo ambito è diventato fondamentale.
Tra i tanti accorgimenti, ce n'è uno essenziale e semplice da osservare: verificare l'utilizzo di HTTPS da parte dei siti che visitiamo.
📡 L’era del web non sicuro (HTTP)
Fino a qualche anno fa, la maggior parte dei siti web utilizzava il protocollo HTTP (HyperText Transfer Protocol). Questo protocollo è semplice e veloce, ma ha un grave difetto: i dati viaggiano in chiaro. Chiunque si trovi nel mezzo della comunicazione (un hacker, un provider poco affidabile, o anche una Wi-Fi pubblica) può intercettare e leggere tutto il traffico.
🧑💻 Pericoli reali: sniffing, man-in-the-middle, furto di dati
Quando navighi su un sito HTTP e inserisci una password, un numero di carta di credito o anche solo il tuo nome, queste informazioni possono essere intercettate senza alcuno sforzo tecnico straordinario. Questo ha reso evidente la necessità di proteggere le comunicazioni sul web.
🔒 La risposta: HTTPS
HTTPS (HTTP Secure) nasce dall’integrazione tra HTTP e un livello di crittografia TLS (ex SSL). Il compito di HTTPS è:
- Crittografare le comunicazioni
- Garantire l’integrità dei dati (nessuna modifica lungo il percorso)
- Verificare l’identità del sito a cui ci si sta collegando
Ma chi ci assicura che il sito sia davvero chi dice di essere?
🏛 Il ruolo dei certificati digitali
Per stabilire una connessione HTTPS sicura, è necessario che il sito web disponga di un certificato digitale, emesso da una Certification Authority (CA), un’entità fidata.
🧾 Cos’è un certificato digitale?
È un file elettronico che attesta l'ufficialità e contiene:
- Il nome del dominio (es. www.example.com)
- La chiave pubblica del sito
- Le informazioni sulla Certification Authority che lo ha emesso
- La firma digitale della CA
- Una data di scadenza
🔍 Tipologie di certificati HTTPS: DV, OV, EV
Esistono tre principali tipi di certificati HTTPS, che si differenziano per il livello di verifica effettuato sul titolare del sito.
1. ✅ DV - Domain Validation
- Che cosa verifica? Solo il possesso del dominio.
- Come si ottiene? Automaticamente, con un controllo email o DNS.
- Esempi: Let's Encrypt, ZeroSSL.
- Pro: Veloce, gratuito.
- Contro: Non garantisce chi c’è dietro il sito. Un sito truffa può avere un certificato DV.
🔎 Uso comune: blog personali, piccoli progetti, test di sviluppo.
2. 🏢 OV - Organization Validation
- Che cosa verifica? Il possesso del dominio e i dati dell’organizzazione (ragione sociale, indirizzo).
- Come si ottiene? Richiede invio di documentazione aziendale e verifica manuale.
- Pro: Maggiore affidabilità.
- Contro: Più costoso, richiede tempo.
🔎 Uso comune: siti aziendali, portali B2B, piattaforme di gestione clienti.
3. 🏛 EV - Extended Validation
- Che cosa verifica? Tutto quanto previsto per OV, più una verifica approfondita su identità e affidabilità giuridica dell'organizzazione.
- Come si ottiene? Verifica molto rigorosa da parte della CA.
- Pro: Massimo livello di fiducia.
- Contro: Costoso, tempi lunghi di rilascio.
💡 Nei browser, fino a qualche anno fa, il certificato EV faceva comparire il nome legale dell’azienda accanto all’URL (es. "BANCA INTESA SANPAOLO S.p.A.").
🔎 Uso comune: banche, assicurazioni, e-commerce di grandi dimensioni.
🌱 Come nasce un certificato HTTPS?
- Tutto parte da un DV: È la forma minima e necessaria per attivare HTTPS. È il punto di partenza.
- Evoluzione naturale:
- Un sito può iniziare con un DV e poi, per motivi di reputazione o sicurezza, passare a un OV o EV.
- È possibile fare l’upgrade richiedendo un nuovo certificato alla CA e installandolo sul server.
🔍 Come capire che tipo di certificato HTTPS ha un sito?
Non basta vedere il lucchetto per sapere se un certificato è DV, OV o EV. I browser moderni mostrano pochi dettagli visibili, ma ci sono comunque modi per verificare la tipologia di certificato in uso.
🧭 Metodo 1: Controllo dal browser
🔗 Google Chrome / Microsoft Edge / Brave
- Clicca sull'icona del lucchetto nella barra degli indirizzi (a sinistra dell'URL).
- Seleziona "Il collegamento è sicuro" o simili.
- Clicca su "Certificato è valido" (o “Dettagli”).
- Si apre una finestra con le informazioni del certificato.
Nel campo "Subject" o "Emesso a":
- Se vedi solo il dominio, è quasi sicuramente un DV.
- Se vedi anche nome azienda e indirizzo, è un OV.
- Se c'è anche giurisdizione legale e numero di registrazione, è un EV.
🦊 Firefox
- Clicca sul lucchetto → "Connessione sicura".
- Poi "Altre informazioni" → "Visualizza certificato".
- I dettagli del soggetto ti diranno se è DV, OV o EV.
🛠 Metodo 2: Servizi online
Puoi usare servizi gratuiti per analizzare il certificato SSL di un sito:
- SSL Labs – SSL Test
- Censys.io
- crt.sh – per cercare i certificati pubblici
Questi strumenti ti dicono in modo esplicito il tipo di validazione e mostrano tutti i dettagli tecnici del certificato.
💡 Suggerimento per utenti curiosi
Nel campo Organizational Unit o Subject del certificato ci sono spesso indizi diretti:
- Se è vuoto: DV
- Se ha un nome aziendale: OV
- Se ha anche informazioni giuridiche e complete: EV
🕵️ Conclusione
Non tutti i certificati HTTPS sono uguali. Il lucchetto è solo il primo passo: sapere che tipo di certificato è stato emesso ci permette di capire quanto è stata verificata l’identità del sito. Questo è fondamentale, ad esempio, per distinguere tra un semplice blog personale e il sito di una banca.
Ciò che devi avere bene in mente è verificare sempre l'utilizzo di HTTPS da parte di un sito.
Assicurati almento una di queste 2 cose:
- l'indirizzo del sito che stai visitando abbia https:// all'inizio dell'URL (es. https://sitoagenzia.com)
- nella barra degli indirizzi ci sia l'icona del lucchetto 🔐 oppure cliccare sull'icona accanto all'URL e verificare che ci sia la scritta "Connessione sicura"
Follow me #techelopment
Official site: www.techelopment.it
facebook: Techelopment
instagram: @techelopment
X: techelopment
Bluesky: @techelopment
telegram: @techelopment_channel
whatsapp: Techelopment
youtube: @techelopment
