I siti Web Https coprono alcuni requisiti di sicurezza e certificano l'autore, ma come possiamo essere sicuri che un autore di un sito https non sia dannoso?
I siti Web Https coprono alcuni requisiti di sicurezza e certificano l'autore, ma come possiamo essere sicuri che un autore di un sito https non sia dannoso?
Tutta una connessione HTTPS autenticata fa sì che se https://www.example.com viene mostrato nella barra degli indirizzi, tu sia di fatto connesso a www.example.com .
Il certificato non certifica che www.example.com non è dannoso in alcun modo. Un Certificato di convalida esteso con un evidenziatore verde mostrato attorno alla barra degli indirizzi ti consentirà di conoscere l'organizzazione reale dietro il sito, quindi se ti fidi di loro puoi fidarti del sito web. Esistono anche certificati di verifica dell'organizzazione, tuttavia è difficile per gli utenti abituali distinguerli dai certificati di dominio verificati.
I certificati DV sono molto facili da ottenere - quindi, a meno che tu non conosca e ti fidi del dominio del sito già, non dovresti permetterti alcun ulteriore affidamento nel sito solo perché usa https.
Se il sito web utilizza https, puoi essere certo che (giorno 0 exploit escluso) che stai visitando il sito web che vedi nella url e che nessuno può vedere il tuo scambio.
Questo non significa che il sito non sia dannoso, corrotto o insicuro nel modo che può danneggiarti.
La comunicazione tra te (il tuo browser) e il server che usa HTTPS è sicura in quel caso (ovviamente, supponiamo che tu non sia vittima di alcuni scenari come MITM attacco). Il certificato garantisce che stai comunicando con il sito web giusto, niente di più. Ma HTTPS non è responsabile della natura del contenuto di questa comunicazione: per natura del contenuto, voglio dire che il sito web può consegnarti un malware direttamente o ingannandoti per istanza per scaricare un virus o elaborando un metodo più sofisticato come attacco di download drive-by.
Leggi altre domande sui tag http tls certificates