Sito sicuro su Chrome e Firefox, che cosa significa

Chi ha aggiornato a Chrome 56, rilasciato il 25 gennaio 2017, o comunque aggiornerà o installerà successive versioni del browser di Google vedrà apparire – nella barra degli indirizzi – a sinistra dell’URL di molti siti web l’indicazione Non sicuro.

Ciò significa che le pagine che si stanno visitando includono una procedura di login, richiedono l’inserimento di informazioni personali o numeri di carte di credito senza usare alcun protocollo crittografico.

L’indicazione Sito sicuro in Chrome e Firefox (dizione Sicuro a sinistra della barra degli indirizzi) viene infatti adesso esposta solamente per quelle pagine che usano HTTPS, un certificato digitale valido e non scaduto.

Se il sito web che si sta visitando non richiede l’inserimento di credenziali o di altri dati “sensibili” ma usa semplicemente HTTP, l’indicazione Non sicuro non apparirà in Chrome all’interno della barra degli indirizzi e Firefox non visualizzerà un lucchetto con una barra rossa.

Entrambi i browser, infatti, si limiteranno a mostrare un’icona con una piccola “i” racchiusa in un circoletto.

Sito sicuro in Chrome: quando compare

Nella barra degli indirizzi di Chrome, all’apertura di alcune pagine web, compare l’indicazione Sicuro.
Ciò significa che la pagina è stata aperta utilizzando il protocollo HTTPS che, com’è noto, rispetto a HTTP, aggiunge l’impiego di un protocollo per la cifratura dei dati (TLS o il predecessore SSL).

Se un sito è indicato come Sicuro in Chrome significa che l’invio e la ricezione di informazioni da e verso il server web remoto è crittografato: nessun aggressore, posto sul percorso lungo il quale transitano i dati, potrà così intercettare le informazioni altrui e non avrà la possibilità né di leggerle né di modificarle.

Una comunicazione via HTTPS può avvenire anche senza certificato digitale ma l’utilizzo di quest’ultimo attesta che un sito web è effettivamente quello che dichiara di essere.
Il certificato digitale, quando emesso da un’autorità di certificazione riconosciuta a livello internazionale e nota a tutti i browser web, quando valido e non scaduto, permette di attestare (a vari livelli) l'”identità” di un sito Internet.

Abbiamo scritto “a vari livelli” perché esistono diverse tipologie di certificati digitali: gli EV SSL (Extended Validation SSL) sono quelli che offrono maggiori garanzie perché l’autorità responsabile dell’emissione del certificato digitale è chiamata a verificare attentamente l’identità del richiedente garantendola con la massima certezza.
Si tratta dei certificati più costosi che vengono generalmente richiesti e rinnovati da tutte le aziende di più grandi dimensioni.

Nel caso degli EV SSL, sia Chrome che Firefox visualizzano per esteso il nome della società che detiene il certificato, immediatamente a destra del lucchetto verde nella barra degli indirizzi (vedere anche Come riconoscere email phishing al paragrafo Link fasulli nell’email phishing).

I cosiddetti certificati DV SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà utilizzato: qualora il server utilizzasse un certificato DV SSL valido, il browser mostrerà semplicemente il lucchetto di colore verde nella barra degli indirizzi.

Sito sicuro in Chrome e Firefox: perché è bene passare a HTTPS. Per i webmaster

Anche se il proprio sito non gestisce informazioni personali o dati sensibili, il passaggio a HTTPS è divenuta un’esigenza sempre più pressante.

Google ha infatti più volte ricordato che l’utilizzo di HTTPS in luogo di HTTP permetterà di guadagnare qualche punto sui concorrenti durante l’indicizzazione del proprio sito e il ranking sul motore di ricerca.
Non che un sito HTTPS possa – d’emblée – superare tutti i rivali nelle SERP di Google (l’uso di HTTPS è solo uno dei parametri che consentono di guadagnare visibilità sul motore di ricerca e non è certo tra i primi della lista…) ma l’uso di questo protocollo consente comunque di ottenere un bonus, soprattutto per i siti che ospitano contenuti di qualità.

Per inciso, approfittiamo con l’anticipare che a giorni tutte le pagine de IlSoftware.it saranno erogate usando il protocollo HTTPS, insieme con tutte una serie di novità.

Ottenere un certificato digitale da usare con HTTPS, poi, è oggi divenuto ancora più semplice.
L’iniziativa Let’s Encrypt, promossa da Linux Foundation in collaborazione con Mozilla, Cisco, Akamai, EFF (Electronic Frontier Foundation) e Facebook mira a sensibilizzare i webmaster di tutto il mondo sull’importanza del passaggio a HTTPS (vedere Attivare HTTPS si deve, secondo Mozilla. Stop ai rinvii), permette di avere gratuitamente un certificato digitale valido che consentirà di ottenere l’indicazione Sicuro su Chrome oltre che il lucchetto verde su Firefox così come su qualunque altro browser.

