In questi ultimi mesi si sente un gran parlare di protocollo HTTPS e di certificati SSL per offrire agli utenti che navigano sul nostro sito o e-commerce il massimo grado di sicurezza e la garanzia di integrità dei dati scambiati.
La sicurezza online è da sempre un tema caldo. Alcuni recenti episodi, come il sofisticato sistema di phishing ai danni di utenti (anche smaliziati) di Gmail, oppure i recenti fatti intorno al malware eye-pyramid, hanno portato alla massima attenzione il bisogno di sicurezza e di riservatezza dei propri dati.
Da gennaio 2017, il browser Chrome di Google segnalerà come “non sicure” le pagine in cui siano ospitati form che trasmettono dati mediante protocollo http (potenzialmente non sicuro).
Per contribuire a rendere il web più sicuro, Google spinge da molto tempo sul concetto di connessione sicura, specie nei punti in cui l’utente possa inserire dati sensibili. come password, dati della carta di credito o, più in generale, qualsiasi dato anagrafico.
Il protocollo HTTPS diventerà lo standard per il web.
Le transazioni bancarie o le operazioni di pagamento avvengono su connessioni sicure già da molto tempo. Arrivati alla fase di pagamento di un acquisto online, la pagina in cui “fisicamente” vengono inseriti i dati della carta di credito o di Paypal si trova sempre “altrove”, tipicamente su Paypal o sul sito della banca che gestirà la transazione.
Quali sono i tipi di certificato per garantire comunicazioni sicure su protocollo HTTPS?
Tipicamente possiamo individuare 3 tipologie di certificati SSL che garantiscono, a differenti livelli, sicurezza e corrispondenza del nome di dominio all’identità dell’azienda che lo utilizza:
- Domain Validation (DV), ovvero, validazione del nome di dominio. È una procedura veloce e semi-automatizzata.
In pratica, viene emesso un certificato SSL che garantisce la titolarità del nome di dominio di chi ne fa richiesta e la cifratura dei dati scambiati. Per questo tipo di certificati SSL, la validazione del dominio avviene via email o aggiungendo un record DNS al proprio dominio.
Ciò che viene garantito nell’implementazione di questo tipo di certificato, è la sicurezza dei dati scambiati tra sito web e browser utilizzato dall’utente (protocollo https). Rappresenta un primo passo verso la messa in sicurezza delle informazioni scambiate da siti che non gestiscono dati sensibili, come siti istituzionali o blog. Il certificato viene autovalidato, mediante la possibilità di accedere fisicamente alo spazio web collegato al dominio a cui collegare il certificato SSL.
- Organization validation (OV). Rappresenta il “livello minimo” di certificazione dei contenuti per tutte le attività commerciali online. Oltre ad assicurare lo scambio criptato dei dati tra server e browser, garantisce la titolarità del dominio da parte di chi ne richiede l’emissione. A verificare la corrispondenza tra nome di dominio e titolarità del dominio in cui viene effettivamente implementato il certificato SSL, è un’Autorità di Certificazione (CA). Le CA sono aziende ritenute “super partes” a livello globale, e che si pongono a garanzia tra certificato, sito web e browser utilizzato per la navigazione sul sito.
In questo caso, infatti, al certificato SSL che garantisce la trasmissione delle informazioni su connessioni cifrate, vengono associate anche alcune informazioni relative all’azienda “che sta dietro” al dominio/e-commerce.
Nel caso di certificati SSL di tipo OV (Organization Validation), la CA si occuperà di convalidare la proprietà del nome di dominio e di alcuni dati disponibili pubblicamente, legati a chi fa la richiesta di emissione del certificato.
- Extended Validation. Questo tipo di certificato è fortemente raccomandato per tutti quei siti web su cui avvengono transazioni economiche o in cui vengono richiesti dati personali sensibili. Mentre per i certificati di tipo DV e OC le fasi di richiesta del rilascio e convalida sono veloci e semi-automatizzati, nel caso di Extended Validation, l’Autorità di Certificazione (CA) dovrà verificare l’effettiva esistenza dell’Azienda che richiede l’emissione del certificato SSL. Una volta verificata l’esistenza dell’Azienda, la titolarità del dominio e la proprietà dello spazio web in cui verrà implementato il certificato SSL, l’utente che si collegherà al sito web certificato, non solo riceverà conferma della sicurezza del collegamento, ma riceverà anche informazioni relative all’identità dell’Azienda che ospita il sito web in questione.
Questo tipo di rassicurazione è fortemente raccomandata per tutti quei siti che, oltre a dover garantire la sicurezza delle comunicazioni tra browser e client, hanno la necessità di trasmettere garanzie circa la propria identità. In questo modo, l’utente saprà di trovarsi esattamente dove crede di trovarsi. L’attivazione di questo tipo di certificato richiede 7-10 giorni, ma consente di ottenere la famosa “barretta verde” nel campo degli indirizzi dei vari browser. I siti web delle banche online, ad esempio, utilizzano certificati SSL di tipo EV.
Come dicevamo, però, Google sta spingendo molto sulla sicurezza dei dati trasmessi online, non più soltanto limitati ai dati di pagamento, ma anche relativi a quelli anagrafici.
Dopo averlo annunciato a settembre 2016, la versione 56 di Chrome (e, ci scommettiamo, non sarà l’unico browser a farlo) da fine gennaio 2017, in presenza di form di qualsiasi tipo (landing page, form di contatto, ecc), avviserà l’utente che la pagina che ospita i campi da compilare potrebbe non essere sicura e, i dati immessi potrebbero essere intercettati da malintenzionati.
Non ci dilungheremo ulteriormente sui tecnicismi: ci basti sapere che, se la pagina che ospita il form da compilare non viene fornita mediante una connessione sicura, il browser segnalerà la pagina come “potenzialmente non sicura”.
Inutile pensare alle conseguenze di comunicazioni di questo tipo, per tutti quei siti che “vivono” di contatti (lead) e che sviluppano il proprio business online, magari portando traffico alla pagine di destinazione mediante l’uso di campagne SEM o di email marketing.
Immaginiamo che Chrome non sarà l’unico browser a segnalare le pagine potenzialmente non sicure e, pertanto, il nostro consiglio è di implementare (o far implementare) quanto prima un certificato SSL valido e firmato da un’autorità di certificazione riconosciuta, che consenta di stabilire connessioni sicure, in modo da stabilire connessioni sicure mediante protocollo HTTPS.