Informativa: Siamo una pubblicazione indipendente. Guadagniamo commissioni se acquisti una VPN tramite certi link sul nostro sito.

HTTPS è davvero sicuro?

Simon Migliano

Aggiornata il 7 settembre 2023

Simon Migliano è un esperto mondiale di VPN. Ha testato centinaia di VPN e le sue ricerche sono state citate da La Repubblica, il Corriere della Sera, La Stampa, e molti altri quotidiani italiani.

Verificato da JP Jones

Il nostro verdetto

HTTP (Hypertext Transfer Protocol) e HTTPS (Hypertext Transfer Protocol Secure) sono entrambi protocolli per il trasferimento di informazioni sul web. L'HTTPS utilizza la crittografia per proteggere i dati da intercettazioni o manomissioni durante il trasferimento. L'HTTP trasferisce i dati senza crittografarli, esponendoli all'intercettazione o alla manipolazione da parte di terzi. Sebbene l'HTTPS sia più sicuro dell'HTTP, non può garantire la protezione da truffe di phishing, malware o altre vulnerabilità dei siti web.

HTTP e HTTPS sono aspetti fondamentali per il funzionamento e la sicurezza dei siti web.

La maggior parte delle persone sa che i siti web HTTP dovrebbero essere più sicuri delle loro alternative HTTP, ma conosci effettivamente la differenza tra i due e quanto sono realmente sicuri?

Breve riassunto: siti web HTTP vs HTTPS

HTTP (Hypertext Transfer Protocol) è uno protocollo di rete standard che consente a diversi sistemi di comunicare in rete. L’HTTP non utilizza la crittografia, il che significa che i dati inviati tramite una connessione HTTP sono visibili a chiunque possa intercettare il traffico.
HTTPS (Hypertext Transfer Protocol Secure) è una versione più sicura di HTTP che utilizza la crittografia SSL o TLS per proteggere i dati durante la trasmissione. HTTPS è essenzialmente HTTP con l’aggiunta della crittografia e della verifica, che impedisce ai dati di essere intercettati e compresi da terzi non autorizzati.

In questa guida spiegheremo il significato di HTTP e HTTPS, le loro differenze e il loro impatto sulla sicurezza online.

Ti spiegheremo anche quanto sono sicuri i siti web HTTPS, in modo da sapere quando adottare ulteriori misure per proteggerti.

CONSIGLIO DEGLI ESPERTI: sebbene una connessione HTTPS possa migliorare la tua sicurezza, non può proteggerti da tutte le minacce. L’HTTP non nasconde i siti web che visiti nemmeno al tuo ISP.

Per una maggiore sicurezza, ti consigliamo di utilizzare una VPN per aggiungere un ulteriore livello di crittografia al tuo traffico web. Le migliori VPN, come ExpressVPN, utilizzano la crittografia AES-256 di livello militare e possono essere usate gratuitamente per 30 giorni.

HTTP vs. HTTPS: qual è la differenza?

HTTP (Hypertext Transfer Protocol) e HTTPS (Hypertext Transfer Protocol Secure) sono entrambi protocolli per il trasferimento di informazioni sul web. La differenza principale tra i due è il livello di sicurezza che offrono.

Puoi riconoscere i siti web che utilizzano il protocollo HTTPS cercando il lucchetto nella barra degli indirizzi del tuo browser.

L’HTTP trasferisce i dati senza crittografia, esponendoli a possibili intercettazioni o manipolazioni. Questo può portare a violazioni dei dati o a minacce come gli attacchi man-in-the-middle (MitM).

L’HTTPS è essenzialmente una versione sicura dell’HTTP. Utilizza SSL (Secure Sockets Layer) o TLS (Transport Layer Security) per crittografare e autenticare i dati trasferiti, garantendo che non possano essere intercettati e compresi da entità non autorizzate.

Sebbene l’HTTPS migliori notevolmente la tua sicurezza, non è a prova di bomba. Può proteggere i tuoi dati da intercettazioni o manomissioni mentre viaggiano tra il browser e il server, ma non può garantire la sicurezza assoluta da tutte le forme di minaccia informatica.

Sei ancora vulnerabile a truffe di phishing, malware e altre vulnerabilità quando navighi su un sito web HTTPS. Inoltre, il tuo ISP può comunque vedere tutti i siti web che visiti.

