5790 Letture

Un'estensione di EFF controlla l'uso del protocollo HTTPS

EFF (Electronic Frontier Foundation), la storica organizzazione con sede negli Stati Uniti che si prefigge di difendere i diritti di libertà di parola in Rete, ha annunciato il rilascio di una versione di anteprima di HTTPS Everywhere. Si tratta di un'estensione per il browser Mozilla Firefox che è stata sviluppata in collaborazione con gli esperti del progetto "TOR".
Secondo quanto dichiarato, il lancio della versione del motore di ricerca di Google basata sull'utilizzo del protocollo https avrebbe funto da ispirazione per lo sviluppo dell'estensione targata EFF.

L'obiettivo dell'estensione lanciata da EFF e TOR consiste nell'assicurarsi che quanti più utenti possibile si affidino al protocollo HTTPS: solo in questo modo ci si può assicurare che le comunicazioni in corso tra client e server avvengano in forma cifrata e non possana così essere intercettate.


Stando a quanto riportato da Peter Eckersley di EFF, l'estensione funzionerebbe correttamente con il motore di ricerca di Google, Wikipedia, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, Scroogle ed altri servizi e motori di ricerca meno noti.
L'estensione HTTPS Everywhere può essere prelevata ed installata facendo riferimento a questa pagina.

Come regola generale è bene ricordare, comunque, di non fare massimo affidamento sulla comparsa dell'indicazione HTTPS nella barra del browser, soprattutto allorquando si sia cliccato su link non affidabili. Il massimo livello di sicurezza si ha infatti quando Firefox visualizza un'indicatore di colore verde nella barra degli indirizzi. In queste situazioni, l'utente viene informato circa l'utilizzo - da parte del sito web in corso di visita - di un certificato EV-SSL (Extended Validation SSL). Per non far insospettire l'utente, infatti, i malintenzionati che pongono in essere attacchi phishing fanno sempre più uso del protocollo https:// e quindi di certificati DV-SSL che non richiedono alcuna verifica sull'identità del proprietario.


Il suggerimento appannaggio degli utenti meno esperti, che spesso viene ricordato, consiste nel controllare la presenza del famoso "lucchetto" nella barra degli indirizzi del browser. Tale indicazione visiva attesta l'uso del protocollo https://. Questo consiglio, come abbiamo appena evidenziato, non è però più sufficiente. I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito: i "phishers" hanno così vita nettamente più facile avendo l'opportunità di utilizzare un certificato valido a tutti gli effetti. L'identità non è in alcun modo verificata dal momento che il controllo si limita alla proprietà del sito web.

Ecco quindi la necessità di guardare ai certificati EV-SSL che forniscono un livello di sicurezza nettamente superiore. In questo caso il fornitore del certificato verifica l'identità del richiedente garantendola con la massima certezza.
Attenzione quindi, come ricordato ormai da un sempre maggior numero di esperti, a non dare troppa fiducia alla comparsa della dizione https:// nella barra degli indirizzi del browser web. A meno che questa si colori di verde, ad informare circa l'utilizzo di un certificato EV-SSL.

  1. Avatar
    Michele Nasi
    22/06/2010 15:41:04
    Non ho ben capito. Quando scrivi "il problema è nel fatto di svilire o meno l'unico prodotto utile ad identificare e legare assieme sito web e proprietario dello stesso cosa che può essere fatta solo da chi consideri l'autenticazione del sito una cosa seria", a che cosa ti riferisci? Perché nell'articolo, come peraltro avevamo sottolineato all'indirizzo http://www.ilsoftware.it/articoli.asp?id=6181 , penso ben si evinca l'importanza dei certificati EV-SSL. Considera comunque che trattasi di una "news" e non di un articolo di approfondimento: in questo caso sono partito dal tema di attualità del rilascio di un'estensione chiamata "HTTPS Everywhere" per invitare i lettori ad una riflessione più generale sul tema certificati SSL.
  2. Avatar
    Lettore anonimo
    22/06/2010 15:28:21
    Citazione: Ciao! Nell'articolo ho comunque fatto riferimento agli EV-SSL che forniscono il massimo livello di affidabilità ed ho scritto che in Mozilla Firefox sono esplicitamente evidenziati con il colore verde. Questo per dire che, come regola generale, è bene non fidarsi ciecamente della comparsa dell'indicazione https: nella barra degli indirizzi. Ben vengano estensioni come "HTTPS Everywhere" di EFF ma credo sia ormai giunta l'ora che alcuni media e certi "commentatori" evitino di ricordare sempre l'ormai vetusto e superato consiglio "controllate che vi compaia il classico lucchetto nel browser"...
    L'intenzione del www.cabforum.org è quella ma sopratutto di riportare il protocollo ssl alla non banalità dove sta andando quindi hai ragione tu il lucchetto no basta, il problema è nel fatto di svilire o meno l'unico prodotto utile ad identificare e legare assieme sito web e proprietario dello stesso cosa che può essere fatta solo da chi consideri l'autenticazione del sito una cosa seria.
  3. Avatar
    Michele Nasi
    22/06/2010 11:44:56
    Ciao! Nell'articolo ho comunque fatto riferimento agli EV-SSL che forniscono il massimo livello di affidabilità ed ho scritto che in Mozilla Firefox sono esplicitamente evidenziati con il colore verde. Questo per dire che, come regola generale, è bene non fidarsi ciecamente della comparsa dell'indicazione https: nella barra degli indirizzi. Ben vengano estensioni come "HTTPS Everywhere" di EFF ma credo sia ormai giunta l'ora che alcuni media e certi "commentatori" evitino di ricordare sempre l'ormai vetusto e superato consiglio "controllate che vi compaia il classico lucchetto nel browser"...
  4. Avatar
    mpenco
    22/06/2010 11:29:15
    Caro Michele, Io aggiusterei il tiro su "i malintenzionati che pongono in essere attacchi phishing fanno sempre più uso del protocollo https:// e quindi di certificati DV-SSL che non richiedono alcuna verifica sull'identità del proprietario." L'utente non è in condizione di valutare se il certificato sia un DV od un SSL tradizionale.
Un'estensione di EFF controlla l'uso del protocollo HTTPS - IlSoftware.it