HTTP e HTTPS
HTTPS è un protocollo di rete utilizzato dai browser per comunicare in modo sicuro con i server Web. HTTPS è un'alternativa sicura a un protocollo molto più vecchio, chiamato Hyper Text Transfer Protocol o HTTP. HTTPS può proteggere gli utenti, poiché richiede la crittografia di tutti i dati Web (o HTTP) scambiati tramite un protocollo crittografico, chiamato TLS (HTTPS è letteralmente * HTTP * su *TLS*).
Crittografia dei dati Web con una chiave segreta (come TLS fa) migliora la sicurezza degli utenti impedendo agli aggressori di leggere o alterare il contenuto originale in transito. Tali attacchi di rete sono noti come attacchi man-in-the-middle (MITM). I ricercatori hanno ripetutamente dimostrato che gli aggressori MITM possono, in sostanza, leggere o modificare qualsiasi traffico HTTP, senza che l'utente lo sappia.
La sicurezza aggiuntiva rende HTTPS ideale per le applicazioni Web che gestiscono dati sensibili e la maggior parte dei server (ad es. Server bancari o di posta elettronica) sono già stati aggiornati. Sfortunatamente non tutti i server web lo supportano, a causa di varie restrizioni operative, come una maggiore larghezza di banda, problemi di legacy e così via. Poiché esiste un potenziale pericolo, gli utenti interessati devono sapere se stanno navigando su una connessione non sicura.
Inserisci gli indicatori di sicurezza
I browser informano gli utenti sullo stato di sicurezza di una connessione Web, sotto forma di grafica mostrata nella barra degli indirizzi (ad esempio l'icona del lucchetto prima dell'URL di questo articolo). Questi indicatori di sicurezza può essere uno dei due negativo. e avvisare gli utenti che sono in potenziale pericolo, o positivo, per rassicurarli che la loro connessione è sicura.
Gli indicatori di sicurezza vengono utilizzati per comunicare due aspetti di una connessione Web; sicurezza della connessione e la autenticità del server web remoto.
Sicurezza della connessione tramite crittografia
Gli indicatori informano sulla sicurezza della connessione distinguendo tra crittografato, in chiaro ed contenuto misto connessioni. I siti crittografati e non crittografati proteggono tutto o nessun contenuto. Contenuto misto significa che alcuni componenti di siti Web altrimenti crittografati vengono recuperati attraverso canali non crittografati.
Vengono chiamati componenti che possono modificare il contenuto della pagina (come script o vettori) contenuto attivo. Vengono chiamati componenti con identità fisse (come immagini statiche o caratteri) contenuto passivo.
Anche se una connessione Web completamente crittografata sembra sicura, ciò da solo non significa che un sito Web sia sicuro da navigare.
Autenticazione server e certificati digitali
Gli aggressori possono (e fare) copiare il contenuto di un sito Web e reindirizzare il traffico di rete sul proprio server dannoso, anche tramite connessioni crittografate. Il loro server dovrebbe solo presentare un diverso, noto TLS chiave invece del segreto originale. Non avendo motivo di dubitare della legittimità della connessione, gli utenti ignari potrebbero essere persuasi ad accedere o divulgare qualsiasi altra informazione sensibile.
In risposta, i browser autenticano i server correlando le credenziali dei legittimi proprietari di server Web con la chiave di crittografia univoca che ciascun server presenta. In questo modo, i browser delegano questa verifica delle credenziali a entità di terze parti, chiamate Autorità di certificazione (CA). I principali browser mantengono i programmi di root per gestire la propria fiducia nei confronti delle autorità di certificazione, che devono aderire a standard rigorosi e requisiti di controllo di cui il browser si fida.
Il proprietario di un server Web che richiede un certificato da una CA attendibile, come SSL.com, deve presentare una chiave pubblica valida e dimostrare di controllare il nome di dominio e il server a cui punta. Se questi controlli hanno esito positivo, la CA rilascia un certificato digitale al proprietario, che lo utilizza sia per crittografare che per autenticare le connessioni al proprio sito.
I certificati sono identità digitali, contenenti informazioni sulla persona o sull'organizzazione che possiede un server. Le CA firmano crittograficamente ogni certificato con una firma digitale, un meccanismo di integrità analogo ai sigilli in cera: gli aggressori non possono duplicare la firma e dovrebbero invalidarla prima di modificare il contenuto. HTTPS richiede un server Web per accogliere una connessione browser con il certificato valido di quel server. I browser quindi controllano il certificato: se è stato firmato da una CA attendibile, la connessione potrebbe procedere. (Se un server presenta un certificato diverso, revocato o comunque non valido, il browser termina o non consente la connessione e avvisa l'utente, utilizzando messaggi di errore che esamineremo in dettaglio in un prossimo articolo).
