Quando una pagina viene caricata utilizzando il protocollo HTTPS, i principali browser Web hanno mostrato nella barra degli indirizzi l’icona del lucchetto: ciò è storicamente avvenuto sin dalle prime versioni di Netscape, negli anni ’90. Nell’ultimo decennio la Electronic Frontier Foundation (EFF), di concerto con gli sviluppatori di browser, hanno avviato una campagna per spronare i webmaster ad adottare HTTPS insieme con certificati digitali validi ed emessi da un’Autorità riconosciuta.
Nel 2013 solo il 14% dei siti presenti nella lista Alexa Top 1M supportava HTTPS; oggi, invece, HTTPS è diventato scontato e, ad esempio, oltre il 95% dei caricamenti di pagine in Chrome (browser che resta il più utilizzato in assoluto) avviene in forma sicura grazie. Si tratta di un’ottima notizia per l’intero ecosistema che ha indotto gli sviluppatori di Chromium, progetto open source alla base di molti dei più popolari browser, come Google Chrome, Opera e Microsoft Edge, a ripensare alla visualizzazione dell’icona del lucchetto nella barra degli indirizzi.
Quando l’utilizzo di HTTPS era cosa rara sul Web, l’icona del lucchetto richiamava l’attenzione sulle protezioni aggiuntive fornite dal sito in corso di visita. Oggi questo non è più vero e HTTPS è la norma, non l’eccezione: così, a breve, Chromium e Chrome rimuoveranno definitivamente l’icona del lucchetto.
Quasi tutti i siti di phishing utilizzano HTTPS e quindi visualizzano l’icona del lucchetto: non ha quindi senso continuare a visualizzare un’icona che, nel panorama attuale, è diventata di fatto ormai superflua. Google ha dimostrato con uno studio basato su heatmap che ancora oggi la maggior parte degli utenti fa troppo affidamento alla presenza del lucchetto per valutare, ad esempio, l’affidabilità di un sito di e-commerce. Si vuole invece evidenziare che ormai il lucchetto non rappresenta più, da solo, la “cartina tornasole” dell’affidabilità di una pagina.
L’icona del lucchetto sarà quindi presto sostituita dal simbolo comunemente utilizzato per l’accesso a controlli aggiuntivi e impostazioni: potete vederlo nell’immagine che pubblichiamo di seguito.
La sostituzione dell’icona del lucchetto con un indicatore neutro impedisce, secondo Google, incomprensioni e richiama l’attenzione sul fatto che cliccando sul nuovo simbolo sia possibile accedere a informazioni e controlli importanti. “Riteniamo che la nuova icona aiuti a rendere più accessibili i controlli delle autorizzazioni e le informazioni di sicurezza aggiuntive, evitando al contempo i fraintendimenti che affliggono l’icona del lucchetto“, spiegano i tecnici.
Il lancio della nuova icona è previsto per settembre 2023, quando verrà rilasciata la versione finale di Chrome 117. Nel frattempo, chi volesse rendersi conto di come funziona il nuovo approccio, può digitare chrome://flags#chrome-refresh-2023
nella barra degli indirizzi, attivare (Enabled) l’impostazione corrispondente e riavviare il browser.
Perse le differenze tra le tipologie di certificati digitali
C’è da dire, a onor del vero, che con il tempo si sono perse le importanti distinzioni fra le tipologie di certificati digitali utilizzati insieme con il protocollo HTTPS. Con la foga di voler semplificare a tutti i costi, si sono perse quelle importanti differenziazioni grafiche che in passato venivano usate per evidenziare l’avvenuta verifica dell’identità del gestore di un sito Web.
La maggior parte dei certificati digitali utilizzati al giorno d’oggi sono di tipo DV (Domain Validated): l’emissione di questa tipologia di certificato richiede solo la conferma del controllo del dominio richiesto da parte del richiedente. In altre parole, il fornitore del certificato verifica che chi richiede il certificato sia effettivamente in grado di gestire il dominio. È il livello di validazione più basso e il certificato DV viene emesso in modo automatico e rapido, senza richiedere una verifica approfondita dell’identità del soggetto che richiede il certificato stesso.
Esistono però anche i certificati OV (Organization Validated) e EV (Extended Validation).
Gli OV (Organization Validated) necessitano di una verifica più approfondita dell’identità dell’organizzazione che richiede il certificato. Il fornitore del certificato verifica che l’organizzazione sia registrata e che l’entità che richiede il certificato abbia autorità per rappresentare l’organizzazione.
Infine, l’emissione dei certificati EV (Extended Validation) presuppone la verifica dell’identità legale e fisica dell’organizzazione richiedente. Il processo di validazione è inoltre più approfondito rispetto ai certificati OV e implica la verifica delle informazioni dell’organizzazione attraverso fonti terze.
Ovvio che, con i certificati OV ed EV, vedere comparire Google, Microsoft, Amazon, PayPal, il nome della propria banca a sinistra della barra degli indirizzi e in bella evidenza sarebbe stato, a nostro avviso, ancora molto utile.