Google pianifica di contrassegnare chiaramente i siti web non sicuri su Chrome

In un articolo su Security Blog, Google ha presentato il suo progetto di segnalare in futuro in maniera esplicita i siti HTTP non sicuri su Chrome, il suo browser. Per questo motivo nella versione 56, prevista per gennaio 2017, ci sarà una nuova barra degli indirizzi. All’URL di siti web non cifrati dovrebbe essere anteposto l’avviso di sicurezza “Not secure” (non sicuro), che si riferisce innanzitutto a tutte quelle pagine sulle quali verranno trasmessi i dati delle carte di credito e le password attraverso un protocollo non crittografato. Quali sono gli obiettivi a lungo termine e quali conseguenze avrà l’update per i gestori di siti web e gli utenti?

Se, come pianificato, Chrome 56 verrà lanciato all’inizio del prossimo anno, inizialmente verranno contrassegnati con l’etichetta “Not secure” solo gli indirizzi web di quei siti che trasmettono informazioni di carte di credito e password attraverso il protocollo HTTP non protetto (HyperText Transfer Protocol). Al momento il browser del motore di ricerca non segnala esplicitamente i siti di questo tipo, che trasmettono i dati senza certificato TLS o SSL. Infatti, seppure manchi del tutto il simbolo del lucchetto verde proprio delle pagine cifrate sulla barra degli indirizzi del browser, la maggior parte degli utenti non se ne accorge nemmeno, come dimostra lo studio di Google condotto insieme alla University of California. Nelle versioni successive di Chrome gli avvisi di sicurezza dovrebbero essere ampliati in maniera costante e continua. Così un possibile secondo passo potrebbe essere quello di inserire l’avviso “Not secure” per tutte le pagine HTTP nella modalità incognito, usata soprattutto dagli utenti con alte aspettative di sicurezza. Stando a quanto ha riferito sull’articolo del blog, Google sta pensando anche di inserire un simbolo generale su tutte le pagine non sicure nella modalità standard. È possibile che gli URL corrispondenti conterranno nella barra degli indirizzi un triangolo rosso, utilizzato per ora per quei siti web che hanno impostato erroneamente la connessione HTTPS.

Già a partire dall’agosto 2014 Google annunciò che la cifratura della trasmissione dati via protocollo SSL o TLS, impiegata per garantire la sicurezza generale nel World Wide Web, avrebbe inciso d’ora in avanti anche sulla valutazione del sito. Così i gestori di siti web dovrebbero essere invogliati ad installare un certificato di sicurezza per il proprio sito, senza contare che, da quando il passaggio ad HTTPS è diventato sempre più semplice e conveniente, il numero di siti web crittografati è notevolmente aumentato negli ultimi due anni. Con questa nuova iniziativa, Google vuole avviare ora una nuova era, alla quale i gestori di siti web potranno sottrarsi solo con molte difficoltà, visto che circa due terzi degli utenti di tutto il mondo accedono sul web con Chrome, secondo le statistiche di w3schools, e la tendenza sarebbe in crescita.

Quando gli utenti aprono una pagina dal loro browser, oggi di solito fanno molto di più che cliccare su di un semplice articolo. La cosiddetta fingerprint (impronta digitale) non è solo il risultato del monitoraggio tramite tool sconosciuti per i cookie e il tracking, ma sempre più spesso si lasciano le proprie informazioni anche in maniera consapevole, ad esempio scrivendo un post sui social network e sui forum o quando l’uso di un sito web è legato all’iscrizione a una newsletter o alla creazione di un account personale. In molti casi si richiede l’inserimento di un indirizzo e-mail, ma in questo modo si rivelano talvolta anche altre informazioni sensibili.

Di default dati come password, dati utente, indirizzi o conti bancari vengono trasmessi dal browser attraverso il protocollo di trasferimento Hypertext a tutti i database del sito web in questione. Sin dalla nascita del web questo protocollo fornisce dei servizi eccellenti, ma manca di una cifratura per le informazioni trasmesse. Per questo tutti i pacchetti dati, che vengono trasmessi attraverso una connessione HTTP e vengono intercettati nel percorso tra il browser e il web server, si presentano come testi in chiaro (non cifrati). Così i criminali del web possono arrivare senza problemi ai dati di login di un account e-mail, al conto bancario online o all’indirizzo di casa. Attraverso l’inserimento di un certificato SSL o TLS i gestori di un sito web assicurano che tutti i dati comunicati vengano trasmessi in maniera cifrata e quindi protetti da terzi.

Dal momento che la maggior parte della comunità di Internet sembra non aver ancora ben compreso l’importanza dei certificati SSL e TLS, Google cerca di chiarirlo con Chrome 56. Il nuovo sistema di allerta dovrebbe sensibilizzare più utenti sull’importanza della trasmissione dati cifrata e costringere i gestori di siti web commerciali ancora inattivi ad adottarla. Le modifiche in programma suggeriscono che il progetto avrà successo e gli utenti di Chrome eviteranno in futuro sempre di più quelle pagine contrassegnate come non sicure.

Inoltre Google potrebbe decidere di lasciare influire maggiormente nella valutazione il fattore di ranking HTTP. Mentre gli utenti di Chrome ottengono una nuova funzione per la sicurezza, al proprietario del sito viene quasi tolta la possibilità di decidere se adottare o meno il protocollo SSL/TLS. Passare a un trasferimento dati cifrato non sarà solo un must a partire da Chrome 56, ma risulterà anche una scelta saggia per ogni gestore di siti responsabile, che vuole attirare nuovi utenti sul suo sito. Per questo vale il motto: prima è, meglio è.