Piccola nota sul lucchetto verde

Piccola nota sul lucchetto verde postato il 18/04/2017 10:16:58 nel forum programmazione, open source e hosting

Ciao a tutti,

mi è capitato di leggere solo oggi l'articolo "HTTPS e Google Chrome 56" (https://www.gdr-online.com/articoli-https-google-chrome.asp ↗), che ho commentato. Ho però notato che i commenti agli articoli non risaltano in nessun modo sulla home e, siccome mi sembra un argomento che è bene tenere in considerazione (la sicurezza lo è sempre, specialmente se ci sono zone d'ombra) ho pensato di aprire questo post dove riproporre la mia risposta e, se vi va, aprire una discussione in merito. Spero non lo vediate come un atto di egocentrismo! :-P

C'è una grossa confusione attorno ai lucchetti verde/rosso/blu/arcobaleno e come essi trasportino l'idea di "sicurezza". Penso che si dovrebbe sottolineare il fatto che HTTPS non implica "sicuro", al punto che è in discussione come il lucchetto verde veicoli un'informazione fuorviante.

Usare il protocollo HTTPS significa che la comunicazione tra te ed il server è cifrata (che di per sé non vuol dire che è sicura, vista la marea di cose che possono andare male, leggasi che possono essere implementate male, ma assumiamo sia così con un deciso sforzo immaginativo), questo significa che (sempre nel nostro mondo ideale) terze parti non posso spiare/modificare la comunicazione. Basta questo per descrivere la comunicazione come "sicura"? Forse in senso classico (mondo ideale), ma non nel mondo vero. Faccio un esempio:

Il truffaldino Pierino apre il sito "Amaz0n" col chiaro intento di replicare il reale sito "Amazon" e rubare dati delle carte di credito. Come detto da alcuni utenti sopra [Cf. altre risposte all'articolo], non è difficile né particolarmente costoso acquistare un certificato per "Amaz0n". Quando un utente, attratto magari da una email phishing, sbarca su "Amaz0n", il browser controlla il tipo di connessione stabilita: il sito ha un certificato (GOOD), il nome sul certificato corrisponde al nome sul sito (e tutta una serie di altri controlli sul certificato...GOOD), supporta i cifrari che piacciono a me (GOOD), quindi stabilisco una connessione cifrata (GOOD), quindi questo sito è da lucchetto verde (VERY BAD).

L'utente medio vedrà il lucchetto verde e si sentirà automaticamente più tranquillo nell'inserire i propri dati per comprare a prezzi stracciati su "Amaz0n", perché la "connessione è sicura".

In sintesi: lucchetto verde significa che la connessione è cifrata e che il sito è chi dice di essere (il certificato certifica che quel sito è "Amaz0n", ma un utente distratto potrebbe non cogliere la differenza con "Amazon"). Alla fine dei giochi, sta a VOI UTENTI (e non esiste e penso non possa esistere alcun automatismo in tal senso) decidere se vi fidate del sito o meno.

Take away message: prendete il lucchetto verde con le pinze e sappiate cosa realmente vuol dire. Per approfondire (guarda caso fa anche il mio stesso esempio, giuro che ho cercato l'articolo dopo aver scritto questa risposta :-D): https://www.tunetheweb.com/blog/what-does-the-green-padlock-really-mean/ ↗ (in INGLESE, ma semplice e scorrevole).

Quindi, sia in quanto utenti che in quanto gestori, abbiate ben chiaro la differenza tra "connessione sicura" e "sito sicuro": non ci potrebbero essere concetti tanto diversi quanto facili da confondere.

18/04/2017 10:44:08

Grazie per l'utile precisazione! ;)

18/04/2017 12:16:36

Ottima puntualizzazione.

Condivido l'avvertenza di bansky, per i gestori preciso che l'attivazione dell'ssl sul proprio dominio non esonera dal dover effettuare tutti i controlli di sicurezza del caso: è una cosa in più su cui si può star tranquilli ma, come indicato sopra, è soltanto una tra le tante ed è bene non sottovalutare le misure di sicurezza da implementare nella realizzazione del software.