Nei seguenti due articoli abbiamo spiegato come ottenere e usare i certificati digitali Let’s Encrypt su Linux e Windows Server:

– Come attivare HTTPS sul proprio server Linux
– Ottenere un certificato HTTPS gratuito (SSL/TLS) per IIS su Windows Server

Da non trascurare anche gli interventi tecnici volti alla disattivazione di tutti i protocolli, i cifrari, i meccanismi di hashing e i sistemi di scambio delle chiavi che non sono ritenuti più affidabili e che, anche nel recente passato, sono stati (e sono tutt’oggi) bersaglio di attacco.
Basti ricordare che se un browser richiedesse esplicitamente l’uso di un vecchio cifrario, ormai superato, e il server web ne permettesse l’impiego, le informazioni scambiate potrebbero cadere in mani altrui. Ne abbiamo parlato nei seguenti articoli, in passato:

– Disattivare SSL 3.0 e proteggere i dati personali dall’attacco POODLE
– Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?

Solo in questo modo, infatti, si potrà superare il test pubblicato sul sito di Qualys.

I possessori del servizio hosting Aruba (chiunque abbia un sito web in hosting presso il provider italiano) possono da qualche giorno richiedere gratuitamente un certificato DV SSL gratuito, attivabile subito.
Per procedere, basta seguire le indicazioni riportate nell’articolo Certificato SSL Aruba, da oggi disponibile in hosting.

Sia quello di Let’s Encrypt che quello di Aruba sono certificati DV SSL, emessi previa semplice validazione del dominio.

Una volta installato il certificato sul server web e disposta la migrazione da HTTP a HTTPS (fondamentale l’utilizzo del reindirizzamento 301, Moved permanently), perché Chrome indichi Sicuro nella barra degli indirizzi e Firefox mostri un lucchetto completamente verde, bisognerà controllare i contenuti della pagina web ed evitare che nella pagina HTTPS vengano inseriti anche contenuti richiamati via HTTP.

Attenzione ai contenuti HTTP inseriti in una pagina HTTPS

Perché Chrome e Firefox riportino l’indicazione Sito sicuro nella barra degli indirizzi, è indispensabile che tutti i contenuti inseriti nella pagina web (fare riferimento al suo codice HTML) siano erogati ricorrendo al protocollo HTTPS.

Basta anche una sola immagine, ospitata ad esempio su server remoti, a cui si faccia riferimento usando HTTP perché i browser si astengano dall’indicare la pagina come sicura, seppur veicolata via HTTPS (vedere più avanti il caso dei mixed content).

Premendo il tasto F12 in Chrome e Firefox si accede alla console per gli sviluppatori.
Da qui, si potrà immediatamente ottenere una linea degli elementi “non sicuri” caricati dalla pagina HTTPS.
In Chrome basta osservare la colonna di sinistra (scheda Security) e prendere in esame gli elementi sotto la voce Insecure origins.

In alternativa, il tool online SSL Check e l’applicazione desktop HTTPS Checker aiutano a scoprire quali contenuti HTTP vengono distribuiti dalla pagina web HTTPS.

Per gli utenti: come verificare l’utilizzo di HTTPS e di un certificato digitale valido

Nell’articolo Certificato di protezione del sito web: cosa fare quando c’è un problema abbiamo spiegato come comportarsi quando il browser segnala un problema legato al certificato digitale proposto dal sito web.

Per verificare il certificato digitale usato da ciascun sito web che adotta il protocollo HTTPS, è necessario (a partire da Chrome 56) premere il tasto F12.

Successivamente, bisognerà fare clic sul pulsante View certificate per controllare chi ha emesso il certificato (autorità di certificazione), a chi e per quali domini.

È bene notare che un certificato può riferirsi anche a un intero gruppo di terzi livelli (esempio google.com e *.google.com).
I dettagli tecnici sul certificato riportano anche la sua corrispondente data di scadenza.

Analoga procedura è applicabile in Firefox cliccando sul lucchetto verde quindi sulla freccia.

Successivamente bisognerà fare clic su Ulteriori informazioni quindi sul pulsante Visualizza certificato.

Nel caso in cui una pagina web utilizzasse HTTPS ma non tutti gli elementi fossero caricati via HTTPS (cosiddetto mixed content), Chrome non mostrerà l’indicazione Sicuro mentre Firefox l’icona di un lucchetto con un punto esclamativo giallo (vedere questa pagina di supporto).

I cosiddetti mixed content, soprattutto se quelli caricati via HTTPS (non HTTPS) sono contenuti attivi come codice JavaScript capaci di modificare la struttura della pagina web (DOM, Document Object Model), possono rivelarsi pericolosi.
Essi, infatti, potrebbero essere potenzialmente sfruttati da parte di un aggressore per modificare le informazioni contenute nella stessa pagina (e scambiate via HTTPS) con la possibilità, ad esempio, di intercettare nomi utente e password.

Suggeriamo anche di controllare quali certificati digitali sono installati sul proprio sistema: l’insediamento di certificati fasulli (automaticamente caricati da qualche software via a via installato) potrebbe seriamente mettere a repentaglio la riservatezza dei propri dati.
Nell’articolo Certificati digitali cosa sono e come rimuovere quelli fasulli abbiamo spiegato anche come si può verificare la presenza di certificati digitali malevoli.