HTTPS: Questo sconosciuto

Siamo nel 2019: la sonda Voyager ha raggiunto i confini del Sistema Solare, gli angoli più remoti del Pianeta Terra sono interconnessi tra loro in tempo reale e il benessere ha raggiunto anche i Paesi più poveri del globo, ma c’è ancora una grossa piaga che affligge la rete: il certificato SSL.

Dall’anziano titolare della ferramenta sotto casa con il sito anni 90 agli e-commerce delle multinazionali, sono molteplici ancora i siti web che non dispongono di questo artefizio della tecnica moderna con un nome che forse incute timore: PROTOCOLLO DI TRASFERIMENTO SICURO (HTTPS). Ricorda quasi la scena di un film d’azione dove il protagonista, eroico ex poliziotto in pensione, viene contattato dalla CIA per una missione speciale di infiltrazione nel covo dei cattivi. Figo no?

E invece non è nulla di così complicato, ma è uno strumento indispensabile per tutelare la sicurezza dei naviganti che accedono al nostro sito: dallo scambio di informazioni sensibili alle procedure di acquisto online dove sono previste transazioni economiche.

Cos’è sta roba? A cosa serve? Perchè bisogna averla?

Partiamo da semplici esempi. Quando effettuiamo la navigazione su un sito web, la connessione tra il nostro PC ed il server web che ospita il sito avviene attraverso il protocollo HTTP: il nostro browser invia una richiesta al server e quest’ultimo risponde con il codice sorgente della pagina. Questo scambio di informazioni potrebbe essere “sniffato” da un soggetto terzo che, con intenzioni maligne, potrebbe appropriarsi di informazioni sensibili o alterare la comunicazione, inviando agli interlocutori una richiesta/risposta manomessa.

Come risolvere? HTTPS!

Per ovviare a questo problema, su ogni sito web può essere installato un certificato “firmato” da un’autorità di certificazione, che di fatto riconosce che il sito in questione è protetto e sicuro. Il browser web che “legge” tale certificato è predisposto a riconoscere la veridicità delle informazioni ricevute, dando il via ad una connessione cifrata, che non permette a terzi di intercettare e decriptare il contenuto della comunicazione tra client e server. Se il browser dell’internauta si accorge di anomalie sul certificato avvisa l’utente con un messaggio di warning, indicando che c’è qualcosa che non va.

I falsi allarmi

Per garantire che il certificato sia sempre valido, esso ha una durata temporale prestabilita (solitamente annuale); alla sua scadenza il proprietario del sito web dovrà provvedere al rinnovo per confermare che le informazioni siano corrette ed aggiornate. Cosa succede al mancato rinnovo del certificato? Il browser avvia una connessione privata (sulla porta 443, solitamente dedicata all’HTTPS) ma dall’altra parte non trova un certificato valido e attivo, mostrando un avviso di sicurezza all’utente che il sito su cui si trova potrebbe essere malevolo.

Si, ma quindi?

Immaginiamo di voler accedere ad Amazon per acquistare delle simpatiche ed inutili cianfrusaglie da pochi euro. Apriamo Firefox (si, gli sto facendo pubblicità gratuita), andiamo a digitare l’URL del sito nella barra degli indirizzi, magari convinti che sia amazon.net anzichè amazon.it. Il sito si apre, è in tutto e per tutto uguale all’originale, ma non lo è. Effettuiamo i nostri acquisti su connessione HTTP non cifrata, inserendo i nostri dati personali e quelli della carta di credito. Ottimo! Abbiamo appena regalato denaro illimitato (seh, magari) ad un ignoto malintenzionato, che potrà accedere alla nostra identità e acquistare sul VERO Amazon con la nostra carta di credito. Un macello, considerando le intricate procedure per segnalare la truffa, bloccare la carta e mettere a conoscenza le Forze dell’Ordine che qualcuno nel mondo (e vallo a beccare, siamo 7 miliardi) potrebbe agire per nome e per conto nostro.

Invece, con un bel certificato SSL, sappiamo in ogni momento che il sito sul quale stiamo navigando è stato certificato da un ente fidato e il nostro bel lucchettone verde di Firefox ci darà la sensazione (e non solo quella) di essere tutelati.

Com’è la situazione generale?

E che te lo dico a fà! Siamo messi male!
Oltre alla maggior parte dei piccoli e-commerce che ancora si adeguano, ci sono anche alcune grosse aziende che non hanno ancora rimediato un certificato SSL.
Per incentivare l’utilizzo del protocollo HTTPS, Google ha recentemente messo in campo delle penalizzazioni nei confronti dei siti non dotati di certificato SSL all’interno dei risultati di ricerca, forte anche del fatto che una grande quantità di navigatori usano come browser web proprio Google Chrome, che è uno dei più diffusi (oltre al già citato Firefox).

In conclusione

Capito? E’ importantissimo dotare il proprio sito di un certificato SSL per tutelare i nostri clienti, ed è altrettanto importante tenere conto della sua scadenza per provvedere al rinnovo e dormire sonni tranquilli. Se non lo hai già fatto, contatta la tua web agency di fiducia (e se non ce l’hai CONTATTAMI) per rimediare al più presto!