HTTPS, Google Chrome segnala le pagine web non sicure

Chrome contrassegna tutti i siti HTTP come 'non sicuri' per avvisare i navigatori che si trovano in una pagina web non crittografata.

Scritto da

Simone Ziggiotto

il

Negli ultimi anni Google ha aggiornato il proprio browser Google Chrome introducendo piccole novità volte a spostare la navigazione verso un Web più sicuro, chiedendo ai proprietari di siti web di adottare la crittografia HTTPS per garantire trasferimenti riservati di dati e impedire intercettazioni dei contenuti. Nell’ultimo anno, in particolare, Google ha anche aiutato gli utenti a capire quali siti non sono sicuri, contrassegnando gradualmente un sottoinsieme più ampio di pagine HTTP come ‘non sicure’. Emily Schechter, Chrome Security Product Manager di Google, nel post intitolato ‘Un web sicuro è qui per rimanere‘ pubblicato nello scorso mese di febbraio sul blog della sicurezza di Google, aveva annunciato che, a partire dal mese di Luglio 2018, con la versione 68 di Chrome, il browser inizierà a contrassegnare tutti i siti HTTP come ‘non sicuri’. E’ stato un ultimo appello di Google per convincere i proprietari di siti Web che ancora non lo avevano fatto a passare alla crittografia HTTPS. Chrome 68 è ora in distribuzione, è disponibile dal 25 luglio. 

"La sicurezza è stata uno dei principi fondamentali di Chrome sin dall’inizio: lavoriamo costantemente per proteggerti mentre navighi sul Web. Quasi due anni fa, abbiamo annunciato che Chrome avrebbe contrassegnato tutti i siti che non sono crittografati con HTTPS come ‘non sicuri’. In questo modo è più facile sapere se le tue informazioni personali sono al sicuro mentre viaggiano sul Web, sia che tu stia controllando il tuo conto bancario o acquistando biglietti per i concerti. A partire da oggi, stiamo apportando queste modifiche a tutti gli utenti di Chrome" ha commentato Schechter nel blogpost pubblicato il 25 luglio.

Come cambia il trattamento delle pagine HTTP in Chrome 68 rispetto a Chrome 64

HTTPS e’ importante per la sicurezza sul web

Per chi ‘mastica’ poco di termini tecnici legati al web, HTTPS è l’HyperText Transfer Protocol over Secure Socket Layer ed è un protocollo per la comunicazione sicura attraverso una rete di computer, il quale è sempre piu’ utilizzato su internet. HTTPS consiste nella comunicazione tramite il protocollo HTTP all’interno di una connessione criptata dal Transport Layer Security (TLS) o Secure Sockets Layer (SSL) per garantire trasferimenti riservati di dati e impedire intercettazioni dei contenuti. A rendere importante HTTPS sono l’autenticazione del sito web visitato, la garanzia di protezione della privacy e l’integrità dei dati scambiati tra le parti in comunicazione (utente e server del contenuto web).

Connessioni crittografate = maggiore Sicurezza. Quando si apre un sito web in HTTP la connessione al sito non è crittografata, ciò significa che potrebbe essere intercettata e che un malintenzionato potrebbe modificare il contenuto del sito inviato dal server web prima che arrivi all’utente finale. Con HTTPS, la connessione al sito è crittografata, quindi gli intercettatori sono bloccati e le informazioni (come password o informazioni sulla carta di credito) restano private quando vengono inviate dal sito all’utente (e viceversa).

Sapere se si sta navigando in sicurezza è semplice: quando si naviga in un sito web sicuro con HTTPS sulla sinistra dell’indirizzo web nella barra di navigazione compare un lucchetto di colore verde mentre è giallo se il sito non garantisce la sicurezza completa ed è grigio nel caso di navigazione in HTTP dove non c’è sicurezza. Se il browser segnala con il lucchetto rosso una pagina web significa che la navigazione è non sicura o pericolosa e la pagina è stata o puo’ essere compromessa (non fidatevi delle pagine con lucchetto rosso).

L’avviso "non sicuro" di Chrome aiuta l’utente a capire quando la connessione al sito su cui ci si trova non è sicura e, allo stesso tempo, motiva il proprietario del sito a migliorare la sicurezza del proprio sito.

Lo switch da HTTP a HTTPS

Negli ultimi anni sempre piu’ sviluppatori Web hanno spostato i loro siti da HTTS su HTTPS contribuendo cosi’ a rendere il Web più sicuro per tutti.

I progressi da quando Google ha annunciato le novità per HTTPS sono stati "incredibili" ha riferito Schechter, e proseguono da allora: oltre il 76% del traffico web in Chrome su Android (in aumento dal 42%) e oltre l’85% del traffico in Chrome su Chrome OS (in aumento dal 67%) è ora protetto da crittografia HTTPS, mentre 83 dei primi 100 siti sul Web utilizzano HTTPS per impostazione predefinita.

Chrome è stato messo a punto nelle ultime versioni per rendere il più semplice possibile la configurazione di HTTPS per gli sviluppatori Web ma anche ha introdotto una serie di strumenti attraverso i quali gli utenti possono sapere non solo se la pagina web aperta è protetta da HTTPS ma anche se tutti gli elementi caricati in essa lo sono.

Chrome include la verifica dei contenuti misti (quando una pagina contiene sia elementi Http che Https) per aiutare gli sviluppatori a migrare i loro siti su HTTPS nell’ultima versione di Node CLI di Lighthouse, uno strumento automatizzato per migliorare le pagine web che gli aiuta a trovare quali risorse un sito carica utilizzando HTTP e quali di queste sono pronte per essere aggiornate ad HTTPS semplicemente cambiando il riferimento "http://" in "https://".

Http Vs Https, come i Browser web mostrano i siti sicuri da visitare

Http Vs Https, come i Browser web mostrano i siti sicuri da visitare

Https, cosa cambia in Chrome

Con il rilascio di Chrome 68 il 25 Luglio 2018 la nuova interfaccia del browser consente agli utenti di sapere precisamente quando stanno navigando in un sito web sicuro o meno. Prima di Chrome 68 – e ancora per un po’ di tempo – il browser fa risaltare i siti web con HTTPS etichettandoli con la scritta ‘sicuro’ accanto al lucchetto verde, mentre prossimamente ci sarà lo switch definitivo poichè la navigazione in HTTPS Google vuole che diventi lo standard di base e quindi il browser si occuperà di contrassegnare con la scritta ‘non sicuro’ i siti ancora in HTTP, mentre nei siti con Https si vedrà solo il lucchetto di colore verde senza piu’ la scritta ‘sicuro’ (questo da settembre 2018). Prima di Chrome 68, Google contrassegnava con l’avviso "non sicuro" solo le pagine senza crittografia che raccoglievano password e informazioni sulla carta di credito, mentre da Chrome 68 l’avviso "non sicuro" si vedrà (oltre ai casi appena citati) anche quando le persone immettono dati in una pagina HTTP e su tutte le pagine HTTP visitate in modalità di navigazione in incognito. Da ottobre 2018, Chrome mostrerà l’avviso "non sicuro" in rosso quando gli utenti immettono dati in pagine HTTP.

Impostazioni privacy