È arrivato il giorno. La fine. The Doomsday.
Insomma, Google ha annunciato che a partire da luglio 2018 tutti i siti HTTP saranno segnalati come non sicuri, perciò è necessario migrare ad HTTPS il prima possibile.
Ricorderete che a partire da gennaio 2017, con la nuova versione di Chrome v56, veniva etichettato come “non sicuro” qualsiasi sito HTTP contenente form di login (cioè con campi password) o di pagamento (cioè con carte di credito) e di questo ne avevo già parlato in un articolo. Da luglio, invece, la tanto temuta dicitura verrà applicata a tutti i siti HTTP, senza distinzioni.
Questa decisione non deve sorprendere, perché è sempre stato nei piani di Google, che fin dai primi annunci ha espresso la volontà di spingere tutto il web verso una soluzione più sicura.
Ribadisco per l’ennesima volta che Google non è autorizzato a stabilire alcuna obbligatorietà, ma fatto sta che Chrome è il browser più usato del mondo e, se questo etichetta un sito come “Non sicuro”, gli utenti cominceranno a credere di essere in pericolo, che qualcosa di illecito stia già accadendo e fuggiranno via.
Fuggite, sciocchi – Chrome, il grigio
I dati in transito durante delle chiamate HTTP viaggiano in chiaro, perciò basterebbe uno sniffing affinchè un estraneo possa leggere le vostre informazioni. HTTPS non fa altro che utilizzare un tunnel SSL/TLS in grado di cifrare le informazioni, così che nessuno possa accedere ai vostri dati. Di questo parleremo ampiamente e approfonditamente nei prossimi articoli.
Vedo molti nasi storcersi tra gli addetti ai lavori, ma misure del genere sono utili o no? Spesso si contesta l’uso di HTTPS semplicemente perché non si trattano dati personali o sensibili. Io penso che non si dovrebbe parlare solo di sicurezza in senso stretto, ma anche di riservatezza. Non si tratta solo di “hacker che vi rubano la password”, ma di gente che potrebbe vedere tutti i vostri movimenti: quali siti visitate, cosa leggete, eccetera, e per farlo basta veramente poco. La privacy è uno dei temi caldi degli ultimi tempi e, senza un protocollo di cifratura, questa viene meno.
Oggi conviene passare ad HTTPS il prima possibile e fortunatamente potete farlo in maniera più o meno semplice. Negli utlimi anni si sono diffusi servizi come Let’s Encrypt, che permettono di installare certificati gratuitamente. Se usate un pannello di gestione del server, come cPanel o Plesk, sarà un giochetto da ragazzi installarlo, attraverso operazioni one-click. Se invece volete o dovete sporcarvi le mani, ho scritto una guida per installare un certificato TLS da linea di comando.
Ora tutti a sistemare i propri siti web. Prevedo mesi di allarmismo e urla di terrore, ma non è poi così tragico, su.