1 Commento

L'estinzione dei siti senza https

Mi piace una cifra

di

thumbnail

16

nov

2015

Se non è https non lo vogliamo: la cifratura del traffico sul web compie altri importanti passi avanti e diventa lo standard.

In un sol post ho tre notizie, ciascuna un passo avanti verso la totale cifratura del web. I siti http, il cui traffico viaggia in chiaro, stanno per estinguersi come i dinosauri e vengono aggiornati a tappe forzate per adottare la codifica https.

Prima notizia

Dal 1 gennaio 2016 Chrome segnalerà come insicuri i siti https con certificato digitale firmato SHA-1 (che da sempre e sino al 31 dicembre di quest’anno segnala invece come sicuri). È un importante passo avanti perché costringe un po’ tutti i professionisti del web a farsi carico di mantenere aggiornata l’infrastruttura software che garantisce sicuro e non intercettabile il traffico dati https.

Chi tra i nostri lettori è responsabile IT di azienda, visiti subito il suo sito. Se è http e non https commetta seppuku per lavare col sangue l’onta non altrimenti cancellabile. Se è https faccia clic sull’icona del lucchetto chiuso e chieda al browser ulteriori informazioni sul certificato, concentrandosi sulla firma.

Informazioni sul certificato https dall'interno del browser. Dai dettagli qui emerge una firma SHA-1.

Una firma come questa non verrà più accettata da Chrome, ben presto.

 

Una firma indicata come SHA-1 indica un problema da risolvere, e in fretta (ma grazie al cielo, gratis: ri-emettere un certificato con firma differente non costa nulla). Una firma SHA-2 — chiamata anche SHA-256, perché ha una lunghezza di 256 bit — usa un algoritmo moderno ed è perfettamente sicura. Se questo è il vostro caso, molte pacche sulle spalle, anzi fate leggere questo articolo al capo e profittate per chiedere un meritato aumento.

I nostri lettori che non possiedono e non controllano siti web, ma che navigano con Chrome, possono limitarsi a tenere in un angolo del cervello l’informazione che un sito web “sicuro” sino al 31 dicembre e “insicuro” dal primo gennaio in realtà non è cambiato, ha solo un proprietario molto distratto e poco attento alle cose importanti.

Una firma SHA-2, molto più complessa e pronta per le sfide del 2016

Una firma SHA-2, molto più complessa e pronta per le sfide del 2016.

 

Seconda notizia

A volte si incoccia in una pagina web realizzata combinando alcuni componenti https e alcuni altri soltanto http. Va spiegato per chi non s’è mai interessato al funzionamento del web: questo può accadere perché le immagini, i font, i testi, la programmazione che costituiscono una pagina vengono trasmessi via Internet come un mucchio di file distinti e non uno solo (come sarebbe il caso di un documento PDF). In passato, quando questo accadeva, il browser reagiva con una segnalazione che diceva sostanzialmente questa pagina non è del tutto sicura di difficile comprensione per molti.

Con le più recenti versioni dei moderni browser (ricorderò Safari 9 e Chrome 46, tra tutti), una pagina come questa viene semplicemente visualizzata come insicura, proprio come se fosse interamente servita attraverso http. Per gli stessi motivi che hanno suggerito il cambiamento precedentemente trattato.

Terza notizia

Un anno fa scrivevo allestire l’accesso con protocolli di comunicazione sicura costa quasi niente. Oggi c’è da cancellare il quasi. Il consorzio Let’s Encrypt ha passato l’ultimo giro di boa e ha iniziato la produzione dei certificati https (con firma SHA-2 a 256 bit) del tutto gratuita a tutti i richiedenti. Altra bella novità, ora anche il rinnovo può venire gestito in modo pienamente automatico.

Vengono così a cadere le ultime foglie di fico che potevano venire addotte a giustificazione da chi ancora non aveva intrapreso la strada dell’https per il suo sito.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 3.017 volte | Tag: , , , , , , ,

Un commento

  1. Cantico delle crittature | Apogeo Editore

    [...] Ne abbiamo parlato su queste pagine quel giorno stesso, spiegando come inaugurasse l’era della cifratura universale per il web. Tre mesi più tardi, Electronic Frontier Foundation informa in un comunicato stampa che Let’s Encrypt ha già rilasciato il suo milionesimo certificato, proteggendo in tutto due milioni e mezzo di siti web. E già qui c’è bisogno di spiegarsi. [...]

Lascia il tuo commento