Per comprendere appieno le differenze tra HTTP e HTTPS, in questa sezione spiegheremo più dettagliatamente ogni protocollo:

Che cosa significa HTTP?

In poche parole, l’HTTP è un linguaggio universale che permette a Internet di funzionare. Come standard di protocollo di rete, regola il modo in cui le richieste vengono formattate e trasmesse tra diversi browser e server Web e le azioni da intraprendere in risposta a comandi specifici.

Ogni volta che si inserisce un URL nel browser, la richiesta di informazioni memorizzate su un server Web viene trasmessa tramite HTTP, consentendo la comunicazione tra sistemi e dispositivi diversi.

Cosa significa HTTPS?

L’HTTPS svolge la stessa funzione dell’HTTPS ma con un ulteriore livello di crittografia e convalida. Utilizza il Secure Socket Layer (SSL) o il Transport Layer Security (TLS) per proteggere i dati inviati tra un browser e un server web.

Le connessioni HTTPS utilizzano anche la crittografia a chiave pubblica per verificare che il server a cui ci si connette sia l’host legittimo del sito web.

La crittografia e l’autenticazione HTTPS prevengono gli attacchi informatici come il DNS hijacking, gli attacchi man-in-the-middle e il domain spoofing, che sono molto più comuni con le normali connessioni HTTP non protette.

Le differenze tra HTTP e HTTPS in breve

Ecco una tabella che spiega le principali differenze tra HTTP e HTTPS:

Caratteristica	HTTP	HTTPS
Velocità	Veloce	Veloce
Crittografia	No	Sì
Trasmissione dei dati	Ipertesto	Crittografato tramite SSL o TLS
Autenticazione	No	Sì
Numero di porta usato	80	443
Compatibilità	Ampia	Ampia
Casi d’uso	Comunicazione non protetta tra browser e siti web	Comunicazione protetta tra browser e siti web

Velocità: poiché HTTPS richiede un Handshake SSL per avviare la crittografia, potrebbe essere leggermente più lento di HTTP. Tuttavia, la differenza di calcolo tra i due protocolli è quasi trascurabile.
Crittografia: l’HTTP è completamente privo di crittografia, il che rende relativamente facile per i malintenzionati accedere ai dati che si muovono tra il browser e il server web. HTTPS utilizza la crittografia asimmetrica a chiave pubblica per proteggere i dati trasmessi.
Trasmissione dei dati: l’HTTP trasmette le informazioni in un ipertesto aperto, il che significa che chiunque lo intercetti può leggere i dati. HTTPS trasmette i dati in forma crittografata, il che significa che anche se vengono intercettati, non possono essere letti.
Autenticazione: l’HTTP non offre alcuna forma di autenticazione del sito web. HTTPS utilizza l’autenticazione del certificato SSL per verificare che un sito web sia protetto.
Numero di porta usato: per impostazione predefinita, la comunicazione HTTP utilizza la porta 80, mentre HTTPS utilizza la porta 443.
Compatibilità: Poiché sia HTTP che HTTPS sono aspetti fondamentali del funzionamento di Internet, sono entrambi compatibili con la maggior parte dei browser e dei server web.
Casi d’uso: sia l’HTTP che l’HTTPS sono utilizzati per facilitare la comunicazione tra browser e server web, con l’HTTPS che offre una comunicazione crittografata più sicura.

I rischi per la sicurezza dei siti web HTTP

I siti Web HTTP presentano diversi problemi di sicurezza dovuti alla mancanza di crittografia e autenticazione tra il browser e il server web. In questo modo è molto più facile per gli aggressori intercettare dati privati o reindirizzare il traffico web verso siti dannosi.

Queste vulnerabilità fanno sì che i siti web HTTP non siano considerati sicuri e che si debba fare attenzione ai dati che si condividono su di essi.

Ecco un elenco più dettagliato dei motivi per cui l’HTTP non è sicuro e perché dovresti evitare i siti web solo HTTP:

I dati HTTP non sono crittografati

Il problema di sicurezza più evidente dei siti Web HTTP è il fatto che le informazioni trasmesse tra il browser e il server web non sono crittografate.

I nostri test Wireshark mostrano che la nostra attività di navigazione è rimasta visibile collegandosi tramite HTTP.

La mancanza di crittografia rende la connessione HTTP un bersaglio privilegiato per gli attacchi man-in-the-middle, in cui attori malintenzionati intercettano – o addirittura alterano – i dati trasmessi tra il browser e il server.

