Segnalo un interessante articolo intitolato "HTTPS is more secure, so why isn't the Web using it?"; lo scopo del post è semplicemente quello di evidenziare quella che potrebbe essere definita una cattiva pratica: lo scarso utilizzo del protocollo HTTPS per la sicurezza delle pagine Web e dei dati da esse gestiti, in particolare le credenziali per l'autenticazione.
Quali sono i motivi di questo sotto utilizzo, proviamo a proporre delle motivazioni sulla base degli argomenti proposti dall'articolo:
- i certificati costano cari, ma questo è un problema che coinvolge solo le piccole realtà , servizi più che affermati continuano però ad ignorare l'HTTPS;
- estensioni in via di sviluppo a parte, con HTTPS non è possibile utilizzare i Virtual Host, soluzioni che per molti progetti risultano convenienti, quindi si tratterebbe anche in questo caso di un problema di carattere economico;
- si viene a perdere parzialmente il supporto della cache, in questo caso però il problema si pone soltanto per servizi a livello globale;
- HTTPS è più lento di HTTP, questo perché durante il suo utilizzo entra in gioco le chiave crittografica, ma è abbastanza lento da rappresentare un problema per gli utenti?;
- i "layer" per la crittografia e l'autenticazione "pesano" sul livello d'efficienza del server, ma anche in questo caso il problema sembra essere più economico che tecnico.
In Rete vi sono servizi che non mettono a disposizione aree riservate, per essi il problema non si pone, ma per gli altri è necessario comprendere se le ragioni della velocità e del risparmio sono ancora più importanti rispetto a quelle della sicurezza.
