Era il 1995 quando installai per la prima volta un sito https. Furono due giorni di lavoro intenso per un ingegnere e il sottoscritto dottore in informatica, passati a compilare codice. Per ottenere il certificato, ovvero la possibilità di mostrare il lucchetto chiuso ai navigatori, dovetti presentare visura camerale estesa, certificazione che non fossimo in liquidazione e altri scartafacci che dimostravano che eravamo una azienda sana, poi attendere quindici giorni ché si completassero i controlli e pagare una bella sommetta per il privilegio.
Erano decisamente altri tempi. Ci voleva un server dedicato con un IP fisso interamente destinato a un solo sito: questo fu il primo requisito a cadere, nel 2003, grazie alla tecnologia SNI, Server Name Indicator.
Sono parecchie le aziende che possono rilasciare un certificato https e la concorrenza fece scendere presto i prezzi. Di conseguenza anche le costose e lunghe verifiche cessarono — oggi ne resta qualcosa solo per chi vuole fregiarsi di un lucchetto verde, la Extended Validation. Come fanno Amazon, eBay e gli altri grandi del commercio elettronico.
Al contrario, per chi si contenta di un https base, il prezzo del certificato è sceso a zero da qualche mese. Inoltre, l’installazione e il rinnovo possono avvenire automaticamente.
Nell’agosto di questo 2016, il traffico web su https ha superato per la prima volta il 50 percento del totale. È un gran bene, perché la cifratura di tutti i dati che https porta con sé protegge segreti piccoli e grandi. Siamo al presente.
Per il buon vecchio http suonano ora le campane a morto. Merito di Google, che già da un annetto aveva deciso di premiare i siti https posizionandoli per primi nella graduatoria del suo motore di ricerca. Pochi giorni fa il gigante di Mountain View ha annunciato di voler fare di più.
Dal 31 gennaio prossimo tutti i siti http verranno presentati da Google Chrome come insicuri se fanno commercio elettronico o se permettono l’uso di password (cioè offrono un’area riservata, fosse solo per commentare un blog). Presto – Google non ci dice quando – sparirà anche quest’ultimo se. Ai consumatori verrà mostrato un avviso rosso di pericolo e verranno invitati ad allontanarsi incondizionatamente da tutti gli ultimi siti rimasti in http.
Non è notizia da poco. Google Chrome è il browser più usato, responsabile di oltre la metà delle pagine web viste al mondo sia in ambiente mobile che su PC/Mac. Chi gestisce un sito web o ne sovrintende la vita prenda nota: è l’ultimo avviso, restano tre mesi di tempo per adeguarsi e aggiornarsi ad https. E dare il benvenuto al web sicuro.