Mi hanno lasciato un commento interessante alla cosa di computer in cui spiego cosa vuol dire “sito non sicuro”. Il commento dice: “https non è mai sempre sicuro visto che molti usano certificati gratuiti e poco sicuri”. Che vuol dire esattamente? Cos’è https e come funziona esattamente?
Intanto rispondo subito al commento in questione. Si, è vero che molti usano certificati gratuiti. Però non è vero che i certificati https gratuiti sono poco sicuri. “Gratuito” non significa necessariamente “poco sicuro”. È una questione di matematica, legata al concetto di cifratura (o crittografia). Immagina questo scenario: Alice e Bob sono due amanti che vogliono comunicare impedendo ad Eve, l’impicciona, di capire quello che si dicono.
Non è materialmente possibile impedire che Eve si metta in ascolto sul canale di comunicazione usato da Alice e Bob. L’unica cosa che si può fare è usare un espediente matematico che renda le parole inviate da Alice a Bob (e viceversa) comprensibili solo da loro.
Questo espediente matematico si chiama “crittografia a chiave pubblica” ed è un argomento molto tecnico. Ma non è necessario conoscerne tutti i segreti per capire cos’è https: ti basti solo sapere che Eve può anche intercettare il messaggio, ma non sarà mai e poi mai in grado di comprenderne il contenuto: le arriveranno solo una serie di caratteri apparentemente casuali ed assolutamente illeggibili. Tutta la sicurezza informatica moderna è basata su questo concetto.
Quando ti colleghi ad un sito web, ad esempio quello della tua banca, vuoi essere sicuro che nessuno possa leggere i dati che invii (ad esempio il tuo nome utente e la tua password). E questo si ottiene mediante il protocollo https: è una serie di regole che vengono usate per cifrare la comunicazione tra te ed il sito web che vuoi visitare. Puoi facilmente capire se un sito web è sicuro o meno guardando il suo indirizzo: se inizia con “http://” non è sicuro. Se invece inizia con “https://”, allora il sito è sicuro. O meglio: la comunicazione è cifrata.
Per come funziona https, è necessario che il sito web usi un “certificato”, erogato da un fornitore. Alcuni fornitori sono gratuiti, altri sono a pagamento. Quelli gratuiti non sono meno sicuri degli altri: il fornitore del certificato non ha modo di decifrare i dati che passano da una connessione crittografata. È matematicamente impossibile.