Nel dicembre 2014, Google ha annunciato che avrebbero deprecato http nelle future versioni di Chrome. Nell’aprile 2015, Mozilla ha dichiarato che avrebbe fatto lo stesso con Firefox. Come influenti principali nella sicurezza di Internet, Google e Mozilla hanno fissato lo standard per tutti i browser per aggiornare i loro protocolli e migliorare la sicurezza web. Sempre Google, dal 2016, ha quasi imposto che tutti i siti avessero il protocollo https e che fosse da subito un fattore di ranking.

Http Vs Https: la S che fa la differenza

Http e Https sono varianti dello stesso protocollo che viene utilizzato per il trasferimento delle pagine web in internet e durante la navigazione in rete dai browser come Explorer, Firefox, Safari. Prima di proseguire analizzando le differenze tra http e https precisiamo cosa sono questi due protocolli e cosa significano.

Definizione di http e https

http Hyper Text Transfer Protocol (protocollo di trasferimento ipertestuale): è utilizzato per il trasferimento delle pagine web in internet ed è considerato un protocollo non sicuro in quanto i dati che non sono criptati, ed è quindi più facile intercettarli e leggerli.

https – HyperText Transfer Protocol over Secure Socket Layer (protocollo di trasferimento ipertestuale criptato): utilizzato per gli stessi fini dell’http ma essendo criptati i dati sono sicuri e difficilmente possono essere intercettati, per questo è il protocollo preferito dai sviluppatori di siti internet, soprattutto per quanto riguarda la realizzazione di e-commerce in cui l’utente deve inserire i propri dati personali e bancari.

http: ma non dovevamo vederci più?

L’importanza dell’https

Il web ha visto una veloce migrazione da http a https, nonostante ci siano siti che ancora utilizzano il protocollo standard invece che quello criptato. Tuttavia, è necessario sottolineare quanto siano considerevoli i vantaggi dell’https, tra i quali segnaliamo:

Come si può dedurre l’importanza dell’https è imprescindibile per tutti quei siti che interagiscono con gli utenti, scambiando informazioni sensibili e non, come home-banking, e-Commerce, siti medici, istituzionali, social network. I siti che utilizzano questo protocollo hanno il certificato SSL che li definisce sicuri.

Importante, comunque, sottolineare che i siti che non hanno questo certificato non sono “non sicuri”: per quei blog o riviste che non chiedono dati personali, non è considerato indispensabile anche se è fortemente consigliato per essere posizionato correttamente su Google.

Se, invece, si possiede un vecchio e-commerce il mancato passaggio ad https potrebbe non solo incidere sulle vendite a causa di un posizionamento mediocre o per la poca visibilità del sito ma anche perché la mancanza della sigla https potrebbe risultare un campanello di allarme per gli acquirenti, lato sicurezza.

Vulnerabilità con http

Esistono due principali carenze in http:

  • una mancanza di crittografia
  • una mancanza di autenticazione

La privacy degli utenti può essere facilmente violata tramite le connessioni http poiché è un protocollo in chiaro che non è mai stato progettato per mantenere i dati privati.

Alcuni tipi di certificati https forniscono anche livelli di garanzia più elevati per aiutare i visitatori a distinguere tra siti legittimi e siti falsificati.

È ancora possibile utilizzare i siti Web http://?

L’uso di un sito web su http non è mai consigliato, poiché non sicuro ma esistono ancora siti web che utilizzano il vecchio protocollo. La deprecazione http non significa che cessa di esistere. I siti http saranno accessibili a coloro che usano Chrome o Firefox, tuttavia, in entrambi i browser, gli indicatori visivi mostrano che i siti http non sono sicuri. Gli utenti potranno comunque visitare i siti http, ma lo faranno dopo aver ricevuto un avvertimento sulla sicurezza del sito.

Nel nuovo aggiornamento di Google per il browser Chrome, gli avvisi a schermo intero sono associati a un ulteriore avviso quando si tenta di scaricare file da siti utilizzando http. Anche se il server dell’asset utilizza https. I download di software riceveranno il primo cartellino rosso da Google.

Nel corso dei primi mesi del 2020 abbiamo assistito ad importanti cambiamenti relativi alla politica sui certificati SSL da parte dei maggiori produttori mondiali di browser. Dopo la decisione di Apple di limitare la validità dei certificati SSL per Safari, in aprile è arrivato l’annuncio di Google di un piano per bloccare i download http in Google Chrome, il browser attualmente più utilizzato al mondo.

Google sta adottando misure per dissuadere le persone dall’hosting e dalla visita di un sito web che utilizza http e ciò avrà probabilmente un impatto sul modo in cui i clienti utilizzano il tuo sito web.

http: ma non dovevamo vederci più?

Google e il blocco dei download

Come sappiamo, Google Chrome e moltissimi altri browser mostrano un avviso “non sicuro” nella barra degli indirizzi quando visitiamo siti web privi di certificati SSL e che quindi non utilizzano un protocollo https.

In tal modo, gli utenti sono prontamente informati che la connessione non è sicura e che quindi è sconsigliato comunicare informazioni riservate con quei siti web. Tuttavia, questo avviso in molti casi non è sufficiente.

Quando ci si trova in presenza di quello che tecnicamente viene definito “contenuto misto” (ovvero un sito web in cui è installato un certificato SSL che permette il download di file tramite http), si incorre nel rischio che qualche hacker si insinui per un attacco malware. È una possibilità tutt’altro che remota, per questa serie di ragioni Google ha deciso di porre rimedio bloccando i download http dai siti web che implementano regolari certificati SSL.

Quali download verranno bloccati?

Secondo quanto annunciato da Google, Chrome 83 inizierà a bloccare i file che potenzialmente rappresentano il maggior rischio per gli utenti, ossia i file eseguibili con estensione .apk ed .exe. Nelle versioni successive, invece, Google gradualmente non permetterà il download di altri tipi di file fino al blocco totale con la release di Chrome 86, che sarà rilasciato a fine 2020.

In altre parole, da ottobre 2020 in poi non si potrà effettuare alcun download http da un sito che implementa dei certificati SSL. Questo aggiornamento è rivolto ai siti https che utilizzano URL di download http, poiché il browser sta dimostrando che il sito è sicuro ma il download in realtà non lo è.

http: ma non dovevamo vederci più?

Il piano di Google per i siti con certificati SSL

Prima di effettuare un blocco totale dei contenuti misti Google vuole dare la possibilità ai proprietari dei siti che hanno implementato i certificati SSL di rimuovere i contenuti misti scaricabili. Ecco perché Chrome 81, fornirà un messaggio di avviso della console su tutti i download relativi ai contenuti misti.

Cosa si prospetta per il futuro?

Sebbene Google abbia compiuto notevoli sforzi per far sì che i siti implementino i certificati SSL e che gli utenti siano consapevoli e sempre più sicuri, il problema dei contenuti misti era ed è una dimensione ancora poco conosciuta ed affrontata.

Google con le recenti release di Chrome sta abbandonando i download di contenuti misti e questo segnerà sicuramente una pietra miliare nel miglioramento della sicurezza informatica e della privacy online. 

X