https

Basta aggiungere la S a HTTPS

Sapevi che, senza accorgertene, stai già utilizzando la crittografia nel browser? La piccola icona a forma di lucchetto nella barra degli indirizzi indica che la crittografia è attualmente attiva. Molti siti web, specialmente i negozi online e le banche, la supportano. Per gli utenti la crittografia non comporta alcuno svantaggio, ma solo parecchi vantaggi.

Crittografando la comunicazione tra il browser e il server ottieni tre importanti benefici:

Autenticazione

Il server (la pagina del banking online, per esempio) “mostra il suo passaporto” al tuo browser, il quale a sua volta lo verifica. Ti accorgerai del processo solo se il controllo avrà esito negativo. Questo accade soprattutto quando il proprietario del sito dimentica di aggiornare il certificato (deve essere aggiornato a intervalli di poche settimane o pochi anni). Molto probabilmente ti sarà già capitato di vedere una delle notifiche con le quali il browser rifiuta un certificato non valido. Poco tempo dopo il proprietario del sito dovrebbe aver ricevuto un nuovo certificato per risolvere il problema. Senza una certificazione del partner della transazione non sarebbe possibile fare shopping o effettuare transazioni bancarie via Internet in sicurezza.

Segretezza

La segretezza impedisce agli altri di leggere i pacchetti di dati trasmessi tra il browser e il server. Tali dati includono le credenziali bancarie, ad esempio i numeri delle carte di credito, le password e i nomi utente …

Indubbiamente non desideri che qualcuno legga questi dati. Senza segretezza non sarebbe possibile fare shopping online in sicurezza.

Integrità

Ci sono strumenti per modificare i pacchetti al volo. Si tratta di potenti strumenti per gli amministratori o di strumenti scientifici con campi d’applicazione legittimi. Ma con gli stessi strumenti un hacker connesso alla tua stessa rete può modificare i dati che invii. È qualcosa di molto semplice se ti trovi nello stesso segmento di rete (ossia se sei connesso allo stesso switch o punto di accesso WiFi) ed è anche possibile manipolando il traffico (tramite attacchi DNSChanger o BGP) su tutta la rete.

Senza integrità non sarebbe possibile fare shopping online in sicurezza.

https: una panacea?

La crittografia (ad esempio la crittografia httpS) offre tutte queste funzionalità. Se si vietasse la crittografia, Internet non potrebbe più essere considerato né un ambiente affidabile, né un mercato.

Per poter comunicare con il server in modo crittografato, il server deve supportare tale tecnologia. Deve ottenere un certificato, cambiare un file di configurazione e verificare l’intera pagina. Questo processo richiede un lasso di tempo che va da alcuni minuti a qualche settimana, a seconda della complessità della pagina. Di norma il processo dovrebbe essere gestito dall’amministratore del server e dai web designer. I negozi online e le banche dovrebbero aver intrapreso tale passaggio alcuni anni fa.

Ma per stabilire un canale crittografato deve esserci un accordo tra il server e il browser. Tale accordo può profilarsi in tre modi:

  • l’amministratore del server imposta un redirect 302 e spinge tutto il traffico non crittografato verso il canale crittografato;
  • il web designer sostituisce tutti i link nella pagina in modo da reindirizzarli da http://qualcosa.it a https://qualcosa.it;
  • l’utente inserisce https:// nella barra degli indirizzi per richiedere la crittografia.

Tutte queste opzioni coinvolgono gli esseri umani. E gli esseri umani commettono errori. L’estensione  HTTPS-Everywhere di EFF, integrata nel nostro browser, dispone di un database di server che supportano la crittografia. Per ogni pagina presente nel suo database, l’estensione sostituisce http:// con https://. Cambia un solo carattere, ma i benefici sono enormi.

Questo vale in particolare per le reti non affidabili (ricorda: per gli hacker è semplice compiere attacchi nello stesso segmento di rete) e perciò è essenziale per la tua sicurezza. Tra le reti non attendibili figurano le reti WiFi non protette o pubbliche, le reti degli hotel, … aspetta, perché non tutte le reti?

Ancora non ci siamo

È triste, ma HTTPS-Everywhere non è (ancora) perfetto. Esistono attacchi più avanzati che possono ancora essere sferrati con successo (SSLStrip, Superfish), ma il problema più grande è che:

Non tutti i server supportano HTTPS

EFF sta attualmente lavorando a uno strumento per semplificare la configurazione del server (chiamato “Let’s encrypt“). Ma anche con questo strumento la migrazione non sarà possibile per tutti i server.

Al momento stiamo cercando un’altra tecnologia che si combini molto bene con HTTPS-Everywhere, per fare in modo che i tuoi dati possano essere crittografati tramite il tuo WiFi: non importa quale.

TL;DR:
le reti dovrebbero essere crittografate per impostazione predefinita. Noi(*) ci stiamo lavorando.

*) gli ingegneri che creano Internet

Questo articolo è disponibile anche in: IngleseTedescoFrancese

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser