Home
Mi piace una cifra

16 Novembre 2015

Mi piace una cifra

di

Se non è https non lo vogliamo: la cifratura del traffico sul web compie altri importanti passi avanti e diventa lo standard.

In un sol post ho tre notizie, ciascuna un passo avanti verso la totale cifratura del web. I siti http, il cui traffico viaggia in chiaro, stanno per estinguersi come i dinosauri e vengono aggiornati a tappe forzate per adottare la codifica https.

Prima notizia

Dal primo gennaio 2016 Chrome segnalerà come insicuri i siti https con certificato digitale firmato SHA-1 (che da sempre e sino al 31 dicembre di quest’anno segnala invece come sicuri). È un importante passo avanti perché costringe un po’ tutti i professionisti del web a farsi carico di mantenere aggiornata l’infrastruttura software che garantisce sicuro e non intercettabile il traffico dati https.

Chi tra i nostri lettori è responsabile IT di azienda, visiti subito il suo sito. Se è http e non https commetta seppuku per lavare col sangue l’onta non altrimenti cancellabile. Se è https faccia clic sull’icona del lucchetto chiuso e chieda al browser ulteriori informazioni sul certificato, concentrandosi sulla firma.

Informazioni sul certificato https dall'interno del browser. Dai dettagli qui emerge una firma SHA-1.

Una firma come questa non verrà più accettata da Chrome, ben presto.

Una firma indicata come SHA-1 indica un problema da risolvere, e in fretta (ma grazie al cielo, gratis: ri-emettere un certificato con firma differente non costa nulla). Una firma SHA-2 — chiamata anche SHA-256, perché ha una lunghezza di 256 bit — usa un algoritmo moderno ed è perfettamente sicura. Se questo è il vostro caso, molte pacche sulle spalle, anzi fate leggere questo articolo al capo e profittate per chiedere un meritato aumento.

I nostri lettori che non possiedono e non controllano siti web, ma che navigano con Chrome, possono limitarsi a tenere in un angolo del cervello l’informazione che un sito web “sicuro” sino al 31 dicembre e “insicuro” dal primo gennaio in realtà non è cambiato, ha solo un proprietario molto distratto e poco attento alle cose importanti.

Una firma SHA-2, molto più complessa e pronta per le sfide del 2016

Una firma SHA-2, molto più complessa e pronta per le sfide del 2016.

 

Seconda notizia

A volte si incoccia in una pagina web realizzata combinando alcuni componenti https e alcuni altri soltanto http. Va spiegato per chi non s’è mai interessato al funzionamento del web: questo può accadere perché le immagini, i font, i testi, la programmazione che costituiscono una pagina vengono trasmessi via Internet come un mucchio di file distinti e non uno solo (come sarebbe il caso di un documento PDF). In passato, quando questo accadeva, il browser reagiva con una segnalazione che diceva sostanzialmente questa pagina non è del tutto sicura di difficile comprensione per molti.

Con le più recenti versioni dei moderni browser (ricorderò Safari 9 e Chrome 46, tra tutti), una pagina come questa viene semplicemente visualizzata come insicura, proprio come se fosse interamente servita attraverso http. Per gli stessi motivi che hanno suggerito il cambiamento precedentemente trattato.

Terza notizia

Un anno fa scrivevo allestire l’accesso con protocolli di comunicazione sicura costa quasi niente. Oggi c’è da cancellare il quasi. Il consorzio Let’s Encrypt ha passato l’ultimo giro di boa e ha iniziato la produzione dei certificati https (con firma SHA-2 a 256 bit) del tutto gratuita a tutti i richiedenti. Altra bella novità, ora anche il rinnovo può venire gestito in modo pienamente automatico.

Vengono così a cadere le ultime foglie di fico che potevano venire addotte a giustificazione da chi ancora non aveva intrapreso la strada dell’https per il suo sito.

L'autore

  • Luca Accomazzi
    Luca Accomazzi (@misterakko) lavora con i personal Apple dal 1980. Autore di oltre venti libri, innumerevoli articoli di divulgazione, decine di siti web e due pacchetti software, Accomazzi vanta (in ordine sparso) una laurea in informatica, una moglie, una figlia, una società che sviluppa tecnologie per siti Internet

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.