Attivare HTTPS si deve, secondo Mozilla. Stop ai rinvii

Anche Mozilla pensa ad un “giro di vite” sui siti web che non usano il protocollo HTTPS, ossia il tradizionale HTTP (che di per sé permette soltanto l’invio e la ricezione di dati “in chiaro”) con l’aggiunta di un algoritmo per la crittografia asimmetrica.
Le informazioni trasmesse utilizzando HTTPS non sono, di norma, accessibili da parte di terzi (impossibile eseguire attacchi “man-in-the-middle“) che si pongano lungo il tragitto che compiono i dati da mittente a destinario proprio grazie alla crittografia. Ne abbiamo parlato negli articoli Certificato di protezione del sito web: cosa fare quando c’è un problema e Più veloce HTTP o HTTPS? Proviamo a chiarire.

Google ha già più volte sottolineato come l’utilizzo di HTTPS da parte degli amministratori di siti web sia sempre più da preferire. Anche in termini di ranking, il motore di ricerca di Mountain View darà sempre maggiore visibilità ai siti web che utilizzano il protocollo HTTPS anziché HTTP (qui l’articolo in cui gli ingegneri di Google spiegano la novità).

Mozilla sale sullo stesso treno di Google e dichiara, senza troppi giri di parole, che le nuove funzionalità implementate nel browser Firefox e negli altri prodotti della fondazione privilegeranno i siti facenti uso di HTTPS.

Gli sviluppatori di Mozilla non specificano per il momento – anche perché la questione è tema di discussioni, anche piuttosto accese – quali “penalizzazioni” subiranno i siti non-HTTPS.
Per il momento si precisa come Firefox impedisca già un utilizzo persistente di videocamera e microfono da parte dei siti che permettono l’impiego del solo protocollo HTTP.
Nelle nuove versioni di Firefox, però, potrebbe essere vietato alle pagine non-HTTPS l’uso delle caratteristiche che s’interfacciano pesantemente con l’hardware o comunque che hanno a che fare con sicurezza e privacy.

Il passaggio a HTTPS è cosa auspicabile, ormai, per tutti i siti web, anche per quelli che non gestiscono dati sensibili. Per procedere è necessario munirsi di un certificato digitale che viene utilizzato per attestare l’identità del sito web e per instaurare poi la comunicazione cifrata tra server e client collegati.
Si tratta di un problema, ad esempio, per i blogger che hanno allestito il proprio sito web acquistando servizi su server in hosting condiviso. In questi casi, infatti, il fornitore del servizio solitamente non permette l’impostazione e l’utilizzo di un certificato digitale per l’abilitazione della connessione SSL/TLS e, di conseguenza, l’uso del protocollo HTTPS.

Per chi invece dispone dell’utilizzo di un server dedicato o di un server cloud (vedere Come spostare un sito su altro server), prevedere l’utilizzo di un certificato digitale e, quindi, del protocollo HTTPS è solitamente piuttosto semplice.

I certificati digitali, emessi da autorità (CA) riconosciute a livello mondiale, solitamente si pagano ma esistono anche delle eccezioni come StartSSL (Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti) e WoSign che mettono a disposizione certificati gratuiti da utilizzare sui propri server web. In attesa che venga varata (entro fine giugno prossimo) l’iniziativa Let’s Encrypt (Let’s Encrypt: certificati digitali SSL/TLS gratuiti), promossa – tra gli altri – da Mozilla, Cisco, EFF e Akamai.

A questo indirizzo il documento contenente le risposte alle domande più frequenti (FAQ) appena preparato e pubblicato da Mozilla.