Tanti anni fa si sprecavano le raccomandazioni relative al controllo “del lucchetto” in Netscape, la fuoriserie dei browser dell’epoca. Era il segnale del fatto che la comunicazione tra il client e il web server avveniva in modo sicuro, secondo lo standard di cifratura disegnato appunto da Netscape.
Da allora non è cambiato molto nelle abitudini degli utenti: controllare la presenza del lucchetto correttamente “chiuso” è diventato prassi abbastanza comune. È cambiato molto invece intorno al discorso del protocollo, a partire dal momento in cui dopo anni di furiose battaglie si superò finalmente la soglia dei 40 bit per la chiave di cifratura, giustificata con le consuete limitazioni statunitensi all’export. Il protocollo Ssl venne riscritto e migliorato più volte. Gli americani subirono anche una curiosa nemesi intorno al 2008, quando suonò la campana d’allarme a causa del primo attacco in grande stile nei confronti della rete del Dipartimento di stato. L’attacco venne scoperto dopo parecchio tempo e venne vietato l’uso delle comunicazioni cifrate con Ssl, perché queste erano utilizzate dagli attaccanti per sfuggire ai sistemi anti-intrusione e di sicurezza perimetrale del Dipartimento.
Il problema di fondo è che l’uso di Ssl (o più correttamente di Https) è comunemente diventato sinonimo di sicurezza. Proprio nel momento in cui i venditori dei certificati stanno perdendo ogni residua apparenza di credibilità. La storia delle vittime è lunga e si arricchisce di nuovi soggetti con una certa frequenza.
Una cosa è certa: se pensate che la presenza nella URL delle lettere “https://” significhi che le comunicazioni tra il vostro browser ed il server sono al sicuro vi state sbagliando.