Dopo aver ufficializzato la notizia nel corso del 2016, da gennaio 2017 è entrato in vigore un nuovo sistema che segnala come non sicuri tutti i siti che accettano connessioni HTTP non cifrate. Nello specifico, a gennaio i gestori di siti internet si sono visti recapitare da Google Chrome avvisi come il seguente:
La raccolta non sicura di password attiverà avvisi in Chrome 56 per il sito http://www.****.com/
A partire da gennaio 2017, Chrome (versione 56 e versioni successive) contrassegnerà come “Non sicure” le pagine che raccolgono password o dati di carte di credito, a meno che le pagine vengano pubblicate tramite HTTPS.
Gli URL che seguono includono campi per l’inserimento di password e dati di carte di credito che attiveranno il nuovo avviso di Chrome. Esamina questi esempi per sapere dove verranno visualizzati questi avvisi e poter così adottare misure per proteggere i dati degli utenti. L’elenco non è completo.
http://www.***.com/chi-siamo/
Il nuovo avviso rappresenta solo la prima fase di un piano a lungo termine per contrassegnare come “Non sicure” tutte le pagine pubblicate tramite il protocollo HTTP non criptato.
Ecco come risolvere il problema:
Usa le pagine HTTPS per raccogliere dati sensibili. Per evitare che venga visualizzata la notifica “Non sicura” quando gli utenti di Chrome visitano il tuo sito, sposta i campi per l’inserimento di password e carte di credito in pagine pubblicate usando il protocollo HTTPS.
I browser dunque, allerteranno i visitatori sulla pericolosità di un sito, se questo non implementerà il trasporto delle informazioni attraverso un canale sicuro (SSL/TLS), confermato dalla presenza del protocollo https://. Si tratta quindi principalmente di una questione di sicurezza, ma non bisogna sottovalutare anche l’aspetto di reputazione del proprio sito internet. Un sito con https sarà considerato automaticamente dal visitatore maggiormente affidabile rispetto ad un sito senza.
Questo succede perché un sito sicuro verrà contraddistinto da un lucchetto verde che imprimerà immediatamente nell’utente un’idea di tranquillità durante la navigazione, soprattutto nel caso di un sito e-commerce nel quale è richiesto di inserire i propri dati di pagamento per completare gli acquisti. Questo non accade, invece, all’apertura di un sito internet considerato dal browser “non sicuro”: vicino all’URL del sito sarà ben marcata la connessione non sicura. Di seguito mettiamo a confronto il nostro sito, con connessione sicura, e (non ce ne vogliano) il sito del Corriere della Sera, ad oggi non ancora aggiornato con il protocollo https.
MG WEB SERVICE DA PC:
MG WEB SERVICE DA MOBILE:
CORRIERE DELLA SERA DA PC:
CORRIERE DELLA SERA DA MOBILE:
In realtà, già due anni fa Google aveva introdotto nuove regole all’interno del proprio algoritmo, al fine di aumentare il ranking dei siti web che utilizzano il protocollo HTTPS. Le nuove modifiche, però, sono diventate effettive con il rilascio di Google Chrome versione 56 di gennaio 2017.
Ultimo aspetto fondamentale riguarda la visibilità del proprio sito internet: i siti che trasporteranno le proprie informazioni sul protocollo https avranno priorità rispetto ai siti su protocollo http e quindi guadagneranno in termini di posizionamento all’interno dei motori di ricerca.
In conclusione, l’utilizzo di connessioni HTTP non sicure per la trasmissione di informazioni sensibili espone gli utenti al rischio di intercettazioni: un utente malintenzionato potrebbe eseguire un attacco per intercettare i dati in transito e manipolarli.
Per questo, ogni sito internet può essere integrato e messo in sicurezza attraverso l’utilizzo di un “certificato SSL” di una Certification Authority riconosciuta. Niente è obbligatorio ma, sicuramente, come indicato nella comunicazione inviata da Google Chrome, la strada da seguire è per forza questa se non si vuole che il proprio sito finisca nel “dimenticatoio” dei motori di ricerca.