Dal 2017 è obbligatorio avere il sito HTTPS?

Ultimamente ci sono sempre più dubbi su HTTPS. E’ vero o è una bufala che già da gennaio 2017 è obbligatorio avere il certificato SSL?


HTTPS obbligatorio?
Se ne parla da mesi e nei luoghi di ritrovo ci si chiede se è vero che già dall’inizio del 2017 è obbligatorio avere il sito in HTTPS. Per molti si trattava di una bufala, ma seppur la notizia non sia del tutto vera detta così, c’è un fondo di verità. Cerchiamo di capirne di più.
L’8 settembre di quest’anno, Google ha annunciato sul suo blog che:
Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure

 

Sono tanti gli utenti che si sono impanicati ricordando cos’è successo con la Cookie’s law, ma non è questo il caso. Semplicemente succede che il prossimo Google Chrome (v56) etichetterà alcuni siti HTTP come non sicuri.
Detto in soldoni, capiamo tre cose:
  1. Avere il sito in HTTPS non è obbligatorio, perchè non c’è una legge, ma conviene averlo; Stando alle statistiche dei browser più usati, Google Chrome chiude il 2016 con il monopolio del  73.8 %. Quindi una larga percentuale di utenti cominceranno a percepire i siti HTTP come non sicuri e da cui allontanarsi al più presto.
  2. La cosa però non riguarda tutti, ma solo chi gestisce dati sensibili, come password e carte di credito; tutti gli altri potranno dormire sonni tranquilli. Non ci sarà alcuna dicitura sul proprio sito.
  3. L’etichetta “Non sicuro” non viene applicata a tutto il sito, ma solo alla pagina che manipola i dati sensibili. Questo non è un aspetto da sottovalutare, perchè spesso ci si affida a servizi esterni. Ad esempio, ci sono e-commerce che al momento del checkout mandano il carrello al sito dei pagamenti di PayPal. In questo caso l’e-commerce non tratta direttamente le carte di credito, perciò non dovrà implementare necessariamente HTTPS. Oppure, caso più pratico, in un blog senza iscrizione per gli utenti, sarà segnalata come non sicura solo la pagina di login, usata dall’amministratore.

Sarà pure una seccatura dover installare il certificato SSL, però se vogliamo un web un pelo più sicuro, è un’ottima cosa! Occhio però a parlare di sicurezza. Avere questo protocollo non significa che il nostro sito non potrà essere bucato. Semplicemente significa che se qualcuno intercettasse la comunicazione tra l’utente e il sito web (attacco Man In The Middle), vedrebbe i dati cifrati. A dirla tutta l’attacco Man In The Middle può andare a buon fine anche su siti HTTPS, sotto determinate condizioni. In questo caso, però, alcuni browser sono in grado di avvisarci: per questo è importante tenerli sempre aggiornati.

Allora i non interessati possono stare tranquilli?
Nì. Per il momento non c’è problema, ma il fatto che Google abbia un piano, vuol dire che è solo questione di tempo prima che tutti i siti HTTP siano etichettati come non sicuri. E non so a che pro avere il certificato se non si gestiscono dati che devono rimanere privati (password, carte di credito, chat). Certo è che Google vuole che HTTPS diventi la prassi.

Se ti è piaciuto l'articolo seguimi sulla pagina Facebook


Commenti

  1. Fanno di tutto per spillare soldi e detenere il controllo. Chi dice o come si fa a definire che un sito con login e senza https non sia sicuro? Potrebbe essere un danno d’immagine… che se lo tengano il loro https.. per averlo ti fanno strapagare.. chi lo vuole sia libero di averlo…o di prenderlo..

    1. Purtroppo è vero che un sito con login senza protocollo https è insicuro, infatti basterebbe effettuare un attacco Man In The Middle (cioè che un malintenzionato intercetta la comunicazione tra l’utente e il server) per ottenere le credenziali di accesso.

      E’ anche vero, però, comme accennavo nell’articolo, che parlando per assolutezze non è detto che un sito https non sia vulnerabile a quel tipo di attacchi.

      Per i siti interessati che non vogliono adeguarsi i danni di immagine sono una conseguenza inevitabile, ma che purtroppo sta diventando sempre più necessaria, perchè gli attacchi informatici si moltiplicano ogni anno e possono fare danni inimmaginabili.

      Ovviamente, possedere un certificato SSL non vuol dire nemmeno che il sito web è sicuro. La sicurezza è solo un’illusione. Tutto consiste nell’essere più bravi di chi attacca.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *