I siti web che gestiscono informazioni personali e dati sensibili utilizzano il protocollo HTTPS che prevede a sua volta l’impiego di un meccanismo crittografico (protocolli SSL/TLS) e di un certificato digitale.
Con il “normale” protocollo HTTP, infatti, le informazioni viaggiano tra client e server web (e viceversa) in chiaro; possono quindi essere monitorate ed intercettate da parte di un malintenzionato che si ponesse lungo il tragitto (attacco “man-in-the-middle” ossia dell'”uomo nel mezzo“).
Quando ci si collega, oggi, ad un sito web facente uso di HTTPS, del protocollo TLS 1.2 e di un certificato valido e sicuro, si ha la ragionevole certezza che le informazioni scambiate con il server non possano cadere nelle mani altrui.
I protocolli crittografici che vengono utilizzati con HTTPS sono oggetto di continui studi per metterne a nudo eventuali lacune di sicurezza. Il cosiddetto bug Heartbleed, riferito ad una grave vulnerabilità presente in alcune versioni della libreria OpenSSL, comunemente utilizzata sui sistemi Linux e Unix-like (Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?) ed il più recente attacco POODLE (Disattivare SSL 3.0 e proteggere i dati personali dall’attacco POODLE) hanno contribuito gli amministratori di sistema ad aggiornare le loro macchine e gli utenti ad acquisire una maggior consapevolezza sul problema.
POODLE, in particolare, ha sostanzialmente messo al tappeto SSL 3.0, versione del protocollo crittografico che fino a ieri era utilizzata da migliaia di server web per proteggere le connessioni HTTPS.
Gli sviluppatori di Chrome e Firefox, in conseguenza delle vulnerabilità scoperte in SSL 3.0, hanno deciso di eliminarne per default il supporto (Chrome 39 disattiva SSLv3 e diventa a 64 bit su Mac; Mozilla Firefox 34: ricerca, Hello e niente SSLv3) in modo da spronare gli amministratori di server web al passaggio a TLS 1.2.
Certificato di protezione del sito web: che cos’è
Abbiamo detto che quando si utilizzano connessioni non sicure, facendo ricorso al solo HTTP – senza l’impiego di un protocollo di crittografia asimmetrica -, è semplice, per un aggressore, carpire informazioni personali esaminando i dati in transito (attività di “sniffing“).
I vari browser web segnalano quando si sta utilizzando una connessione HTTPS evidenziando la cosa direttamente nella barra degli indirizzi, con diversi colori e differenti soluzioni grafiche.
In tutti i casi, comunque, in presenza di una connessione HTTPS, i browser visualizzano – nella barra degli indirizzi – un’icona raffigurante un lucchetto.
Cliccandovi sopra, si può accedere ai dettagli tecnici sulla connessione con il server.
Se i protocolli SSL/TLS venegono utilizzati per cifrare i dati e renderne impossibile la lettura da parte di persone non autorizzate, il certificato digitale dei siti web consente di attestare l’dentità del sito stesso.
Il certificato digitale permette insomma al browser di verificare che il sito web visitato sia effettivamente quello che dichiara di essere.
Quando ci si connette ad un sito web via HTTPS, quindi, il browser controlla che il certificato digitale sia valido, non scaduto ed emesso da un’autorità di certificazione riconosciuta.
Nell’articolo Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti abbiamo messo in evidenza le differenze tra le varie tipologie di certificati digitali.
Errori relativi al certificato di protezione del sito web esposti dal browser possono essere sintomi di diversi problemi. Il consiglio è quello di fare clic sul pulsante che consente di accedere ai dettagli tecnici dell’errore.
– Certificati digitali scaduti
I certificati digitali che attestano l’identità dei siti web vengono emessi da autorità di certificazione (CA) riconosciute a livello internazionale ed inserite nei database contenuti nei vari browser. Nel nostro articolo I certificati digitali e gli attacchi subiti dalle autorità di certificazione: l’accaduto e le difese da porre in campo avevamo a suo tempo chiarito il ruolo delle autorità di certificazione.
I certificati debbono essere rinnovati dagli amministratori dei sistemi informatici ed in particolare da chi gestisce il server web HTTPS.
Il messaggio che informa circa l’impossibilità di accedere al sito web HTTPS a causa del certificato scaduto può mettere in evidenza una “svista” da parte dell’amministrazione del sito oppure suggerire un problema relativo all’orologio del personal computer.
Se l’orologio del personal computer non è aggiornato, sarà impossibile accedere ai siti HTTPS o scaricare la posta elettronica da server che utilizzano la cifratura dei dati (vedere anche Creare un indirizzo email: quale servizio scegliere).
Un orologio di sistema che non presenta la data corretta può quindi essere causa di numerosi problemi: Come cambiare la batteria tampone se l’orologio rimane indietro.
– Certificati digitali non attendibili o revocati
Gli errori visualizzati dal browser che fanno riferimento a certificati non attendibili o revocati suggeriscono che il sito web richiesto non è attendibile.
I siti web attraverso i quali vengono poste in essere attività truffaldine sfruttano spesso certificati digitali non validi, non emessi da autorità di certificazione attendibili.
Nel caso in cui, per usi personali, si fosse allestito un sito web che utilizza un certificato digitale emesso senza passare per un’autorità di certificazione, il browser visualizzerà comunque il messaggio d’allerta.
– Certificati digitali sconosciuti
In alcuni frangenti, la connessione al sito web d’interesse potrebbe non risultare possibile in quanto il certificato digitale viene indicato come sconosciuto. Si tratta di un caso più raro che potrebbe presentarsi nel momento in cui l’utente non avesse installato l’ultima versione del browser o non avesse correttamente caricato gli aggiornamenti di sistema di Windows.
Microsoft, infatti, provvede periodicamente ad aggiornare il database delle autorità di certificazione (sfruttato anche da parte di altri browser, non solo da Internet Explorer) rilasciando apposite patch attraverso il servizio Windows Update.
– Connessione sicura non riuscita o Errore connessione SSL
Gli errori “Connessione sicura non riuscita” ed “Errore connessione SSL“, esposti da Firefox e Chrome, non riguardano i certificati digitali ma il protocollo utilizzato per crittografare i dati.
Se il sito HTTPS di destinazione non permette l’utilizzo di TLS 1.2 ma consente al massimo l’impiego di SSL 3.0, per prevenire rischi derivanti dall’eventualità che un malintenzionato ponga in essere un attacco POODLE, browser come Firefox e Chrome provvedono a negare precauzionalmente la connessione.
Registriamo, purtroppo, che ancor’oggi diversi siti web istituzionali ancora utilizzano SSL 3.0.