Livelli di convalida
Va notato che non tutti i certificati offrono lo stesso livello di sicurezza e che gli indicatori di sicurezza possono distinguere tra i diversi tipi di certificati emessi per diversi livelli di convalida.
Problema delle autorità di certificazione Dominio convalidato (DV) certificati per clienti che hanno dimostrato il controllo su un dominio DNS. organizzazione convalidata (OV) vengono controllati per autenticare un'organizzazione come persona giuridica, così come per il controllo del dominio. Infine, Convalida estesa (EV), che possono visualizzare le informazioni sull'azienda nella barra del browser stessa, sono riservati ai clienti che hanno superato più controlli di verifica indipendenti (incluso il contatto da persona a persona, il riferimento a database qualificati e le revisioni di follow-up), nonché l'OV e il DV gradini di livello.
Stato attuale degli indicatori
All'inizio di Internet, HTTP era la norma e HTTPS veniva introdotto come un'opzione per i più attenti alla sicurezza. Di conseguenza, la maggior parte dei browser utilizzava solo positivo indicatori, ovvero un lucchetto che mostra una connessione HTTPS e (facoltativamente) se tale connessione utilizza un certificato EV. Oggi, per promuovere la consapevolezza della sicurezza in senso lato, Chrome, insieme a Firefox e Safari, ha anche iniziato ad adottare l'uso di negativo. indicatori, avvertendo gli utenti di pagine con pagine di contenuto attivo non crittografate o miste. La tabella seguente è un riepilogo dello stato generale degli indicatori di sicurezza nei browser. A partire da HTTP (che non è affatto sicuro) ogni elemento più lungo dell'elenco è più sicuro dei precedenti.
(Clicca sull'immagine per ingrandirla)
Prossimi cambiamenti e piani per il futuro
Il team Usable Security di Chrome ha rilasciato un file proposta per aver modificato questo comportamento del browser. Suggeriscono che tutti i browser dovrebbero iniziare a mettere in guardia attivamente gli utenti da siti Web HTTP non sicuri (o con contenuto misto HTTPS), con indicatori negativi, mentre tentano di rimuovere del tutto gli indicatori di sicurezza positivi dai siti Web HTTPS.
Basano la loro decisione sulla ricerca che è stata pubblicato nel 2007, affermando che gli indicatori di sicurezza positivi vengono ignorati dagli utenti, a differenza degli indicatori negativi percepiti come più gravi. Chrome ha anche sostenuto nella loro proposta originale che "gli utenti dovrebbero aspettarsi che il Web sia sicuro per impostazione predefinita e verranno avvisati quando si verifica un problema".
Sottoscritti a questa idea, a partire da settembre 2018, le versioni di Chrome più recenti (69+) visualizzano un indicatore negativo "Non sicuro" su tutti i siti web HTTP e non mostreranno l'indicatore positivo "Sicuro" per HTTPS.
Firefox di Mozilla (dalla versione 58+) è uno degli altri due browser che hanno adottato indicatori di sicurezza negativi, ma solo per siti con contenuto attivo misto. Inoltre, in un file post ufficiale del blog, hanno annunciato i loro piani futuri per gli indicatori di sicurezza dell'interfaccia utente in Firefox: "Firefox finirà per visualizzare l'icona del lucchetto barrato per tutte le pagine che non utilizzano HTTPS, per chiarire che non sono sicure".
Safari di Apple (versione tecnologica 46+) è il browser rimanente che utilizza indicatori negativi per i siti Web con contenuti attivi misti, sebbene non abbiano rilasciato dichiarazioni pubbliche in merito ai loro piani per gli indicatori di sicurezza in futuro.
I browser Microsoft Edge e Opera non hanno parlato pubblicamente dei loro piani sugli indicatori di sicurezza dell'interfaccia utente.
Conclusione
Essere al sicuro su Internet dovrebbero essere l'impostazione predefinita e gli avvisi del browser attivo contro connessioni HTTP non sicure potrebbero fornire una grande motivazione per alcuni proprietari di server Web legacy a prestare attenzione alla sicurezza dei loro siti e dei loro visitatori. Inoltre, la rimozione dell'indicatore "Sicuro" dai siti Web HTTPS è (probabilmente) un passo per rendere HTTPS la norma prevista. Per quanto riguarda la rimozione completa degli indicatori positivi, alcuni indicatori, come gli indicatori EV, possono ancora fornire importanti garanzie ai visitatori in alcune circostanze. Qualunque sia il futuro, con l'aumento dell'utilizzo globale di HTTPS, ci saranno sicuramente alcuni cambiamenti e sfide interessanti, quindi continua a verificare con noi per informazioni future su questi e altri argomenti di sicurezza.
Come sempre, grazie per aver letto queste parole da SSL.com, dove crediamo a più sicuro Internet è un better Internet.
