"Non sicuro": il marchio di Google Chrome 68 sui siti web HTTP

Come annunciato sul Security Blog di Google, a partire da luglio 2018 Chrome 68 mostra l’avviso con la dicitura "Non sicuro" nell'URL su qualsiasi pagina web priva di certificato SSL valido. Il browser di Google è il primo ad applicare una simile misura, ma presto lo seguiranno anche gli altri maggiori browser. I siti web che non utilizzano la crittografia SSL potrebbero avere un impatto negativo sulla fiducia degli utenti nonché influire negativamente sui ranking SEO.

Questa presa di posizione di Google, insieme ad altre modifiche meno rilevanti, rientra nel suo piano di rendere gli utenti consapevoli riguardo ai siti web che non utilizzano adeguate misure di sicurezza. Tra le righe si legge un chiaro invito a effettuare la transizione dal traffico web HTTP potenzialmente insicuro al protocollo HTTPS alternativo più sicuro.

Con la sua decisione di segnalare tutti i siti web non sicuri, Google sottolinea l’importanza della migrazione di un sito web da HTTP a HTTPS. Tale passaggio a HTTPS garantisce all’utente una crittografia dei dati secondo il protocollo SSL o la sua versione più recente TLS. Per implementare HTTPS sul proprio spazio in rete, i singoli gestori devono ottenere un certificato digitale per ciascuno dei siti web che possiedono. Del resto secondo Google l’utilizzo di HTTPS sta aumentando notevolmente: una quantità significativa del traffico web sta effettuando il passaggio ad HTTPS.

Inoltre è importante sapere che Chrome non fa alcuna distinzione tra una singola pagina e un intero sito web, bensì sottopone a un controllo ogni singola pagina web che incontra, applicando la dicitura “Non sicuro” se è il caso. Se però altre pagine del sito funzionano con HTTPS, allora su di esse non troverete l’avviso.

I siti web che non usano HTTPS mettono a rischio i visitatori, ai quali ad esempio potrebbero venire rubati i cookie. Se rimanete a HTTP perdete quindi un’ottima occasione per migliorare il vostro ranking sul motore di ricerca.

La modifica non si rivolge a una categoria in particolare di siti web: indipendentemente dal fatto che gestiate un negozio online o che il vostro sia un sito prettamente informativo, sarete comunque interessati dalla restrizione da parte di Google. D’altronde il principale motivo della migrazione da HTTP a HTTPS è la sicurezza dell’utente, non importa che navighi in rete per acquistare prodotti o per leggere le ultime notizie.

Internet si fonda principalmente sulla fiducia. Perché gli utenti si fidino della rete, è indispensabile garantire loro una navigazione sicura con una protezione end-to-end su tutte le pagine, da quelle di accesso ai carrelli dei negozi online. Un avviso onnipresente, e quindi chiaramente visibile come "Non sicuro", potrebbe avere un effetto ancora più diretto sul numero di visitatori di un sito web.

L'organismo di certificazione Globalsign ha scoperto in un sondaggio del novembre 2014 che l'85 % degli acquirenti online si sente scoraggiato dai siti web non crittografati. Mantenere una connessione sicura durante un'intera sessione di navigazione HTTPS è dunque essenziale: questo perché gli utenti devono essere sempre al sicuro da eventuali attacchi avanzati di spoofing, injection e man-in-the-middle.

HTTPS non solo fornisce l'autenticazione di identità, connessione ed integrità dei dati del sito web, ma inoltre crittografa tutte le informazioni condivise tra il sito web e l'utente (compresi i cookie scambiati). In questo modo protegge i dati da visualizzazioni non autorizzate, manomissioni e da usi impropri.

Non basta più limitarsi a effettuare una crittografia parziale del sito, poiché le parti non protette sono vulnerabili e finiscono per rappresentare una minaccia per la sicurezza dell’utente che naviga sul vostro spazio web. In più un lavoro intermittente di protezione non solo non è abbastanza efficace e mette a rischio i navigatori della rete, ma non soddisfa nemmeno le aspettative di browser e dei sistemi operativi. Negli ultimi anni Google, Apple e Mozilla si sono posizionati fermamente contro HTTP incoraggiando i gestori di siti web ad adottare HTTPS.

