Serve una VPN se si usa HTTPS? Sì, ed ecco perché

VPN contro HTTPS

Una VPN e il protocollo HTTPS hanno entrambi la capacità di crittografare i tuoi dati, ma la prima ti consente di crittografarne un quantitativo decisamente maggiore. La crittografia HTTPS, invece, funziona solo tra browser e server, e solo se è abilitata. Una VPN crittografa invece tutti i dati che passano attraverso la connessione, indipendentemente dal fatto che determinate impostazioni siano abilitate o meno.

Il web ha attraversato una rapida evoluzione della sicurezza durante l’ultimo decennio. La maggior parte dei migliori siti web ora supporta Hypertext Transfer Protocol Secure, noto anche come HTTPS, che consente la comunicazione crittografata tra browser e portali online.

HTTPS utilizza la crittografia TLS per proteggere i dati che viaggiano tra il tuo dispositivo e il sito web che stai visitando. Quindi, se stai inserendo una password su un portale protetto, nessuna terza parte che sta osservando il traffico di dati tra te e il sito web sarà in grado di vederla. E ciò è semplicemente fantastico.

Tuttavia, l’idea che HTTPS e una VPN (virtual private network) siano in qualche modo rivali è chiaramente sbagliata. HTTPS da solo non è sufficiente per proteggere l’intera navigazione web. VPN e HTTPS non sono concorrenti: lavorano insieme per rendere la consultazione del

VPN e HTTPS

L’affermazione “non hai bisogno di una VPN perché la maggior parte dei siti web è comunque crittografata” non è propriamente corretta. È come dire che non è necessario chiudere a chiave la porta di casa perché la maggior parte delle case non viene mai derubata.

Fare attenzione alla propria sicurezza non è sciocco o dispendioso: tutti noi prendiamo ulteriori misure di cautela per ridurre al minimo il rischio. Ad esempio, guardiamo in entrambe le direzioni prima di attraversare la strada anche se abbiamo attraversato migliaia di strade senza mai essere investiti da un’auto.

Cosa non può fare la crittografia HTTPS

HTTPS risolve importanti problemi di sicurezza, ma non è in grado di garantirci una protezione totale. Diamo un’occhiata ai casi chiave in cui la protezione HTTPS fallisce senza il livello aggiuntivo di sicurezza fornito da una VPN.

HTTPS da solo non può proteggere la tua prima connessione

A volte il tuo browser accederà prima a una versione non crittografata del sito web (HTTP) e solo successivamente verrà indirizzato a una versione crittografata (HTTPS).

Questo crea un’opportunità per un attacco man-in-the-middle: un utente malintenzionato potrebbe intercettare la tua connessione proprio nel momento in cui non sarà crittografata e reindirizzarla verso un sito web dannoso. A quel punto, l’hacker potrebbe utilizzare tecniche di phishing, iniezione di malware o altri attacchi per causare danni.

Ecco perché insieme a HTTPS, un sito web dovrebbe implementare un meccanismo speciale chiamato HSTS (HTTP Strict Transport Security).

HSTS informa il tuo browser di non caricare mai un sito web non crittografato. Facendo uso di HSTS, il tuo browser caricherà solo la versione HTTPS del sito web, se disponibile.

Sembra una soluzione? Solo l’11% dei principali siti web utilizza HSTS e solo il 2,3% lo precarica.

Ciò significa che il 97,7% dei migliori portali online non garantisce la sicurezza della tua prima richiesta. Una VPN risolve questo problema crittografando tutto il tuo traffico fin dal primo avvio della connessione Internet.

HTTPS non può crittografare con un solo clic

Affinché HTTPS sia veramente efficace, tutte le parti interessate (browser, siti web e utenti) devono fare la loro parte.

I browser devono avvisare i propri utenti nel momento in cui accedono a un sito web non crittografato o bloccare completamente l’accesso a HTTP. Gli utenti devono notare e comprendere la differenza tra i siti web HTTPS e HTTP. Infine, i siti web devono implementare correttamente la crittografia TLS.

