Home
HTTPS o morte

14 Settembre 2016

HTTPS o morte

di

Google dà l'ultimatum ai siti che ancora usano la versione insicura di http, il protocollo di trasmissione proprio del web.

Era il 1995 quando installai per la prima volta un sito https. Furono due giorni di lavoro intenso per un ingegnere e il sottoscritto dottore in informatica, passati a compilare codice. Per ottenere il certificato, ovvero la possibilità di mostrare il lucchetto chiuso ai navigatori, dovetti presentare visura camerale estesa, certificazione che non fossimo in liquidazione e altri scartafacci che dimostravano che eravamo una azienda sana, poi attendere quindici giorni ché si completassero i controlli e pagare una bella sommetta per il privilegio.

Erano decisamente altri tempi. Ci voleva un server dedicato con un IP fisso interamente destinato a un solo sito: questo fu il primo requisito a cadere, nel 2003, grazie alla tecnologia SNI, Server Name Indicator.

Sono parecchie le aziende che possono rilasciare un certificato https e la concorrenza fece scendere presto i prezzi. Di conseguenza anche le costose e lunghe verifiche cessarono — oggi ne resta qualcosa solo per chi vuole fregiarsi di un lucchetto verde, la Extended Validation. Come fanno Amazon, eBay e gli altri grandi del commercio elettronico.

 

Lucchetto verde e nome azienda: certificato https ev
Lucchetto verde senza nome azienda: certificato https normale
Cerchio grigio: sito http
Avviso rosso SITO INSICURO: sito http prossimamente
http eventualmente

Le grafiche usate da Google Chrome. Dall’alto: https EV, https standard, http oggi come oggi, http dal 31 gennaio 2017, http eventualmente.

 

Al contrario, per chi si contenta di un https base, il prezzo del certificato è sceso a zero da qualche mese. Inoltre, l’installazione e il rinnovo possono avvenire automaticamente.

Nell’agosto di questo 2016, il traffico web su https ha superato per la prima volta il 50 percento del totale. È un gran bene, perché la cifratura di tutti i dati che https porta con sé protegge segreti piccoli e grandi. Siamo al presente.

Per il buon vecchio http suonano ora le campane a morto. Merito di Google, che già da un annetto aveva deciso di premiare i siti https posizionandoli per primi nella graduatoria del suo motore di ricerca. Pochi giorni fa il gigante di Mountain View ha annunciato di voler fare di più.

Dal 31 gennaio prossimo tutti i siti http verranno presentati da Google Chrome come insicuri se fanno commercio elettronico o se permettono l’uso di password (cioè offrono un’area riservata, fosse solo per commentare un blog). Presto – Google non ci dice quando – sparirà anche quest’ultimo se. Ai consumatori verrà mostrato un avviso rosso di pericolo e verranno invitati ad allontanarsi incondizionatamente da tutti gli ultimi siti rimasti in http.

Non è notizia da poco. Google Chrome è il browser più usato, responsabile di oltre la metà delle pagine web viste al mondo sia in ambiente mobile che su PC/Mac. Chi gestisce un sito web o ne sovrintende la vita prenda nota: è l’ultimo avviso, restano tre mesi di tempo per adeguarsi e aggiornarsi ad https. E dare il benvenuto al web sicuro.

L'autore

  • Luca Accomazzi
    Luca Accomazzi (@misterakko) lavora con i personal Apple dal 1980. Autore di oltre venti libri, innumerevoli articoli di divulgazione, decine di siti web e due pacchetti software, Accomazzi vanta (in ordine sparso) una laurea in informatica, una moglie, una figlia, una società che sviluppa tecnologie per siti Internet

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.