Dal 2017 è obbligatorio avere il sito HTTPS?

Ultimamente ci sono sempre più dubbi su HTTPS. E’ vero o è una bufala che già da gennaio 2017 è obbligatorio avere il certificato SSL?

Se ne parla da mesi e nei luoghi di ritrovo ci si chiede se è vero che già dall’inizio del 2017 è obbligatorio avere il sito in HTTPS. Per molti si trattava di una bufala, ma seppur la notizia non sia del tutto vera detta così, c’è un fondo di verità. Cerchiamo di capirne di più.
L’8 settembre di quest’anno, Google ha annunciato sul suo blog che:
Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure

 

Sono tanti gli utenti che si sono impanicati ricordando cos’è successo con la Cookie’s law, ma non è questo il caso. Semplicemente succede che il prossimo Google Chrome (v56) etichetterà alcuni siti HTTP come non sicuri.
Detto in soldoni, capiamo tre cose:
  1. Avere il sito in HTTPS non è obbligatorio, perchè non c’è una legge, ma conviene averlo; Stando alle statistiche dei browser più usati, Google Chrome chiude il 2016 con il monopolio del  73.8 %. Quindi una larga percentuale di utenti cominceranno a percepire i siti HTTP come non sicuri e da cui allontanarsi al più presto.
  2. La cosa però non riguarda tutti, ma solo chi gestisce dati sensibili, come password e carte di credito; tutti gli altri potranno dormire sonni tranquilli. Non ci sarà alcuna dicitura sul proprio sito.
  3. L’etichetta “Non sicuro” non viene applicata a tutto il sito, ma solo alla pagina che manipola i dati sensibili. Questo non è un aspetto da sottovalutare, perchè spesso ci si affida a servizi esterni. Ad esempio, ci sono e-commerce che al momento del checkout mandano il carrello al sito dei pagamenti di PayPal. In questo caso l’e-commerce non tratta direttamente le carte di credito, perciò non dovrà implementare necessariamente HTTPS. Oppure, caso più pratico, in un blog senza iscrizione per gli utenti, sarà segnalata come non sicura solo la pagina di login, usata dall’amministratore.

Sarà pure una seccatura dover installare il certificato SSL, però se vogliamo un web un pelo più sicuro, è un’ottima cosa! Occhio però a parlare di sicurezza. Avere questo protocollo non significa che il nostro sito non potrà essere bucato. Semplicemente significa che se qualcuno intercettasse la comunicazione tra l’utente e il sito web (attacco Man In The Middle), vedrebbe i dati cifrati. A dirla tutta l’attacco Man In The Middle può andare a buon fine anche su siti HTTPS, sotto determinate condizioni. In questo caso, però, alcuni browser sono in grado di avvisarci: per questo è importante tenerli sempre aggiornati.

Allora i non interessati possono stare tranquilli?
Nì. Per il momento non c’è problema, ma il fatto che Google abbia un piano, vuol dire che è solo questione di tempo prima che tutti i siti HTTP siano etichettati come non sicuri. E non so a che pro avere il certificato se non si gestiscono dati che devono rimanere privati (password, carte di credito, chat). Certo è che Google vuole che HTTPS diventi la prassi.

L'autore

Ciao, sono Antonio D'Amore e sono un ingegnere informatico con la passione del web. Amo l'ambiente start-up e imparare ogni giorno cose nuove