Google pianifica di con­tras­se­gna­re chia­ra­men­te i siti web non sicuri su Chrome

In un articolo su Security Blog, Google ha pre­sen­ta­to il suo progetto di segnalare in futuro in maniera esplicita i siti HTTP non sicuri su Chrome, il suo browser. Per questo motivo nella versione 56, prevista per gennaio 2017, ci sarà una nuova barra degli indirizzi. All’URL di siti web non cifrati dovrebbe essere anteposto l’avviso di sicurezza “Not secure” (non sicuro), che si riferisce in­nan­zi­tut­to a tutte quelle pagine sulle quali verranno trasmessi i dati delle carte di credito e le password at­tra­ver­so un pro­to­col­lo non crit­to­gra­fa­to. Quali sono gli obiettivi a lungo termine e quali con­se­guen­ze avrà l’update per i gestori di siti web e gli utenti?

Se, come pia­ni­fi­ca­to, Chrome 56 verrà lanciato all’inizio del prossimo anno, ini­zial­men­te verranno con­tras­se­gna­ti con l’etichetta “Not secure” solo gli indirizzi web di quei siti che tra­smet­to­no in­for­ma­zio­ni di carte di credito e password at­tra­ver­so il pro­to­col­lo HTTP non protetto (HyperText Transfer Protocol). Al momento il browser del motore di ricerca non segnala espli­ci­ta­men­te i siti di questo tipo, che tra­smet­to­no i dati senza cer­ti­fi­ca­to TLS o SSL. Infatti, seppure manchi del tutto il simbolo del lucchetto verde proprio delle pagine cifrate sulla barra degli indirizzi del browser, la maggior parte degli utenti non se ne accorge nemmeno, come dimostra lo studio di Google condotto insieme alla Uni­ver­si­ty of Ca­li­for­nia. Nelle versioni suc­ces­si­ve di Chrome gli avvisi di sicurezza do­vreb­be­ro essere ampliati in maniera costante e continua. Così un possibile secondo passo potrebbe essere quello di inserire l’avviso “Not secure” per tutte le pagine HTTP nella modalità incognito, usata so­prat­tut­to dagli utenti con alte aspet­ta­ti­ve di sicurezza. Stando a quanto ha riferito sull’articolo del blog, Google sta pensando anche di inserire un simbolo generale su tutte le pagine non sicure nella modalità standard. È possibile che gli URL cor­ri­spon­den­ti con­ter­ran­no nella barra degli indirizzi un triangolo rosso, uti­liz­za­to per ora per quei siti web che hanno impostato er­ro­nea­men­te la con­nes­sio­ne HTTPS.

Già a partire dall’agosto 2014 Google annunciò che la cifratura della tra­smis­sio­ne dati via pro­to­col­lo SSL o TLS, impiegata per garantire la sicurezza generale nel World Wide Web, avrebbe inciso d’ora in avanti anche sulla va­lu­ta­zio­ne del sito. Così i gestori di siti web do­vreb­be­ro essere in­vo­glia­ti ad in­stal­la­re un cer­ti­fi­ca­to di sicurezza per il proprio sito, senza contare che, da quando il passaggio ad HTTPS è diventato sempre più semplice e con­ve­nien­te, il numero di siti web crit­to­gra­fa­ti è no­te­vol­men­te aumentato negli ultimi due anni. Con questa nuova ini­zia­ti­va, Google vuole avviare ora una nuova era, alla quale i gestori di siti web potranno sottrarsi solo con molte dif­fi­col­tà, visto che circa due terzi degli utenti di tutto il mondo accedono sul web con Chrome, secondo le sta­ti­sti­che di w3schools, e la tendenza sarebbe in crescita.

Quando gli utenti aprono una pagina dal loro browser, oggi di solito fanno molto di più che cliccare su di un semplice articolo. La co­sid­det­ta fin­ger­print (impronta digitale) non è solo il risultato del mo­ni­to­rag­gio tramite tool sco­no­sciu­ti per i cookie e il tracking, ma sempre più spesso si lasciano le proprie in­for­ma­zio­ni anche in maniera con­sa­pe­vo­le, ad esempio scrivendo un post sui social network e sui forum o quando l’uso di un sito web è legato all’iscri­zio­ne a una new­slet­ter o alla creazione di un account personale. In molti casi si richiede l’in­se­ri­men­to di un indirizzo e-mail, ma in questo modo si rivelano talvolta anche altre in­for­ma­zio­ni sensibili.

Di default dati come password, dati utente, indirizzi o conti bancari vengono trasmessi dal browser at­tra­ver­so il pro­to­col­lo di tra­sfe­ri­men­to Hypertext a tutti i database del sito web in questione. Sin dalla nascita del web questo pro­to­col­lo fornisce dei servizi ec­cel­len­ti, ma manca di una cifratura per le in­for­ma­zio­ni trasmesse. Per questo tutti i pacchetti dati, che vengono trasmessi at­tra­ver­so una con­nes­sio­ne HTTP e vengono in­ter­cet­ta­ti nel percorso tra il browser e il web server, si pre­sen­ta­no come testi in chiaro (non cifrati). Così i criminali del web possono arrivare senza problemi ai dati di login di un account e-mail, al conto bancario online o all’indirizzo di casa. At­tra­ver­so l’in­se­ri­men­to di un cer­ti­fi­ca­to SSL o TLS i gestori di un sito web as­si­cu­ra­no che tutti i dati co­mu­ni­ca­ti vengano trasmessi in maniera cifrata e quindi protetti da terzi.

Dal momento che la maggior parte della comunità di Internet sembra non aver ancora ben compreso l’im­por­tan­za dei cer­ti­fi­ca­ti SSL e TLS, Google cerca di chiarirlo con Chrome 56. Il nuovo sistema di allerta dovrebbe sen­si­bi­liz­za­re più utenti sull’im­por­tan­za della tra­smis­sio­ne dati cifrata e co­strin­ge­re i gestori di siti web com­mer­cia­li ancora inattivi ad adottarla. Le modifiche in programma sug­ge­ri­sco­no che il progetto avrà successo e gli utenti di Chrome evi­te­ran­no in futuro sempre di più quelle pagine con­tras­se­gna­te come non sicure.

Inoltre Google potrebbe decidere di lasciare influire mag­gior­men­te nella va­lu­ta­zio­ne il fattore di ranking HTTP. Mentre gli utenti di Chrome ottengono una nuova funzione per la sicurezza, al pro­prie­ta­rio del sito viene quasi tolta la pos­si­bi­li­tà di decidere se adottare o meno il pro­to­col­lo SSL/TLS. Passare a un tra­sfe­ri­men­to dati cifrato non sarà solo un must a partire da Chrome 56, ma risulterà anche una scelta saggia per ogni gestore di siti re­spon­sa­bi­le, che vuole attirare nuovi utenti sul suo sito. Per questo vale il motto: prima è, meglio è.