Il 16 novembre 2015 veniva lanciata Let’s Encrypt, opera di una fondazione senza scopo di lucro nata grazie alla sponsorizzazione di enti e fondazioni tra cui Cisco, Electronic Frontier Foundation, Facebook, Google, Mozilla.
Ne abbiamo parlato su queste pagine quel giorno stesso, spiegando come inaugurasse l’era della cifratura universale per il web. Tre mesi più tardi, Electronic Frontier Foundation informa in un comunicato stampa che Let’s Encrypt ha già rilasciato il suo milionesimo certificato, proteggendo in tutto due milioni e mezzo di siti web. E già qui c’è bisogno di spiegarsi.
Normalmente, quando digitate il nome di un sito, per esempio apogeonline.com, il calcolatore prova a collegarsi con un server di quel nome; poi riceve pagine web in modo completamente intercettabile da chiunque. Anche i dati che digitate o incollate in una di quelle pagine web, normalmente, sono intercettabili. Inoltre, se un altro server che sostiene di chiamarsi apogeonline.com risponde prima di quello vero, il vostro computer accetta le pagine inviate dal falsificatore senza battere ciglio e questo è uno dei trucchi preferiti dagli spioni della NSA americana.
Se però accendiamo il protocollo https (la esse in fondo vuol dire sicuro), tutto questo cambia: lo scambio dati avviene in modo cifrato (un intercettatore non ci capisce nulla). Al proprietario di un sito serve però una certificazione per avviare lo https; sino al 15 novembre scorso un simile certificato digitale richiedeva del tempo, costava dei soldi e necessitava di installazione manuale sul server, da rinnovarsi una volta all’anno. Let’s Encrypt fornisce gratuitamente certificati digitali a chiunque, della durata di tre mesi, automaticamente rinnovabili. Un server web può contattare direttamente il server Let’s Encrypt alla scadenza del periodo, scaricare il certificato rinnovato e installarselo automaticamente. Un singolo certificato può coprire più siti, il che è comodissimo quando una azienda possiede più marchi e ospita più siti sul suo server – pensate per esempio a Feltrinelli, Apogeo, Ricordi e Focacceria San Francesco – con risparmio di spazio e di quattrini.
Mettiamo alveari nel rack e offriamo ecommerce e merenda con pane e miele fresco.
Non c’è bisogno di avvisare i navigatori del passaggio da http ad https: sempre in modo del tutto automatico, il server può inviare al browser la segnalazione HSTS: HTTP Strict Transport Security: le moderne versioni di Chrome, Edge, Explorer, Firefox, Opera, Safari rispondono commutando in https e usandolo in esclusiva.
La parola chiave qui è automatico. I professionisti del web usano https da vent’anni anni, ma sino ad oggi era una scelta di élite. Gli hard discount di Internet, i salsicceri fornitori di nome più spazio web più posta a trenta euro l’anno, mai e poi mai avrebbero aggiunto ai loro pacchetti lo https sinché questo richiedeva un pochino di lavoro ai sistemisti. Oggi, grazie a Let’s Encrypt se lo possono permettere e qualcuno sta già cominciando a farlo. Per esempio, OVH.it e Gandi.net. Presto anche gli ultimi degli Aruba ci dovranno arrivare e la battaglia sarà vinta.
Quando tutto il traffico del web sarà cifrato, i nostri dati più riservati — i bonifici bancari e i dati medici e la lettera peperina alla ragazza coi capelli rossi del primo banco — saranno più protetti anche se li proteggevamo con cifratura già in passato. Perché non sarà più possibile per gli spioni concentrarsi sui pochi flussi cifrati oggi esistenti e dovranno provare a decifrare tutto, il che per loro è un lavoraccio epocale. Beati quelli ke sosterrano pace, ka da te, Altissimo, sirano incoronati.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
