Cos'è SSTP e come funziona?

SSTP (Secure Socket Tunneling Protocol) è un protocollo VPN sviluppato da Microsoft che incapsula il traffico PPP all'interno di canali SSL/TLS sulla porta TCP 443. Questo design gli consente di attraversare la maggior parte dei firewall e dei server proxy senza essere rilevato, poiché il suo traffico appare identico al normale traffico web HTTPS.

Perché SSTP utilizza la porta 443 e quale vantaggio offre?

La porta 443 è la porta HTTPS standard, il che significa che il traffico SSTP si fonde perfettamente con la normale navigazione web. Questo rende estremamente difficile per i firewall e gli amministratori di rete bloccare SSTP senza interrompere anche tutto il normale traffico HTTPS, conferendogli eccezionali capacità di attraversamento dei firewall in ambienti di rete restrittivi.

SSTP è considerato sicuro e quale cifratura utilizza?

SSTP sfrutta la cifratura SSL/TLS, tipicamente AES-256, rendendolo altamente sicuro. Poiché Microsoft controlla il protocollo, è considerato affidabile sulle piattaforme Windows. Tuttavia, la sua natura closed-source solleva preoccupazioni tra i sostenitori della privacy, e manca degli audit di sicurezza indipendenti che protocolli open-source come OpenVPN hanno subito.

Quali sono i principali limiti di SSTP rispetto ad altri protocolli VPN?

Il limite più grande di SSTP è l'esclusività della piattaforma — è stato progettato da Microsoft principalmente per Windows e offre un supporto multipiattaforma scarso. È anche proprietario e closed-source, il che limita la trasparenza. Inoltre, le sue prestazioni sono generalmente inferiori rispetto a WireGuard e OpenVPN in termini di velocità, e non fornisce alcuna protezione integrata contro attacchi avanzati di analisi del traffico.

SSTP — Glossario VPN

SSTP: il protocollo VPN di Microsoft compatibile con i firewall

Cos'è

Secure Socket Tunneling Protocol, più comunemente noto come SSTP, è un protocollo VPN creato da Microsoft e introdotto con Windows Vista. A differenza di molti altri protocolli VPN, SSTP è stato progettato fin dall'inizio per funzionare in modo ottimale in ambienti che tipicamente bloccano il traffico VPN — come reti aziendali, scuole o paesi con politiche internet restrittive.

Il nome fornisce un indizio utile sul suo funzionamento: effettua il tunneling della connessione VPN attraverso SSL/TLS — la stessa tecnologia di crittografia che protegge la navigazione web quotidiana in HTTPS. Per questo motivo, il traffico SSTP appare quasi identico al normale traffico web sicuro, rendendo molto difficile per i firewall e gli amministratori di rete rilevarlo o bloccarlo.

Come funziona

SSTP opera sulla porta TCP 443, ovvero la porta standard utilizzata da HTTPS. Questo è il dettaglio fondamentale che lo distingue da protocolli come OpenVPN o IKEv2, i quali utilizzano porte diverse che possono essere facilmente identificate e bloccate.

Ecco il flusso di base:

Avvio della connessione — Il client VPN stabilisce un handshake SSL/TLS con il server VPN, esattamente come farebbe un browser quando si connette a un sito web sicuro.
Creazione del tunnel — Una volta stabilito il canale sicuro, i dati PPP (Point-to-Point Protocol) vengono incapsulati all'interno di frame HTTP e trasmessi attraverso quel canale.
Crittografia — Tutti i dati che transitano nel tunnel vengono crittografati tramite SSL/TLS, tipicamente con crittografia AES-256 per una protezione robusta.
Autenticazione — SSTP supporta l'autenticazione basata su certificati, che aggiunge un ulteriore livello di verifica tra client e server.

Poiché il traffico transita sulla porta 443 incapsulato in TLS, gli strumenti di ispezione approfondita dei pacchetti faticano a distinguerlo dalla normale navigazione HTTPS — una caratteristica nota come offuscamento.

Perché è importante per gli utenti VPN

Il principale punto di forza di SSTP è la sua capacità di bypassare i firewall. Se hai mai provato a connetterti a una VPN e l'hai trovata bloccata — al lavoro, su una rete scolastica o durante un viaggio in un paese con forti restrizioni a internet — SSTP è uno dei protocolli con maggiori probabilità di riuscire a passare.

La sua profonda integrazione con Windows rappresenta un ulteriore vantaggio pratico. Windows supporta SSTP in modo nativo, senza richiedere software di terze parti, il che rende la configurazione semplice per chiunque utilizzi già un dispositivo Windows. Ciò lo rende particolarmente interessante per gli amministratori IT che implementano soluzioni di accesso remoto in ambienti aziendali basati su Windows.

Sul fronte della sicurezza, SSTP si dimostra affidabile. La crittografia SSL/TLS è matura, ampiamente verificata e riconosciuta a livello globale. Evita le vulnerabilità note associate a protocolli più datati come PPTP o L2TP.

Tuttavia, SSTP presenta alcune limitazioni rilevanti. Si tratta essenzialmente di un protocollo proprietario Microsoft, il che significa che ha un supporto limitato su piattaforme non Windows come macOS, Linux, Android e iOS — anche se alcuni client di terze parti hanno aggiunto un supporto parziale. Poiché Microsoft controlla le specifiche del protocollo, i ricercatori di sicurezza indipendenti hanno meno visibilità rispetto alle alternative open source come OpenVPN o WireGuard.

Le prestazioni sono un altro aspetto da considerare. Poiché SSTP utilizza TCP anziché UDP, può essere soggetto a un problema noto come "TCP meltdown" — in cui la perdita di pacchetti causa ritardi di ritrasmissione che si accumulano e rallentano la connessione. I protocolli basati su UDP offrono generalmente prestazioni migliori per attività sensibili alla latenza come lo streaming o il gaming.

Casi d'uso pratici

Accesso remoto aziendale — I team IT in ambienti Windows spesso implementano SSTP per i lavoratori da remoto che devono connettersi da reti con regole firewall restrittive.
Aggiramento della censura — I viaggiatori che visitano paesi che bloccano i comuni protocolli VPN possono fare affidamento sul comportamento di SSTP sulla porta 443 per mantenere l'accesso.
Navigazione sicura su reti con restrizioni — Le reti scolastiche o alberghiere che bloccano le porte VPN lasciano spesso aperta la porta 443, rendendo SSTP un'alternativa affidabile.
Compatibilità con sistemi legacy — Le organizzazioni già fortemente investite nell'infrastruttura Windows Server potrebbero preferire SSTP per la sua compatibilità nativa.

Per la maggior parte degli utenti VPN comuni, i protocolli moderni come WireGuard o OpenVPN offrono prestazioni migliori e un supporto più ampio sulle diverse piattaforme. Tuttavia, SSTP rimane uno strumento affidabile quando l'elusione dei firewall è la priorità e si opera in un ambiente incentrato su Windows.

SSTPAvanzato

SSTP: il protocollo VPN di Microsoft compatibile con i firewall

Cos'è

Come funziona

Perché è importante per gli utenti VPN

Casi d'uso pratici

// FAQ