Nessuna convalida del sito web

Le connessioni HTTP non offrono alcuna forma di convalida o autenticazione del sito web. Ciò significa che i malintenzionati possono creare siti web falsi con URL simili per ingannare gli utenti ignari e spingerli a inserire le loro credenziali.

Lo spoofing del dominio si verifica quando malintenzionati si spacciano per siti web legittimi.

Lo spoofing del dominio potrebbe consentire a malintenzionati di accedere ai dati personali di un utente.

I siti HTTP possono essere reindirizzati

Utilizzando una tecnica denominata DNS hijacking, i criminali informatici possono reindirizzare il traffico che utilizza connessioni HTTP non sicure verso siti web dannosi. Questi siti web sono spesso progettati per apparire identici a quelli legittimi, con l’obiettivo di rubare le informazioni personali dell’utente.

Il tuo ISP può monitorare ogni pagina web che visiti

La navigazione con HTTP non garantisce affatto la privacy dal tuo ISP. A meno che non si utilizzi una VPN, l’ISP può monitorare e registrare il nome del dominio e tutte le sottopagine o i file a cui si accede su quel dominio.

In questo scenario, tutti i contenuti inviati e ricevuti dal sito possono essere visti dal tuo ISP. Ciò include il testo e le immagini della pagina web, nonché le ricerche o altre informazioni immesse.

I siti web HTTPS sono completamente sicuri?

L’HTTPS migliora notevolmente la sicurezza online rispetto all’HTTP. La crittografia dei dati inviati tra il browser e il sito web visitato rende molto più difficile per chiunque intercettare o manomettere i dati.

Tuttavia, l’HTTPS non è perfetto e non garantisce che un sito web sia legittimo e sicuro o che i tuoi dati siano privati. Ecco alcuni motivi:

Vulnerabilità SSL/TLS

La sicurezza di HTTPS si basa sui protocolli SSL/TLS (Secure Sockets Layer/Transport Layer Security), in cui occasionalmente sono state rilevate delle vulnerabilità. Anche se di solito queste ultime vengono rapidamente corrette, c’è sempre il rischio che una nuova vulnerabilità scoperta possa essere sfruttata.

Attacchi man-in-the-middle

In alcuni casi, un malintenzionato può ancora eseguire un attacco man-in-the-middle per intercettare i dati tra l’utente e il sito web che sta visitando.

Gli attacchi man-in-the-middle possono ancora verificarsi con le connessioni HTTPS, in particolare sulle reti Wi-Fi pubbliche.

È molto più difficile con HTTPS, ma può essere possibile se si ha accesso alle chiavi SSL private del sito web o se si riesce a sfruttare una vulnerabilità nel protocollo SSL/TLS.

Attacchi di Phishing

HTTPS protegge solo la connessione tra te e il sito che stai visitando. Non verifica il contenuto del sito.

Se un sito web è stato creato per truffare gli utenti o per rubare le loro informazioni, può comunque farlo attraverso una connessione HTTPS sicura. In parole povere: un sito web di phishing ha la stessa probabilità di utilizzare una connessione HTTPS di un sito web legittimo.

Problemi con l’autorità certificativa

I certificati che verificano l’identità di un sito web per HTTPS sono emessi dalle Certificate Authorities (CA). Se una CA è compromessa o si comporta in modo malevolo, potrebbe emettere certificati fraudolenti che consentirebbero a un aggressore di impersonare un sito web legittimo.

Contenuto misto

Se un sito web HTTPS include risorse (come immagini o script) provenienti da una fonte non HTTPS, il browser potrebbe caricare questo contenuto non sicuro, rendendo potenzialmente vulnerabili alcune interazioni.

L’HTTPS non garantisce la sicurezza del Wi-Fi pubblico

Grazie all’adozione dell’HTTPS, le reti Wi-Fi pubbliche sono molto più sicure di un tempo. Ora è molto più difficile per gli aggressori intercettare o manipolare le comunicazioni ai siti web sulle reti aperte, perché i dati non sono più visibili.

HTTPS crea una connessione sicura, ms non può proteggerti da tutti i potenziali rischi sulla sicurezza.

Tuttavia, l’HTTPS non rende le reti Wi-Fi pubbliche completamente sicure. Soprattutto, non protegge le query DNS, quando un aggressore intercetta le richieste DNS e reindirizza l’utente a un server alternativo sotto il suo controllo.

