Come descritto in questo articolo l’http, così come altri protocolli Internet, è stato ideato per funzionare e non per essere garanzia di sicurezza. Con l’applicazione di questi protocolli a situazioni in cui è richiesta una certa sicurezza si ha avuta la necessità di crittografia e si è abbinato a questo protocollo l’SSL. Tale protocollo è destinato a garantire che le informazioni che transitano nei messaggi http passino attraverso un tunnel crittografato inaccessibile a tutti fuorché al mittente e al destinatario naturale dei messaggi.

L l’http più il tunnel SSL prende il nome di https.

Come ho già indicato nell’articolo sul SSL una delle fasi principali di questo protocollo è lo scambio di certificati.

Abbiamo inoltre indicato nell’articolo sui pagamenti che la presenza dell’HTTPS è fondamentale quando si inseriscono dati sensibili. Cerchiamo di capire il perché.

Un attore che invia un certificato vuole garantire ad un altro attore la sua autorità, quindi un certificato lato server indica che il server è fidato, un certificato lato client indica che il client è fidato. Il motivo per cui è necessario certificare la propria identità si deve ricercare nell’importanza delle informazioni che si devono scambiare. Supponiamo che un utente stia effettuando delle operazioni di pagamento con carta di credito presso un sito di e-commerce. L’utente dovrà inserire il suo numero di carta di credito all’interno di un form su un server web ed avrà necessità quindi di verificare che il server sia effettivamente chi dice di essere (es. l’istituto di credito preposto alla commissione del pagamento). Un certificato assicura all’utente l’autorità di tale server delegando poi all’SSL record protocol l’inizio della comunicazione crittografata. Supponiamo invece che un medico abbia facoltà di inserire attraverso un applicativo web dell’ospedale dei dati riguardanti la condizione di degenza di un suo paziente, e possa fare questo dal suo studio privato. Oltre un certificato lato server che assicuri al medico di non inserire informazioni sensibili nell’applicativo web di una azienda diversa dall’ospedale, è necessario che l’ospedale tuteli la sua banca dati garantendo che l’utente che inserirà i dati (il medico in questo caso) abbia effettivamente l’autorità per farlo. In questo caso il server richiederà al client un certificato che sarà validato ovvero ne sarà verificata l’attendibilità. Solo in questo caso inizierà la comunicazione crittografata.