Does HTTPS mean a website is safe?

No. HTTPS with a padlock icon only means the connection between your browser and the server is encrypted. It says nothing about whether the website itself is legitimate, trustworthy, or free of malware. Attackers routinely obtain free TLS certificates for phishing sites. According to the Anti-Phishing Working Group, over 80% of phishing sites now use HTTPS. The padlock confirms encryption in transit, not the identity or intentions of whoever runs the site.

What do certificate warnings in the browser actually mean?

Browser certificate warnings indicate a problem with the site's TLS certificate. An expired certificate means the site operator failed to renew it, which could signal poor maintenance or a compromised server. A mismatched certificate means the domain in the URL does not match the domain the certificate was issued for, which is a common indicator of phishing or man-in-the-middle attacks. Users should never click through these warnings, especially on sites handling sensitive data.

HTTPS & Sicurezza dei Siti Web

Learn why the padlock icon is not proof of safety.

Cos’è HTTPS & Sicurezza dei Siti Web?

HTTPS significa che la connessione tra il tuo browser e un sito web è crittografata, ma non garantisce che il sito stesso sia legittimo. Questo esercizio ti mette di fronte a diversi siti web in cui devi valutare se la connessione è veramente sicura. Un sito mostra un'icona del lucchetto ma utilizza un certificato scaduto. Un altro ha un certificato valido emesso per un'organizzazione completamente diversa. Un terzo attiva la pagina di avviso del browser, e devi decidere se proseguire o abbandonare. La simulazione analizza cosa dimostra effettivamente un certificato TLS, chi li emette e perché i certificati gratuiti di servizi come Let's Encrypt significano che anche i siti di phishing possono mostrare un lucchetto. Esaminerai i dettagli del certificato nel tuo browser, individuerai nomi di dominio non corrispondenti e riconoscerai i messaggi di avviso specifici che indicano un attacco man-in-the-middle. Questa è la differenza tra sentirsi al sicuro ed essere al sicuro online.

Cosa imparerai in HTTPS & Sicurezza dei Siti Web

Esaminare il certificato TLS di un sito web per verificare l'autorità emittente e la corrispondenza del dominio
Riconoscere la differenza tra una connessione crittografata e un sito web affidabile
Identificare certificati scaduti, autofirmati e non corrispondenti attraverso gli indicatori di avviso del browser
Prendere decisioni corrette quando il browser visualizza pagine interstiziali di avviso sui certificati
Comprendere perché la sola presenza dell'icona del lucchetto è una prova insufficiente della legittimità del sito web

HTTPS & Sicurezza dei Siti Web — Fasi della formazione

Lavorando da una caffetteria

La tua connessione Internet a casa non funziona da stamattina e devi completare un'attività urgente sul libro paga prima della fine della giornata. Ti sei recato in un bar nelle vicinanze e ti sei connesso alla loro rete WiFi gratuita - 'CafeConnect Free WiFi' - una rete aperta senza password richiesta.
E-mail dalle risorse umane

Arriva una nuova email dal dipartimento Risorse umane sulla verifica annuale del deposito diretto.
Navigazione nel portale buste paga

Alice fa clic sul collegamento nell'e-mail delle risorse umane per aprire il portale delle buste paga. Lo ha già fatto in passato: è un compito annuale di routine. All'insaputa di Alice, un utente malintenzionato sulla stessa rete WiFi del bar sta eseguendo un attacco strip SSL. L'aggressore ha intercettato la richiesta di Alice e ha silenziosamente declassato la connessione da HTTPS a HTTP. La pagina si carica normalmente, ma senza crittografia.
Accesso

Il portale del libro paga è esattamente come lo ricorda Alice: il logo Meridian, la familiare combinazione di colori blu, il modulo di accesso standard. Inserisce le sue credenziali lavorative senza esitazione. Alice non nota che il suo gestore di password non ha offerto la compilazione automatica: l'URL del portale non corrisponde ad alcuna voce salvata.
Conferma delle coordinate bancarie

Dopo aver effettuato l'accesso, il portale chiede ad Alice di confermare le coordinate del suo conto bancario per l'accredito diretto. Il modulo richiede il numero di routing e il numero di conto: informazioni standard per la verifica annuale.
Accesso ad un altro sistema

Prima di tornare a casa, Alice decide di controllare rapidamente la dashboard interna del progetto per rivedere il programma di domani.
Prestare attenzione all'Avvertimento

Al posto della dashboard, Alice vede un severo avvertimento: 'La tua connessione non è privata'. Non è sicura di cosa l'abbia causato, ma l'avvertimento sembra serio. L'avviso relativo al certificato è apparso perché l'aggressore MITM ha tentato di intercettare anche questa connessione HTTPS, ma il browser ha rilevato il certificato non valido e ha bloccato la pagina. Alice decide di non procedere.
Avviso di frode bancaria

Due giorni dopo, Alice si siede alla scrivania per iniziare la giornata. Nella sua casella di posta c'è un'e-mail urgente dalla sua banca.
Avviso di sicurezza informatica

Prima ancora che Alice possa elaborare l'avviso di frode bancaria, arriva un'altra email, questa volta dal team di sicurezza IT di Meridian.
Collegare i punti

Lo stomaco di Alice crolla. Il prelievo bancario non autorizzato. Il login sospetto dall'Ucraina. Entrambi sono accaduti subito dopo aver utilizzato il WiFi del bar, due giorni fa. Legge di nuovo l'avviso sulla sicurezza IT, questa volta con crescente timore.

Cos’è HTTPS & Sicurezza dei Siti Web?

Cosa imparerai in HTTPS & Sicurezza dei Siti Web

HTTPS & Sicurezza dei Siti Web — Fasi della formazione

Lavorando da una caffetteria

E-mail dalle risorse umane

Navigazione nel portale buste paga

Accesso

Conferma delle coordinate bancarie

Accesso ad un altro sistema

Prestare attenzione all'Avvertimento

Avviso di frode bancaria

Avviso di sicurezza informatica

Collegare i punti