Ripensare HTTPS

Notizie Dic 18, 2017 No Comments

Ho letto oggi sul Disinformatico un articolo interessante, disponibile in inglese da qualche mese, che parla della creazione di un certificato intestato a “Identità Verificata”. Ora, probabilmente un esperto saprà che quello è il nome del certificato, ma un utente comune nel vedere, su una pagina di phishing, una scritta “identità verificata” probabilmente prenderà per buona la pagina.

Ma c’è dietro anche una sorta di problema sociale: scuole, telegiornali e chi più ne ha più ne metta spacciano il lucchetto per un indicatore di sicurezza quasi assoluta.

Ciò poteva forse essere vero nel 2000, ma nel 2017 non lo è più. Infatti oggi il lucchetto indica sostanzialmente solo che la connessione al sito è crittografata. È infatti ormai facilissimo procurarsi un certificato HTTPS, anche gratis, e inserirlo sul proprio sito, anche se si fa phishing.

Questo aumento di crittografia, favorito anche da Google e dai principali browser, è per certi versi un bene: Infatti diminuisce nettamente le possibilità di manomissione delle pagine e rende praticamente impossibile spiare l’utente.

Infatti la richiesta di una sottopagina avviene dopo la crittografia, dunque un amministratore impiccione non potrebbe sapere se state visitando Wikipedia per cercare informazioni sul lavoro o per vedere le foto bondage dei convegni del sesso che sono hostate su Commons.

Torniamo a noi: Bisogna cambiare l’educazione informatica. Non si può più parlare del lucchetto come indice di sicurezza, perché non lo è più.

Bisogna spiegarlo a scuola, in TV, in radio, anche sulla carta igienica! Ma deve arrivare il messaggio:

Il lucchetto indica solo che il sito è cifrato, non che è sicuro. Non mettere dunque informazioni sensibili (password, numero di telefono della morosa) senza ulteriore verifica.

La presenza di HTTPS resta comunque condizione necessaria allo scambio sicuro: Se non ha HTTPS non conviene mettere informazioni sensibili sul sito.

Ma non è sufficiente: Un sito in HTTPS può benissimo essere malevolo.

È necessario anche ripensare la segnalazione di HTTPS da parte dei browser: Oggi che HTTPS sta diventando la normalità non dovrebbe godere dell’evidenziazione che offre, per esempio, Safari, mostrando il nome del certificato e non del sito.

Mike Sciking

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *