Ricerca

venerdì 20 gennaio


Sito sicuro su Chrome e Firefox, che cosa significa

Sito sicuro su Chrome e Firefox, che cosa significa

di Michele Nasi (10/01/2017)

Da qualche giorno nella barra degli indirizzi di Chrome, all'apertura di alcune pagine web, compare l'indicazione Sicuro.
Ciò significa che la pagina è stata aperta utilizzando il protocollo HTTPS che, com'è noto, rispetto a HTTP, aggiunge l'impiego di un protocollo per la cifratura dei dati (TLS o il predecessore SSL).

Se un sito è indicato come Sicuro in Chrome significa che l'invio e la ricezione di informazioni da e verso il server web remoto è crittografato: nessun aggressore, posto sul percorso lungo il quale transitano i dati, potrà così intercettare le informazioni altrui e non avrà la possibilità né di leggerle né di modificarle.

Una comunicazione via HTTPS può avvenire anche senza certificato digitale ma l'utilizzo di quest'ultimo attesta che un sito web è effettivamente quello che dichiara di essere.
Il certificato digitale, quando emesso da un'autorità di certificazione riconosciuta a livello internazionale e nota a tutti i browser web, quando valido e non scaduto, permette di attestare (a vari livelli) l'"identità" di un sito Internet.

Abbiamo scritto "a vari livelli" perché esistono diverse tipologie di certificati digitali: gli EV SSL (Extended Validation SSL) sono quelli che offrono maggiori garanzie perché l'autorità responsabile dell'emissione del certificato digitale è chiamata a verificare attentamente l'identità del richiedente garantendola con la massima certezza.
Si tratta dei certificati più costosi che vengono generalmente richiesti e rinnovati da tutte le aziende di più grandi dimensioni.

Nel caso degli EV SSL, sia Chrome che Firefox visualizzano per esteso il nome della società che detiene il certificato, immediatamente a destra del lucchetto verde nella barra degli indirizzi (vedere anche Come riconoscere email phishing al paragrafo Link fasulli nell'email phishing).

Sito sicuro su Chrome e Firefox, che cosa significa

I cosiddetti certificati DV SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà utilizzato: qualora il server utilizzasse un certificato DV SSL valido, il browser mostrerà semplicemente il lucchetto di colore verde nella barra degli indirizzi.

Sito sicuro in Chrome e Firefox: perché è bene passare a HTTPS. Per i webmaster

Anche se il proprio sito non gestisce informazioni personali o dati sensibili, il passaggio a HTTPS è divenuta un'esigenza sempre più pressante.

Google ha infatti più volte ricordato che l'utilizzo di HTTPS in luogo di HTTP permetterà di guadagnare qualche punto sui concorrenti durante l'indicizzazione del proprio sito e il ranking sul motore di ricerca.
Non che un sito HTTPS possa - d'emblée - superare tutti i rivali nelle SERP di Google (l'uso di HTTPS è solo uno dei parametri che consentono di guadagnare visibilità sul motore di ricerca e non è certo tra i primi della lista...) ma l'uso di questo protocollo consente comunque di ottenere un bonus, soprattutto per i siti che ospitano contenuti di qualità.

Per inciso, approfittiamo con l'anticipare che a giorni tutte le pagine de IlSoftware.it saranno erogate usando il protocollo HTTPS, insieme con tutte una serie di novità.

Ottenere un certificato digitale da usare con HTTPS, poi, è oggi divenuto ancora più semplice.
L'iniziativa Let's Encrypt, promossa da Linux Foundation in collaborazione con Mozilla, Cisco, Akamai, EFF (Electronic Frontier Foundation) e Facebook mira a sensibilizzare i webmaster di tutto il mondo sull'importanza del passaggio a HTTPS (vedere Attivare HTTPS si deve, secondo Mozilla. Stop ai rinvii), permette di avere gratuitamente un certificato digitale valido che consentirà di ottenere l'indicazione Sicuro su Chrome oltre che il lucchetto verde su Firefox così come su qualunque altro browser.

Nei seguenti due articoli abbiamo spiegato come ottenere e usare i certificati digitali Let's Encrypt su Linux e Windows Server:

- Come attivare HTTPS sul proprio server Linux
- Ottenere un certificato HTTPS gratuito (SSL/TLS) per IIS su Windows Server

Da non trascurare anche gli interventi tecnici volti alla disattivazione di tutti i protocolli, i cifrari, i meccanismi di hashing e i sistemi di scambio delle chiavi che non sono ritenuti più affidabili e che, anche nel recente passato, sono stati (e sono tutt'oggi) bersaglio di attacco.
Basti ricordare che se un browser richiedesse esplicitamente l'uso di un vecchio cifrario, ormai superato, e il server web ne permettesse l'impiego, le informazioni scambiate potrebbero cadere in mani altrui. Ne abbiamo parlato nei seguenti articoli, in passato:

- Disattivare SSL 3.0 e proteggere i dati personali dall'attacco POODLE
- Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?

Solo in questo modo, infatti, si potrà superare il test pubblicato sul sito di Qualys.

I possessori del servizio hosting Aruba (chiunque abbia un sito web in hosting presso il provider italiano) possono da qualche giorno richiedere gratuitamente un certificato DV SSL gratuito, attivabile subito.
Per procedere, basta seguire le indicazioni riportate nell'articolo Certificato SSL Aruba, da oggi disponibile in hosting.

Sia quello di Let's Encrypt che quello di Aruba sono certificati DV SSL, emessi previa semplice validazione del dominio.

Una volta installato il certificato sul server web e disposta la migrazione da HTTP a HTTPS (fondamentale l'utilizzo del reindirizzamento 301, Moved permanently), perché Chrome indichi Sicuro nella barra degli indirizzi e Firefox mostri un lucchetto completamente verde, bisognerà controllare i contenuti della pagina web ed evitare che nella pagina HTTPS vengano inseriti anche contenuti richiamati via HTTP.

Per gli utenti: come verificare l'utilizzo di HTTPS e di un certificato digitale valido

Nell'articolo Certificato di protezione del sito web: cosa fare quando c'è un problema abbiamo spiegato come comportarsi quando il browser segnala un problema legato al certificato digitale proposto dal sito web.

Per verificare il certificato digitale usato da ciascun sito web che si appoggia a HTTPS, basta cliccare sul lucchetto verde e, nel caso di Chrome, selezionare Dettagli.

Sito sicuro su Chrome e Firefox, che cosa significa

Successivamente, bisognerà fare clic sul pulsante View certificate per controllare chi ha emesso il certificato (autorità di certificazione), a chi e per quali domini. È bene notare che un certificato può riferirsi anche a un intero gruppo di terzi livelli (esempio google.com e *.google.com).
I dettagli tecnici sul certificato riportano anche la sua corrispondente data di scadenza.

Sito sicuro su Chrome e Firefox, che cosa significa

Analoga procedura è applicabile in Firefox cliccando sul lucchetto verde quindi sulla freccia.

Sito sicuro su Chrome e Firefox, che cosa significa

Successivamente bisognerà fare clic su Ulteriori informazioni quindi sul pulsante Visualizza certificato.

Sito sicuro su Chrome e Firefox, che cosa significa

Nel caso in cui una pagina web utilizzasse HTTPS ma non tutti gli elementi fossero caricati via HTTPS (cosiddetto mixed content), Chrome non mostrerà l'indicazione Sicuro mentre Firefox l'icona di un lucchetto con un punto esclamativo giallo (vedere questa pagina di supporto).

I cosiddetti mixed content, soprattutto se quelli caricati via HTTPS (non HTTPS) sono contenuti attivi come codice JavaScript capaci di modificare la struttura della pagina web (DOM, Document Object Model), possono rivelarsi pericolosi.
Essi, infatti, potrebbero essere potenzialmente sfruttati da parte di un aggressore per modificare le informazioni contenute nella stessa pagina (e scambiate via HTTPS) con la possibilità, ad esempio, di intercettare nomi utente e password.

Suggeriamo anche di controllare quali certificati digitali sono installati sul proprio sistema: l'insediamento di certificati fasulli (automaticamente caricati da qualche software via a via installato) potrebbe seriamente mettere a repentaglio la riservatezza dei propri dati.
Nell'articolo Certificati digitali cosa sono e come rimuovere quelli fasulli abbiamo spiegato anche come si può verificare la presenza di certificati digitali malevoli.

Articolo seguente: Funzioni Android da attivare o disattivare subito
Articolo precedente: Che cos'è Intel Optane e come funziona: inizia l'era post SSD
2025 letture
Ultimi commenti
Nessun lettore ha inviato un commento.
Vuoi essere il primo? Clicca su Inserisci il tuo commento!


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2017

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS