Sito non sicuro in Google Chrome 56

Chrome 56 introduce importanti restrizioni per i siti HTTP non sicuri

20 marzo 2017
2 Condivisioni 1,408 Visualizzazioni

Lo scorso gennaio è stata rilasciata l’ultima versione del popolare browser Google Chrome. Tra le novità introdotte ve ne è una che ha messo in subbuglio il mondo dei webmaster. Google ha infatti stretto la morsa sul protocollo HTTP ritenuto insicuro e superato. Chrome 56 segnala i siti che raccolgono password o numeri di carte di credito come non sicuri. L’avviso “sito non sicuro” ha iniziato a comparire nei nostri browser su tutti quei siti che non hanno ancora adottato un certificato SSL.

La novità fa parte di un piano a lungo termine per contrassegnare tutti i siti HTTP come potenzialmente non sicuri.

Perché l’HTTPs è più sicuro?

A differenza dell’HTTP standard, l’HTTPs prevede che il traffico scambiato tra il server web e il browser dell’utente sia cifrato. Un certificato SSL, riconosciuto dal browser, farà sì che l’eventuale intercettazione del traffico, risulti inutile. Una cifratura forte, infatti, renderà inservibili i dati eventualmente catturati da un malintenzionato. L’accesso ad internet mediante connessioni wireless pubbliche è sempre più frequente. Bar, ristoranti e centri commerciali offrono accesso alla rete ai nostri smartphone, tablet e notebook. Queste connessioni, più di altre, sono spesso insicure e scambiare informazioni sensibili senza le opportune protezioni può essere molto rischioso.

Come superare l’avviso “sito non sicuro”?

L’avviso viene mostrato, al momento, solo nelle pagine ove è presente una form che contiene un campo password o per l’inserimento di numeri di carte di credito. Rientrano nel primo scenario tutte le form di registrazione con password e le login. E’ ad esempio il caso delle pagine d’accesso ai backend di Joomla, WordPress, ecc.

Come implementare l’HTTPs?

Per implementare il protocollo sicuro HTTPs nel nostro sito dobbiamo innanzitutto dotarci di un certificato. Ne esistono di tante tipologie: dai certificati professionali da migliaia di euro l’anno a soluzioni completamente gratuite. Vediamo le principali e più diffuse tipologie di certificati SSL:

  • Certificati SSL EV (extended validation): sono stati creati come risposta diretta all’incremento dei casi di frodi online che hanno minato la fiducia dei consumatori nei confronti delle transazioni in rete. Oltre a certificare il dominio, gli SSL EV certificano anche l’azienda che lo ha richiesto. Le certification authority, prima di rilasciare un certificato SSL EV, effettuano una serie di verifiche camerali oltre a contatti diretti con l’azienda per verificare che il richiedente abbia i titoli necessari all’assegnazione del certificato. Si tratta di una tipologia di certificato a pagamento il cui costo è solitamente superiore ai 100 euro l’anno e richiede alcuni giorni per il rilascio.
  • Certificato SSL DV: sono i certificati “standard” emessi dalle certification authority. Certificano un nome a dominio (ad esempio sitoweb.it) ma non l’azienda richiedente. Si tratta di certificati piuttosto economici, nell’ordine di poche decine di euro l’anno. I tempi di emissioni si aggirano solitamente in meno di 24 ore.
  • Certificato SSL DV free: sono emessi da certification authority come Let’s Encrypt e sono completamente gratuiti. Vengono offerti “senza garanzie” ed hanno alcune (piccole) limitazioni; ad esempio, vanno rinnovati ogni 3 mesi. Consentono di superare l’avviso di Chrome “sito non sicuro” e sono ideali per blog, siti vetrina ed in generale per tutti quei siti che non trattano dati sensibili. L’utilizzo di certificati DV,  in particolar modo quelli free,  è invece sconsigliato per siti ecommerce.

Riflessioni finali

É evidente l’intenzione di Google di far abbandonare gradualmente il protocollo HTTP in favore dell’HTTPs. Ha iniziato col considerare l’HTTPs tra i propri fattori di ranking. Il rilascio di Chrome 56 ed il famigerato “sito non sicuro” costituisce un altro tassello nella strategia di Google. Non passerà molto prima dell’abbandono totale dell’insicuro e obsoleto HTTP.

 

Articoli correlati

Programmazione
0 Condivisioni4 Visualizzazioni

Lab-Grown Diamonds Come Into Their own personal

Fabio - Ott 10, 2019

David Weinstein checks the origins of the collection of diamonds in the Intercontinental Gemological Institute offices in Manhattan.Michael Rubenstein for…

Notizie
0 Condivisioni5 Visualizzazioni

Disneyland Electric power Outage Knocks Rides Offline

Fabio - Ott 10, 2019

Enlarge this imageVisitors stroll toward Sleeping Beauty's Castle at Disneylandin Anaheim, Calif. An influence outage Wednesday hit components on the…

Guide
0 Condivisioni4 Visualizzazioni

Ayanna Pressley’s Upset Victory Reveals Ability Of ladies Of Shade In Democratic Politics

Fabio - Ott 10, 2019

Enlarge this imageBoston City Councilor Ayanna Pre sley greeted relatives, mates and supporters after beating Rep. Michael Capuano while in…