Il tuo ISP può ancora vedere i siti web che visiti

Sebbene l’HTTPS possa impedire alla maggior parte delle terze parti di monitorare i dettagli del tuo traffico web, non impedisce al tuo ISP di monitorare i siti web che visiti.

Quando visiti un sito web HTTPS, il tuo ISP può vedere e registrare il nome del sito che stai visitando, ma non la pagina specifica. Il tuo ISP può anche monitorare il tempo trascorso su ogni pagina web, il dispositivo che stai utilizzando, i timestamp della connessione e le dimensioni delle tue richieste.

Se obbligato per legge, il tuo ISP può anche utilizzare la Deep Packet Inspection (DPI) per identificare i file o le pagine web a cui stai accedendo, anche se è molto improbabile.

Cosa non può fare l'HTTPS?

Ecco un breve riassunto di alcune delle idee sbagliate più comuni associate all’HTTPS:

HTTPS non garantisce che il sito web visitato sia legittimo o sicuro.
HTTPS non impedisce il DNS hijacking o altre tecniche utilizzate per reindirizzare il traffico.
HTTPS non nasconde la tua identità a terzi.
HTTPS non nasconde la tua attività all’ISP.
HTTPS non impedirà le violazioni dei dati.
HTTPS non ti proteggerà da tutti i rischi associati alle reti Wi-Fi pubbliche.

Sebbene l’HTTPS sia un passo significativo verso una navigazione web più sicura, non garantisce una sicurezza totale. È solo una parte di un ecosistema di sicurezza più ampio, che comprende altri strumenti come le password forti, l’autenticazione a due fattori, la crittografia VPN e le migliori pratiche di navigazione in generale.

Hai bisogno di una VPN se usi siti web HTTPS?

Se ti preoccupa la tua privacy e sicurezza online, l’utilizzo di una VPN in combinazione con HTTPS è un modo eccellente per aggiungere un ulteriore livello di protezione.

Assicurarsi di utilizzare siti web HTTPS contribuisce notevolmente alla tua protezione online, ma non può eguagliare o superare il livello di protezione fornito da una VPN premium.

Mentre l’HTTPS protegge le comunicazioni con un determinato sito web, una VPN estende la sicurezza all’intera connessione internet. Crea un tunnel crittografato tra il tuo dispositivo e un server VPN remoto, proteggendo tutto il tuo traffico web, non solo i dati scambiati con i siti web protetti da HTTPS.

Le VPN creano un tunnel criptato tra il tuo dispositivo e un server remoto.

Questo signifiva che il tuo ISP (Internet Service Provider), il governo e potenziali intercettatori sulla stessa rete (ad esempio su una rete Wi-Fi pubblica) non possono vedere cosa stai facendo online o da dove ti stai connettendo, poiché il tuo indirizzo IP reale è nascosto.

Ecco come l’utilizzo di una VPN in combinazione con l’HTTP contribuisce a migliorare la tua privacy e la tua sicurezza:

Traffico web completamente crittografato

Mentre l’HTTPS crittografa solo il traffico del browser, una VPN fornisce una crittografia end-to-end di tutti i dati che lasciano il tuo dispositivo.

Se utilizzi una VPN di alta qualità, questa crittografia utilizzerà la crittografia AES con una chiave a 128 bit o superiore, che è molto più sicura della crittografia TLS/SSL utilizzata dalle connessioni HTTPS.

Privacy e anonimato migliorati

A differenza di una VPN, l’HTTPS non è progettato per preservare la tua privacy o il tuo anonimato online.

Sebbene una VPN non garantisce l’anonimato, fornisce un ulteriore livello di privacy, rendendo più difficile tracciare le tue attività.

Una VPN può nascondere le seguenti informazioni al tuo ISP e ad altre terze parti:

Il tuo indirizzo IP personale
La tua posizione
I siti web che visiti
Le app che utilizzi
Il tempo trascorso sui siti web e sulle app
I file che scarichi o carichi

Protezione contro lo spoofing DNS

Uno dei problemi principali di HTTPS è che non crittografa le richieste DNS. Questo le rende vulnerabili al DNS spoofing, un processo in cui malintenzionati possono reindirizzare le richieste a siti web falsi.

L’uso di una VPN aiuta a proteggersi dai leak di DNS e attenua uno dei maggiori rischi associati all’HTTPS.