In un sol post ho tre notizie, ciascuna un passo avanti verso la totale cifratura del web. I siti http, il cui traffico viaggia in chiaro, stanno per estinguersi come i dinosauri e vengono aggiornati a tappe forzate per adottare la codifica https.
Prima notizia
Dal primo gennaio 2016 Chrome segnalerà come insicuri i siti https con certificato digitale firmato SHA-1 (che da sempre e sino al 31 dicembre di quest’anno segnala invece come sicuri). È un importante passo avanti perché costringe un po’ tutti i professionisti del web a farsi carico di mantenere aggiornata l’infrastruttura software che garantisce sicuro e non intercettabile il traffico dati https.
Chi tra i nostri lettori è responsabile IT di azienda, visiti subito il suo sito. Se è http e non https commetta seppuku per lavare col sangue l’onta non altrimenti cancellabile. Se è https faccia clic sull’icona del lucchetto chiuso e chieda al browser ulteriori informazioni sul certificato, concentrandosi sulla firma.
Una firma indicata come SHA-1 indica un problema da risolvere, e in fretta (ma grazie al cielo, gratis: ri-emettere un certificato con firma differente non costa nulla). Una firma SHA-2 — chiamata anche SHA-256, perché ha una lunghezza di 256 bit — usa un algoritmo moderno ed è perfettamente sicura. Se questo è il vostro caso, molte pacche sulle spalle, anzi fate leggere questo articolo al capo e profittate per chiedere un meritato aumento.
I nostri lettori che non possiedono e non controllano siti web, ma che navigano con Chrome, possono limitarsi a tenere in un angolo del cervello l’informazione che un sito web “sicuro” sino al 31 dicembre e “insicuro” dal primo gennaio in realtà non è cambiato, ha solo un proprietario molto distratto e poco attento alle cose importanti.
Seconda notizia
A volte si incoccia in una pagina web realizzata combinando alcuni componenti https e alcuni altri soltanto http. Va spiegato per chi non s’è mai interessato al funzionamento del web: questo può accadere perché le immagini, i font, i testi, la programmazione che costituiscono una pagina vengono trasmessi via Internet come un mucchio di file distinti e non uno solo (come sarebbe il caso di un documento PDF). In passato, quando questo accadeva, il browser reagiva con una segnalazione che diceva sostanzialmente questa pagina non è del tutto sicura di difficile comprensione per molti.
Con le più recenti versioni dei moderni browser (ricorderò Safari 9 e Chrome 46, tra tutti), una pagina come questa viene semplicemente visualizzata come insicura, proprio come se fosse interamente servita attraverso http. Per gli stessi motivi che hanno suggerito il cambiamento precedentemente trattato.
Terza notizia
Un anno fa scrivevo allestire l’accesso con protocolli di comunicazione sicura costa quasi niente. Oggi c’è da cancellare il quasi. Il consorzio Let’s Encrypt ha passato l’ultimo giro di boa e ha iniziato la produzione dei certificati https (con firma SHA-2 a 256 bit) del tutto gratuita a tutti i richiedenti. Altra bella novità, ora anche il rinnovo può venire gestito in modo pienamente automatico.
Vengono così a cadere le ultime foglie di fico che potevano venire addotte a giustificazione da chi ancora non aveva intrapreso la strada dell’https per il suo sito.