attori industria domini
Come nasce un dominio e quali attori sono coinvolti nella registrazione?
15-04-2020
attori industria domini
Come nasce un dominio e quali attori sono coinvolti nella registrazione?
15-04-2020
Mostra tutto

Sto visitando un sito web sicuro?

Categorie
Tag
https browser

Quello della sicurezza in Internet è un argomento sempre più dibattuto, passato in pochi anni da questione di nicchia a fenomeno di pubblico interesse. Gli aspetti che riguardano la sicurezza sono molteplici, ma per il comune navigatore si parte quasi sempre da un punto ben preciso: avere la tranquillità di star visitando un sito web che si possa definire sicuro.

Per capirsi, qui per “sicuro” si intende soprattutto “legittimo”. Come verificare la reale identità di chi “sta dietro” al sito web che stai visualizzando? Chi afferma di esserne l’intestatario è davvero tale? E infine, le comunicazioni da/per il sito contenenti i tuoi dati sono protette?

In questo frangente ci vengono in aiuto i cosiddetti Certificati Digitali. Un certificato digitale del tipo SSL/TLS è uno strumento che serve appunto per “certificare”, cioè garantire l’identità del sito e proteggere i dati scambiati con esso, facendo in modo che non siano leggibili da parte di estranei. Si tratta del classico lucchetto di cui molti avranno sentito parlare e che avrai notato talvolta in alto nel browser, vicino all’indirizzo del sito. Ma se oramai il concetto di controllare la presenza del lucchetto è (forse) ai più conosciuto, ciò non garantisce comunque una totale tranquillità… e districarsi tra i tecnicismi non è così semplice.

I Certificati Digitali EV

Esistono infatti diversi tipi di certificato, più o meno attendibili. Analizzare le differenze non è l’obiettivo di questo articolo (per un approfondimento in materia si veda il post Le diverse tipologie di Certificati SSL), basti però sapere che i siti che garantiscono un livello superiore di protezione utilizzano certificati di tipo EV, che vengono rilasciati solo dopo aver sottoposto il proprietario a uno scrupoloso processo di identificazione (EV sta per “Extended Validation”, appunto).

Per questo motivo, per molti anni tutti i browser hanno visualizzato i siti protetti da certificati EV in maniera differente rispetto a quelli che usavano altri certificati, in modo da fornire al visitatore un chiaro segnale che stesse visitando un sito particolarmente affidabile. A livello visivo il colore della barra dell’indirizzo veniva modificato in verde, con a fianco il nome della società intestataria del sito. In questo modo si sapeva a colpo d’occhio di essere su un sito “verificato”, gestito da una determinata società.

apple sito web sicuro
Esempio di browser con “green bar”, a evidenziare un sito protetto da un Certificato Digitale EV. Si noti la colorazione in verde e il nome della società.

Quello che sembrava l’approccio ideale per infondere sicurezza nel navigatore è stato recentemente abbandonato dai vari produttori di browser a favore di una soluzione neutrale, comune a tutte le tipologie di certificato. Ora non è più così immediato comprendere se si stia navigando su un sito che ha fatto tutto il possibile per “certificare” la propria affidabilità. Tuttavia non è impossibile: tutte le informazioni sono ancora lì, semplicemente non sono più messe in evidenza come prima.

Verificare l’affidabilità di un sito

Vediamo allora come accertarci che un sito web sia sicuro, usando come esempio PayPal.com, che si avvale appunto di un certificato EV. In particolare ci interessa avere rassicurazioni sull’identità di chi sta rivolgendosi a noi, per capire se sia veramente chi afferma di essere sulle pagine del sito web. Inoltre, dati i continui tentativi di phishing, l’indirizzo del sito che stiamo visualizzando è effettivamente quello che avevamo intenzione di visitare? Entrambe le informazioni ci vengono garantite da un certificato digitale di tipo EV, sebbene le troveremo – seppur in maniera minore – anche in siti che utilizzano altri tipi di certificati.

I passaggi per fare queste verifiche sono piuttosto semplici, ma variano in base al programma di navigazione utilizzato. Sono stati presi in considerazione i browser più diffusi: Chrome di Google, Edge di Microsoft (il successore del famosissimo Internet Explorer), Firefox di Mozilla e Safari di Apple.

Google Chrome / Microsoft Edge

Chrome sito web sicuro
Sito protetto da certificato, così come appare nella versione attuale di Chrome.
Chrome info ssl
A un primo click vengono mostrati lo stato del certificato (se è valido) e la società a cui è associato, con la nazione di appartenenza.