Nel 2017 Google aveva iniziato a scoraggiare le pagine che richiedevano l’inserimento di password e/o di credenziali della carta di credito dall’utilizzare HTTP, per poi finire per includere indistintamente tutti i siti web. Ora come ora è raccomandabile avere tutte le pagine web crittografate con un certificato SSL valido e autorizzato da un’autorità riconosciuta.

HTTP non rappresenta solamente una minaccia alla sicurezza degli utenti: ormai una pagina web HTTP è anche da considerasi un anacronismo, poiché non è più in grado di supportare le nuove tecnologie quali geolocalizzazione, notifiche, gli standard di Google per i dispositivi mobili e tanto altro ancora. Ostinarsi a tenere HTTP sul proprio sito web, è in prima linea una condanna autoinflitta a rimanere intrappolati nel passato.

Oltre a nuove potenti funzioni e una migliore performance, HTTPS offre svariati vantaggi rispetto ad HTTP:

• Sicurezza: HTTP è un protocollo che risale agli albori di Internet e non era stato pensato per garantire sicurezza ai navigatori della rete. Di contro HTTPS potenzia HTTP con il protocollo SSL, crittografando e autenticando la pagina.
• SEO: l’algoritmo del motore di ricerca di Google prioritizza pagine che usano la crittografia HTTPS nel ranking.
• Performance: i siti web HTTPS beneficiano del miglioramento della performance grazie ad HTTP/2, il più recente aggiornamento del protocollo fondamentale di Internet.
• Controllo: protezione del sito web da terze parti e hot spot Wi-Fi che potrebbero inserire pubblicità su siti web visitati tramite HTTP rallentandone la performance, rovinando la user experience e infine esponendo gli utenti al rischio di contatto con contenuti dannosi.
• Credibilità: gli utenti si sentono più al sicuro con una maggiore protezione dei propri dati, aumentando la fiducia nei confronti dei siti web con HTTPS; di conseguenza diminuiscono le frequenze di rimbalzo e i processi di vendita interrotti.

A maggio 2018 Google ha annunciato che non avrebbe più contrassegnato con un lucchetto verde i siti web sicuri criptati con HTTPS. Google è infatti del parere che la rete sia “safe by default” pertanto indicazioni aggiuntive risulterebbero superflue. Gli utenti di Internet quando navigano si aspettano quindi che il web sia sicuro. Sulle pagine non criptate, tuttavia, appare ancora il messaggio “Non sicuro”: tale avviso, che ha lo scopo di avvertire i visitatori in modo ancora più chiaro, le fa risaltare in maniera particolare. Come si legge sul blog ufficiale Google Chromium Blog, l’indicazione “Sicuro” dovrebbe scomparire a partire da settembre 2018, con Chrome 69.

A fronte di quanto scritto finora, vale la pena verificare lo stato del proprio sito web ed eventualmente passare da HTTP a HTTPS acquistando un certificato SSL. Al più tardi con l'aggiornamento a Chrome 68 chi gestisce un sito web dovrebbe prendere seriamente in considerazione la migrazione. Il protocollo per la trasmissione sicura dei dati è progettato per impedire a terzi non autorizzati di manipolare o intercettare la comunicazione tra un sito web e i suoi visitatori.

Indipendentemente dal fatto che si opti per la tecnologia SSL (Secure Sockets Layer) o per la più moderna tecnologia TLS (Transport Layer Security), la certificazione da parte di un fornitore autorizzato e riconosciuto offre chiari vantaggi. Oltre a un buon ranking sul motore di ricerca di Google e a prestazioni accelerate grazie all'HTTP/2, va menzionata in particolare la maggiore fiducia degli utenti in un sito web, da cui trae beneficio anche lo stesso gestore: indicatori di sicurezza chiaramente visibili come un avviso di fianco all’URL possono contribuire a ridurre in modo significativo la frequenza di rimbalzo.

Secondo il blog Chromium, 81 dei 100 principali siti web su Internet sono già provvisti di certificati SSL o TLS per la crittografia dei propri spazi online. Inoltre il 68 % del traffico di Chrome via Android e Windows e quasi il 78 % via Chrome OS e Mac sono ulteriormente protetti da HTTPS. Pertanto se ancora non avete proceduto ad abbandonare HTTP, appartenete alla minoranza. Secondo Google impostare il protocollo di sicurezza è più facile che mai: strumenti per sviluppatori web come Lighthouse aiutano a rendere la transizione più facile, soprattutto se si tratta di contenuti misti. Quindi: non ci sono più scuse, è ora di passare a un trasferimento dati più sicuro.

Qui sotto trovate una breve spiegazione, mentre se cercate una guida passo passo vi consigliamo la lettura del nostro articolo dedicato.

I certificati SSL non sono tutti uguali e non tutti garantiscono lo stesso livello di protezione. Il certificato di primo livello è Domain Validation (DV), che si limita a convalidare il controllo di dominio. A seguire si trova l’Organization Validation (OV), che in aggiunta convalida informazioni aggiuntive sull’organizzazione che controlla il sito web. Infine il certificato che garantisce il grado massimo di protezione e credibilità all’utente è l’Extended Validation (EV), il quale fornisce dettagli esaustivi riguardo all’identità per mezzo di fonti esterne.

Più garanzie e trasparenza riuscite a comunicare all’utente che naviga sul vostro spazio online, più credibilità guadagnerete.

Passaggio n. 1: controllare l’URL

• Per prima cosa controllate il vostro URL: se inizia con “https” il vostro sito web è da considerarsi sicuro.

Passaggio n. 2: acquistare un certificato SSL

• Se il vostro URL inizia con “http”, il sito web non è sicuro. Non vi resta che procedere all’acquisto di un certificato SSL/TLS e installarlo sul vostro server.

Passaggio n. 3: installare il certificato SSL

• La maggior parte dei servizi di hosting si occupa dell’installazione del certificato o perlomeno fornisce tutte le istruzioni necessarie per dirvi come fare.

Da questo momento in poi Google Chrome si affida solamente alle connessioni HTTPS. Tuttavia esistono dei siti web che costituiscono delle eccezioni perché nonostante siano attrezzati con HTTPS, sono comunque considerati pericolosi: si tratta di quelli certificati dall’azienda Symantec. La ragione di questa diffidenza la si trova nello storico scontro tra Google e Symantec: secondo il gigante dei motori di ricerca, infatti, l’ente di certificazione avrebbe ripetutamente emesso certificati falsi per migliaia di domini dimostrandosi così inaffidabile.

Google ha quindi reagito iniziando a togliere fiducia a Symantec con Chrome 66: a partire dal 17 aprile 2018 alcuni siti web provvisti di certificato TLS Symantec sono contrassegnati con l’avvertimento che su quel sito web i dati possono essere acquisiti da terzi. L’avviso “Non sicuro” di Chrome 68 è ancora più chiaro. Con l’aggiornamento a Chrome 70 previsto per il 23 ottobre 2018, la segnalazione del browser sarà ulteriormente inequivocabile: non appena l’utente vorrà immettere i propri dati su un sito non sicuro, gli apparirà l’avviso di colore rosso e in grassetto.

Un tecnico della sicurezza di Airbnb ha scoperto quanti saranno i domini interessati da questa modifica: 11.510, ovvero quasi il 10 % dei siti web più visitati secondo il ranking di Alexa. Tra questi ritroviamo i siti web di Sky, Unieuro, Mondadori Store, Amazon.it, Avvenire, Hoepli, Unicredit, Obi Italia, Fastweb, Italotreno, Trivago, Tecnocasa e molti altri. Il motivo per un numero così elevato è che Chrome 70 non diffida solamente dei certificati emessi direttamente da Symantec, bensì anche di quelli a essa indirettamente associati, come GeoTrust, RapidSSl e Thawte.