Recentemente è circolata la notizia che Google Chrome avrebbe presto cominciato a segnalare come insicuri tutti i siti Web che utilizzano il protocollo HTTP rinunciando alla protezione garantita da HTTPS; in realtà quanto riportato è vero solo in parte, meglio quindi chiarire alcuni aspetti di questa novità cercando di individuare quelle pagine che dovranno passare ad HTTPS e quelle che invece, almeno per il momento, non hanno la necessità di abilitare il supporto per la crittografia dei dati tramite certificato SSL.
HTTPS (HyperText Transfer Protocol over Secure Socket Layer) è un protocollo che sfrutta i certificati SSL/TLS (Secure Sockets Layer/Transport Layer Security) per cifrare l'interscambio di dati tra un browser per la navigazione Web e un server; questo significa che le informazioni veicolate non potranno essere visualizzate o alterate da soggetti estranei alla comunicazione in quanto non vi sarà alcuna trasmissione "in chiaro", come accadrebbe invece con il solo HTTP.
Tipicamente, l'adozione di HTTPS risulta raccomandabile in tutti quei siti Web che raccolgono informazioni riservate dai loro utenti tramite i campi di input dei form; in questo caso alcuni esempi pratici potrebbero riferirsi alle piattaforme di e-commerce, quando richiedono numeri di carte di credito per i pagamenti o password per la registrazione, e ad aree il cui accesso è condizionato al riconoscimento tramite credenziali (procedure di login, o autenticazione).
Diversamente da quanto riferito inizialmente riguardo alla nuova politica di Chrome per le verifiche di sicurezza sulle pagine Web, il browser non segnalerà come insicuri tutti i siti Internet che non usano HTTPS; nello stesso modo un sito non verrà considerato insicuro soltanto perché presenta dei campi di input e non ricorre ad HTTPS.
Verranno invece considerati non sicuri quei siti Web che presentano dei campi di input per la digitazione delle password o che richiedono numeri di carte di credito e non utilizzano HTTPS. Questa è da considerarsi l'interpretazione più corretta stando a quanto affermato dagli stessi sviluppatori di Mountain View:
As announced in September, Chrome will soon mark non-secure pages containing password and credit card input fields as Not Secure in the URL bar.
Quindi per il momento (cioè a partire da Chrome 56) buona parte dei siti Web potranno evitare il passaggio ad HTTPS che, però, rimane comunque consigliabile per almeno 5 ragioni:
- nel lungo periodo Chrome verrà implementato secondo il criterio "HTTPS everywhere", per cui prima o poi tutti i siti Internet basati su HTTP verranno contrassegnati come insicuri;
- Google appare sempre più intenzionata a considerare l'uso di HTTPS come un fattore rilevante per il posizionamento;
- HTTPS è comunque una garanzia di sicurezza per le informazioni personali, che non sono soltanto i numeri di carte di credito e le password;
- HTTPS consente l'abilitazione di HTTP2 che potrebbe garantire un miglioramento considerevole a livello di performance;
- alcuni provider stanno cominciando a fornire gratuitamente i certificati SSL.
Via Eric Lawrence