Google Chrome è il browser che nel corso degli anni ha subìto il maggior numero di cambiamenti alla modalità di visualizzazione dei certificati, in particolare per quelli di tipo EV. Inizialmente la barra degli indirizzi mostrava in verde sia il nome della società che il lucchetto, poi soltanto quest’ultimo veniva colorato e infine il nome della società è scomparso del tutto. Nelle ultime versioni (build 81) la colorazione in verde è stata rimossa completamente. Non più visibili immediatamente, è necessario cliccare sul lucchetto per visualizzare le informazioni relative al certificato.

Cliccando su “Certificate: Valid” viene mostrata la schermata sottostante, che riporta i dati completi del certificato digitale.

Chrome certificato digitale ssl
Espandendo i dettagli si possono visualizzare ulteriori informazioni sulla società, nonché la lista degli indirizzi per cui questo certificato è valido (“Common Name” e, continuando a scorrere, “DNS Name”). Notare in alto l’indicazione del certificato EV (Extended Validation).

Per quanto riguarda Microsoft Edge, questo browser condivide da qualche tempo lo stesso motore di Chrome (Chromium) e quindi il processo per stabilire se un sito web è sicuro è esattamente lo stesso di quello appena illustrato.

Registri domini per i tuoi clienti?

Sei una web agency, un hosting provider o un webmaster?

AFFIDATI A NOMEASY!

Mozilla Firefox

Firefox sito web sicuro
Sito protetto da certificato, così come appare nella versione attuale di Firefox.

Seguendo quello che pare essere il trend attuale, anche la più recente versione di Firefox (build 75) ha rimosso dalla barra degli indirizzi qualsiasi riferimento alla società intestataria del certificato, così come la colorazione in verde. Pure in questo caso è necessario cliccare sul lucchetto per ottenere ulteriori informazioni sul certificato digitale del sito che si sta visualizzando.

Firefox info ssl 1
Cliccando sul lucchetto, in caso di certificato EV viene subito mostrato il nome della società titolare del sito web. Ulteriori informazioni si possono ottenere cliccando sulla freccia a destra…
Firefox info ssl 2
… visualizzando altri dettagli sulla società. Per vedere il certificato completo Firefox richiede qualche click in più, selezionando il pulsante in basso “More Information”…
Firefox info ssl 3
… che apre una schermata di intermezzo dalla quale risalire al certificato vero e proprio, cliccando su “View Certificate”.
Firefox certificato digitale ssl
A differenza degli altri browser, Firefox mostra i dati del certificato in una pagina dedicata, ricca di informazioni. Scorrendo è possibile trovare la lista di tutti gli hostname validi per il certificato in questione (DNS Name). In alto l’indicazione del certificato EV (Extended Validation).

Apple Safari

Safari sito web sicuro
Sito protetto da certificato, così come appare nella versione attuale di Safari.

Anche Apple ha recentemente modificato la visualizzazione dei certificati EV nel suo browser. Fino a pochi mesi fa la barra degli indirizzi di Safari veniva completamente colorata in verde in caso di certificato EV, ma con la versione 14 è stata rimossa ogni particolare formattazione. E’ quindi necessario seguire quello che sembra oramai lo standard del mercato, cliccando sul lucchetto di fianco all’indirizzo.

Safari info ssl
Cliccando sul lucchetto viene mostrata una prima schermata riassuntiva, ma è necessario selezionare “Show Certificate” per visualizzare il certificato vero e proprio.
Safari certificato digitale ssl
Espandendo i dettagli sono visibili tutte le informazioni sulla società intestataria del certificato e gli hostname ad esso associati. Anche in questo caso in alto viene indicato che ci troviamo di fronte a un certificato di tipo EV (Extended Validation).

Per concludere…

Come testimoniano i continui aggiornamenti di tutti i browser, il dibattito su come evidenziare la presenza di un sito web sicuro è ancora aperto. Nel corso degli anni sono stati sperimentati diversi approcci, nel tentativo di bilanciare da un lato la sempre più sentita necessità di informare il navigatore e dell’altro la volontà di farlo nella maniera meno invasiva possibile.

Il problema della sicurezza interessa oramai tutti e non solo gli addetti ai lavori, ma anche la stereotipata “casalinga di Voghera” che vuole comprare della farina online. E’ probabile aspettarsi nei prossimi anni l’introduzione di ulteriori variazioni, nella speranza che si possa arrivare a definire uno standard comune a tutti i browser, che consenta all’utente di capire immediatamente se ci si trovi davanti a un sito affidabile oppure se sia consigliato esercitare molta cautela, specialmente nel momento in cui viene richiesto di fornire delle informazioni o ci si appresta a effettuare un acquisto.

In attesa di ciò, è bene imparare a districarsi tra qualche tecnicismo per capire da soli quando fidarsi o meno.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.