Il protocollo HTTPS (ossia HTTP con l’aggiunta del protocollo crittografico SSL/TLS), insieme con un certificato digitale valido, vengono comunemente usati da tutti i siti web che permettono la gestione di dati importanti od informazioni sensibili.
Quando si utilizzano connessioni non sicure, facendo ricorso al solo HTTP – senza l’impiego di un protocollo di crittografia asimmetrica -, infatti, è molto facile, per un aggressore, sottrarre informazioni personali esaminando i dati in transito (attività di “sniffing“).
Ecco perché tutti i principali fornitori di servizi online hanno da tempo attivato l’uso del protocollo HTTPS, da Google a Microsoft, da Facebook a Twitter e così via. Per maggiori informazioni, vi suggeriamo di fare riferimento ai seguenti articoli:
– Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?
– Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti
– I certificati digitali e gli attacchi subiti dalle autorità di certificazione: l’accaduto e le difese da porre in campo.
Stando a fonti vicine a Google, l’azienda fondata da Larry Page e Sergey Brin starebbe lavorando sull’implementazione di un meccanismo di cifratura dei dati “end-to-end”. Come avviene utilizzando il software multipiattaforma PGP (Guida all’uso di Gpg4Win, una suite di strumenti per crittografare e-mail, file e cartelle) o, più semplicemente, un normale certificato personale S/MIME (vedere, ad esempio, Posta elettronica certificata e certificati s/mime: differenze e funzionamento), l’idea dei tecnici di Google consiste nel garantire la sicurezza e la riservatezza dei dati da un capo all’altro della trasmissione, da mittente a destinatario e viceversa.
Utilizzando una soluzione “end-to-end”, le chiavi crittografiche utilizzate per proteggere i messaggi scambiati tra gli interlocutori vengono conservate in locale, dai singoli utenti. Un approccio diametralmente opposto rispetto a quello usato oggi, ad esempio, su Google Gmail e su tutte le varie webmail dei provider concorrenti. È vero che nel caso di Gmail la connessione avviene utilizzando HTTPS (sfruttando protocollo crittografico SSL/TLS e certificati digitali) ma è Google a conservare le chiavi di cifratura tant’è vero che la società ha recentemente confermato di effettuare un’analisi automatica del contentuo dei messaggi degli utenti: Google analizza anche il contenuto della posta Gmail, almeno negli States.
Con una soluzione crittografica “end-to-end”, Google non sarebbe più in grado di esaminare il contenuto delle e-mail scambiate perché queste resterebbero in forma cifrata dal momento della partenza, dal sistema dell’utente, fino al raggiungimento del destinatario.
Resta da capire se ed eventualmente in che modo Google attiverà una forma di crittografia “end-to-end” sulla webmail Gmail. Effettuerà delle modifiche direttamente in Chrome per abilitare di default questa possibilità? Rilascerà un’estensione simile all’ottima Mailvelope? Permetterà il supporto dei certificati S/MIME?
Ed ancora, renderà la funzionalità di crittografia “end-to-end” disponibile a tutti gli utenti di Gmail oppure sarà appannaggio esclusivamente di chi sottoscriverà un abbonamento a titolo oneroso? Quale vantaggio avrebbe, infatti, Google dal far transitare sui suoi server comunicazioni che non avrà più modo di esaminare in automatico?