Google Chrome e il protocollo di sicurezza HTTPS

Google Chrome e il protocollo di sicurezza HTTPSGoogle ha tra i suoi obiettivi quello di garantire una navigazione sicura sul web a tutti gli utenti. È per questo che a breve il browser Chrome indicherà con un flag i siti web crittografati ritenuti sicuri, mentre con una “X” rossa sopra un lucchetto nella barra degli indirizzi quelli non sicuri.
Con questa prossima implementazione su Chrome, Google rende chiaro a tutti che il web del prossimo futuro deve per forza di cose essere criptato.

Tutti i siti dovranno servirsi del protocollo HTTPS, che è essenzialmente un ulteriore step di sicurezza in cima al già esistente protocollo web HTTP.

Diverse aziende e organizzazioni stanno spingendo per avere siti più cifrati come parte di una campagna chiamata “Encrypt All The Things,” ossia “crittografare tutte le cose”, che consiste nel promuovere più siti web possibili ad abbandonare il tradizionale protocollo HTTP meno sicuro e adottare l’HTTPS.

Attualmente, Chrome visualizza solo un’icona neutra quando il sito a cui si sta accedendo non è protetto con HTTPS, un lucchetto verde chiuso quando invece lo è, così come un lucchetto con una “x” rossa su di esso quando c’è qualcosa che non va nella pagina HTTPS a cui l’utente sta tentando di accedere. Il cambiamento attirerà ancora di più l’attenzione sui siti che sono potenzialmente insicuri.

 

Google Chrome e il protocollo di sicurezza HTTPS

Google aveva annunciato questo suo intento già dal 2014, quando uno dei membri del team di Chrome Security espose la proposta di contrassegnare tutti i siti HTTP come “non sicuri”. “L’obiettivo di questa proposta è quello di sancire in modo più chiaro che l’HTTP non fornisce alcuna protezione dei dati”, ha scritto Chris Palmer di Google. Martedì scorso, durante una presentazione alla conferenza sulla sicurezza Usenix Enigma di San Francisco, è stato mostrato come appare un sito  quando l’utente attiva una funzione speciale nelle impostazioni di Chrome, e presumibilmente come potrebbe apparire in futuro, qualora abilitato di default. (Nella foto, si può vedere la piccola “x” rossa sul lucchetto nella barra degli indirizzi).

Parisa Tabriz, che gestisce il team di ingegneri della sicurezza di Google, ha dichiarato su Twitter che l’intenzione di Google è quella di “chiamare” HTTP per quello che è: ossia “non sicuro”.

La logica è che su ogni sito servito da HTTP i dati scambiati tra il server del sito e l’utente sono in chiaro, il che significa che chiunque ha la possibilità di curiosare sulla connessione, riuscendo a rubare le password, messaggi privati, o altre informazioni sensibili. Ma l’HTTPS non si limita a proteggere i dati degli utenti, ma assicura anche che l’utente sia davvero collegato al sito giusto e non ad un sito fake. Questo è importante perché la creazione di una falsa versione di un sito web di cui gli utenti normalmente si fidano è una tattica nota ad hacker e malintenzionati.

L’HTTPS assicura inoltre che un terzo malintenzionato non sia in grado di dirottare la connessione e inserire malware o censurare informazioni.

Esperti di tecnologia e privacy hanno apprezzato molto la mossa di Google.

Eric Mill, un tecnologo che lavora sulla crittografia web, ha dichiarato: “Chrome in definitiva ha sancito che il protocollo http non è sicuro, questa è una mossa incredibilmente forte e dalla parte degli utenti”…”Nonostante il protocollo comune http è ancora oggi utilizzato, è a titolo definitivo insicuro, un vero pericolo per gli utenti e per il web.”
Google oltre ad aver dichiarato la sua preferenza per i siti web HTTPS, aveva annunciato inoltre che il ranking dei siti crittografati sarebbe stato più elevato nei risultati di ricerca.

Ma il gigante di Internet è ben lungi dall’essere l’unico grande giocatore sul web che sta spingendo per l’ HTTPS. Mozilla e Apple hanno infatti entrambi indicato che vogliono più crittografia per il web. E anche il governo degli Stati Uniti ha compiuto passi importanti in questa direzione, richiedendo a tutti i siti web .gov di avere il protocollo HTTPS di default prima della fine di quest’anno.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.