Affinché HTTPS funzioni, è necessario fare affidamento su browser e siti web. Tuttavia, non tutti i browser notificano correttamente ai propri utenti lo stato di un portale online e non tutti i siti web proteggono il traffico tra il server e il client.

Con una VPN, è necessario fare affidamento solo su un singolo servizio per essere certo di rimanere al sicuro durante la navigazione online. La VPN è il modo più semplice per assicurarsi che il traffico tra te e la tua destinazione online sia completamente crittografato.

HTTPS non può proteggerti dal phishing

Anche quando HTTPS è implementato correttamente, non significa che il sito web stesso sia al 100% sicuro.

Circa l’83% dei siti di phishing sono oggi costituiti da siti web HTTPS. Quindi, se entri in un sito web, vedi un lucchetto e ti senti al sicuro, questo è ciò che gli hacker si aspettano che tu provi: un falso senso di sicurezza, ma un attacco di phishing crittografato è comunque un attacco di phishing.

Le moderne VPN non solo forniscono tunnel crittografati per i tuoi dati, ma offrono anche altre funzioni di sicurezza. Sono in grado di avvisare gli utenti nel caso in cui i loro dati privati appaiano in una fuga di dati, filtrano e impediscono agli utenti di accedere a siti web dannosi. Alcune VPN, inoltre, possono persino cercare malware e impedirne il download.

Oltre il web

Esiste una nuova frontiera delle minacce informatiche: le applicazioni mobili.

Quando navighi sul web, puoi almeno verificare se la tua connessione è crittografata o meno (controllando la presenza del protocollo HTTPS), ma la maggior parte di noi non ha la minima idea di come le app mobili trasportino i nostri dati sensibili: potrebbero essere crittografati o facilmente intercettabili dagli hacker.

I creatori di app sono incoraggiati a proteggere i dati degli utenti, ma c’è un modo per aggirare questi consigli. Alcune applicazioni eseguono passaggi aggiuntivi (come il blocco dei certificati) per fornire un livello di sicurezza, mentre altre non lo fanno.

Gli sviluppatori possono facilmente decidere di seguire le indicazioni di sicurezza e, in molte occasioni, scelgono questa strada. Ad esempio, ecco le linee guida iOS e Android per gli sviluppatori.

Quindi rimaniamo ciechi, per fortuna! Le nostre app sono scatole nere: non hai modo di determinare se stanno seguendo o meno le migliori pratiche di sicurezza informatica.

Ancora una volta, una VPN è la soluzione ideale, poiché permette di crittografare tutto il tuo traffico Internet.

Una VPN è la soluzione di sicurezza principale

Non c’è dubbio che il settore delle VPN debba cambiare e stiamo lavorando in questa direzione. NordVPN effettua regolari audit indipendenti in quanto miriamo a fornire il miglior servizio di qualità possibile. Siamo anche membri fondatori della VPN Trust Initiative, un’organizzazione che mira a stabilire uno standard di qualità a livello di settore per tutti i servizi VPN.

Internet, così com’è, ha bisogno di VPN commerciali. Questi servizi rendono facile per ogni consumatore migliorare la propria sicurezza online. Chiunque può aggiungere un livello di protezione e privacy aggiuntivo con un solo clic, anche senza conoscenze tecniche.

Internet non cambierà dall’oggi al domani, gli hotspot Wi-Fi non si trasformeranno in luoghi sicuri, le app non imporranno la crittografia ovunque e le persone non inizieranno a prestare attenzione ai molteplici modi in cui possono migliorare il proprio stato di sicurezza. Crediamo fermamente che raccomandare alle persone di smettere di usare le VPN renda l’ambiente digitale meno sicuro.

Una VPN rimane il modo più semplice per l’utente medio di proteggersi dalle minacce online.