A partire da quest’anno Google penalizzerà l’indicizzazione dei siti sprovvisti di HTTPS, ossia la trasmissione dei dati, tramite HTTP, cifrata con TLS (Transport Layer Security) o con il suo predecessore, l’SSL (Secure Sockets layer).
Già un paio d’anni fa Mozilla aveva annunciato un piano che, gradualmente, avrebbe portato Firefox a non aprire i siti non dotati di criptatura dei dati, suscitando qualche malumore tra i gestori che, potenzialmente, sosterrebbero maggiori costi.
Va da se che Google, avendo il monopolio dei motori di ricerca, detta legge per chi vuole promuovere il proprio sito. Pertanto d’ora in poi, se non è gradito vedersi scavalcati dalla concorrenza, sarà necessario provvedere a installare sul server un certificato SSL.
Perché dotarsi di un protocollo HTTPS
Come vedremo dopo HTTPS è una comunicazione tra due host, su protocollo HTTP, cifrata dal TLS o dall’SSL. I dati che vi viaggiano sono codificati e solo il client e il server preposto ne hanno accesso.
Oggi è fondamentale proteggere questi dati poiché fanno gola ad aziende e malware. Le prime per bombardarci di pubblicità dei loro prodotti e/o servizi, i secondi per fare danni nei nostri computer e rubare informazioni sensibili.
Ogni pagina che visitiamo contiene, anzitutto, delle informazioni (metainformazioni) importanti sui contenuti e bastano già quelle per tracciare un nostro profilo su ciò che seguiamo e ci interessa. Inoltre in molti siti sono presenti i form dove lasciare i nostri dati, i quali, una volta inviati, sono a disposizione di chi li intercetta.
Dal punto di vista della rete è diventato estremamente facile captare dati altrui grazie alle reti insicure, come le wireless pubbliche, accessibili a chiunque si trovi nei paraggi: una volta effettuato l’accesso non sarà difficile sniffare dati “preziosi” trasmessi on-air anziché via cavo. Sembra che ci siano addirittura aziende che paghino addetti per fare “iniezione di pacchetti” all’interno di queste reti per pubblicizzare i loro siti web.
Riassumendo: la diversificazione delle reti e dei dispositivi ha incrementato le possibilità di accesso ad internet; questo da una parte permette a noi di compiere operazioni online in ogni momento e in ogni dove, ma dall’altra incrementa anche ai malintenzionati le opportunità di violare la nostra privacy.
Come funziona HTTPS
Abbiamo già detto che HTTPS è uno scambio di dati, tra due host, cifrati al fine di impedire una loro eventuale intercettazione. HTTPS è studiato per dare queste garanzie agli utenti:
- essere connessi direttamente e solamente al server previsto, evitando i cosiddetti “attacchi in the middle”;
- i dati trasmessi sono codificati, quindi la nostra privacy è tutelata;
- i dati sono integri e non manipolati.
Vediamo in estrema sintesi come la comunicazione viene cifrata e garantita.
- Il browser fa partire la richiesta al server sul canale HTTPS
- Una volta ottenuta una risposta il browser chiede al server la sua identità e fornisce un numero casuale (Kc)
- Il server si identifica presentando un certificato, ottenuto da una Certification Authority (CA) e fornisce un numero casuale da lui generato (Ks). Il certificato contiene una chiave pubblica
- Il browser esamina il certificato e lo verifica online con le CA a lui note
- In caso di verifica con esito positivo il browser invia un altro numero casuale cifrato con la chiave pubblica, il pre master secret (PMS)
- Il server genera e risponde al browser col Master Secret (MS), un numero ottenuto elaborando per mezzo di un algoritmo, noto anche al browser, il PMS, il Kc e il Ks, cifrandoli con la sua chiave privata
- Il browser verifica il MS, che sarà la chiave con cui cifrare i dati per mezzo di un algoritmo simmetrico
- La sessione cifrata ha inizio
- Terminata la sessione tutti i codici generati vengono distrutti sia dal browser che dal server.
La procedura qui descritta garantisce che il server sia quello giusto poiché vi è installato un certificato, ottenuto da un’autorità indipendente, che ne assicura l’autenticità, e che i dati siano protetti grazie alla cifratura ottenuta con un algoritmo e una chiave generata da numeri casuali, diversi per ogni sessione. In caso di intercettazione il malintenzionato otterrà dei dati che non sarà in grado di interpretare.
Installare un certificato SSL
Reperire un certificato SSL non è certo un problema: ce n’è un’ampia scelta a disposizione, per tutte le tasche e per tutte le esigenze. Il punto è che il livello di criptatura, e quindi di sicurezza, non è uguale per tutti.
Il livello di sicurezza che deve avere un certificato dipende dalle nostre esigenze: se gestiamo un blog possiamo accontentarci di una criptatura di basso livello, invece per siti di e-commerce, attraverso i quali passano dati molto sensibili, come i numeri delle carte di credito, allora dovremo dotarci di un certificato SSL più sicuro.
Il problema maggiore è però rappresentato dal tipo di hosting che il provider ci mette a disposizione: per i server dedicati in genere non ci sono problemi, possiamo installare il certificato che vogliamo, mentre sui semi-dedicati e sui condivisi spesso dovremo mettere quelli imposti dalla società che offre il servizio, poiché il nostro sito non è da solo sul server. Fino a poco fa c’erano parecchi servizi di hosting, condivisi e semi-dedicati, che non prevedevano la possibilità di installare il certificato SSL; tuttavia, con questa direttiva di Google, si troveranno a dover cambiare politica. Aruba, per esempio, fornisce gratuitamente, per i domini ospitati su hosting condivisi e semi-dedicati, un proprio certificato e la possibilità di redirect automatico di tutti i link http su https.
HTTP:// verso la fine?
Prima Mozilla, ora Google: è chiaro l’intento dei giganti di internet e del web di mettere gradualmente al bando la trasmissione non cifrata dei dati. Come detto all’inizio il fatto che il motore, detenente il monopolio delle ricerche, praticamente imponga la connessione cifrata fa si che un gestore, al fine di avere un sito sempre in vista, debba provvedere all’installazione del certificato. Del resto non ha senso investire in un sito male indicizzato.
Se questa imposizione può creare problemi ai gestori dei siti da una parte, dall’altra proteggerà i suoi visitatori, e i siti stessi, da molti attacchi malevoli che, frequentemente, causano rallentamenti e malfunzionamenti, i quali non sono certo un invito per i visitatori a tornare sulla nostra vetrina virtuale.
Lo sviluppo delle connessioni cifrate è quindi un bene dal punto di vista tecnico, anche se dal lato economico può rendere più difficoltoso sostenere i costi di gestione. È altrettanto vero che se diventa uno standard minimo i costi potrebbero essere calmierati e quindi ci troveremmo in una situazione di maggior tutela a vantaggio di tutti, gestori e utenti.
Approfondimenti: