Piccola nota sul lucchetto verde

C'è una grossa confusione attorno ai lucchetti verde/rosso/blu/arcobaleno e come essi trasportino l'idea di "sicurezza". Penso che si dovrebbe sottolineare il fatto che HTTPS non implica "sicuro", al punto che è in discussione come il lucchetto verde veicoli un'informazione fuorviante.

Usare il protocollo HTTPS significa che la comunicazione tra te ed il server è cifrata (che di per sé non vuol dire che è sicura, vista la marea di cose che possono andare male, leggasi che possono essere implementate male, ma assumiamo sia così con un deciso sforzo immaginativo), questo significa che (sempre nel nostro mondo ideale) terze parti non posso spiare/modificare la comunicazione. Basta questo per descrivere la comunicazione come "sicura"? Forse in senso classico (mondo ideale), ma non nel mondo vero. Faccio un esempio:

Il truffaldino Pierino apre il sito "Amaz0n" col chiaro intento di replicare il reale sito "Amazon" e rubare dati delle carte di credito. Come detto da alcuni utenti sopra [Cf. altre risposte all'articolo], non è difficile né particolarmente costoso acquistare un certificato per "Amaz0n". Quando un utente, attratto magari da una email phishing, sbarca su "Amaz0n", il browser controlla il tipo di connessione stabilita: il sito ha un certificato (GOOD), il nome sul certificato corrisponde al nome sul sito (e tutta una serie di altri controlli sul certificato...GOOD), supporta i cifrari che piacciono a me (GOOD), quindi stabilisco una connessione cifrata (GOOD), quindi questo sito è da lucchetto verde (VERY BAD).

L'utente medio vedrà il lucchetto verde e si sentirà automaticamente più tranquillo nell'inserire i propri dati per comprare a prezzi stracciati su "Amaz0n", perché la "connessione è sicura".

In sintesi: lucchetto verde significa che la connessione è cifrata e che il sito è chi dice di essere (il certificato certifica che quel sito è "Amaz0n", ma un utente distratto potrebbe non cogliere la differenza con "Amazon"). Alla fine dei giochi, sta a VOI UTENTI (e non esiste e penso non possa esistere alcun automatismo in tal senso) decidere se vi fidate del sito o meno.

Take away message: prendete il lucchetto verde con le pinze e sappiate cosa realmente vuol dire. Per approfondire (guarda caso fa anche il mio stesso esempio, giuro che ho cercato l'articolo dopo aver scritto questa risposta :-D): https://www.tunetheweb.com/blog/what-does-the-green-padlock-really-mean/ ↗ (in INGLESE, ma semplice e scorrevole).