Durante la navigazione sul Web capita ogni tanto di veder apparire l’indicazione Non sicuro nella parte iniziale della barra degli indirizzi, dove appaiono gli URL delle pagine aperte.
L’indicazione Non sicuro appare per tutte le pagine Web che utilizzano il semplice protocollo HTTP, quindi senza applicare alcuna forma di cifratura.
Contrariamente all’uso del protocollo HTTPS con HTTP i dati viaggiano in chiaro tra client, server e viceversa. Qualunque utente, lungo il percorso dei pacchetti dati, può intercettarli, leggerli, modificarli, danneggiarli. In altre parole un aggressore può lanciare quello che viene conosciuto come attacco man-in-the-middle.
Non importa se la pagina HTTP non gestisce dati sensibili o non espone alcun form di login: Chrome, come Edge e gli altri browser derivati da Chromium, mostrano il messaggio Non sicuro in ogni caso.
Un lucchetto di colore grigio compare soltanto sulle pagine HTTPS che:
– Utilizzano un certificato digitale valido, emesso da un’autorità di certificazione riconosciuta, integro e non scaduto.
Il certificato digitale viene rilasciato da un’autorità di certificazione che accerta l’identità del richiedente, il possesso o la proprietà del nome a dominio ed emette un documento da esporre ai client collegati.
Diversamente da quanto accadeva in passato Google non carica più i cosiddetti mixed content: una pagina HTTPS che contiene riferimenti a immagini e script richiamati via HTTP (quindi senza cifratura) viene comunque indicata come sicura (lucchetto grigio) perché Chrome non carica nessuno dei contenuti HTTP.
Provate a visitare il sito di test BadSSL: cliccando sui vari pulsanti è possibile provare il comportamento del browser con molteplici tipologie di contenuti Web che contengono degli errori in pagina.
Cliccate ad esempio su mixed-script, mixed, mixed-favicon: noterete che i siti web vengono indicati come sicuri (lucchetto grigio): premendo il tasto F12
si nota come Google blocca automaticamente tutte le risorse HTTP insicure presenti nella pagina.
Un trattamento diverso è ovviamente riservato alle pagine HTTPS che inviassero dati a una pagina HTTP tramite un form da compilare.
In questi casi Chrome mostra un messaggio in rosso “Questo modulo non è sicuro“. Se poi l’utente provasse ugualmente a compilare il form e a inviare i dati, il browser di Google blocca l’invio dei dati e mostra l’avviso “Le informazioni che stai per inviare non sono protette“.
All’utente viene comunque data facoltà di inviare le informazioni ma l’operazione viene caldamente sconsigliata.
Se si volesse provare questo comportamento, in BadSSL basta cliccare su very e su mixed-form.
I siti che utilizzano mixed content ovvero contenuti che sono richiamati via HTTP ma provando a visitare l’URL HTTP si viene automaticamente reindirizzati alla versione HTTPS presenteranno il lucchetto grigio e tutte le risorse in pagina verranno comunque caricate.
In BadSSL è proprio il caso dell’esempio mixed: una risorsa chiamata in pagina attraverso un URL HTTP può essere raggiunta allo stesso indirizzo HTTPS quindi l’URL viene automaticamente aggiornato da Chrome e il contenuto visualizzato senza problemi.
Cosa fare se ci si imbatte in una pagina che mostra Non sicuro nella barra degli indirizzi
Una pagina che mostra Non sicuro nella barra degli indirizzi non è necessariamente da abbandonare subito o tacciare di gravi problemi in termini di sicurezza.
Se Chrome mostra semplicemente l’avviso Non sicuro ma la pagina è regolarmente navigabile e non vengono esposti altri avvisi si può tranquillamente visitarla facendo attenzione a non inserire dati in alcun form.
Diversi sono i casi in cui Chrome mostra l’indicazione Non sicuro in rosso e con il protocollo HTTPS barrato. Un esempio:
In questi casi il browser mostra anche un eloquente avviso a tutta pagina: “La connessione non è privata” o similare.
Questo accade quando il certificato digitale che attesta l’identità del sito web è scaduto, è sbagliato (non si riferisce al sito web che si sta visitando), è stato auto-generato (quindi non emesso da un’autorità di certificazione riconosciuta), è stato emesso da un soggetto non riconosciuto oppure è stato revocato.
In BadSSL si possono simulare queste circostanze cliccando sui pulsanti del riquadro Certificate in alto.
Queste sono le situazioni alle quali bisogna prestare maggiore attenzione perché l’identità del sito non è certificata e ci si potrebbe trovare su una pagina diversa da quella che si vorrebbe davvero navigare.
Ovvio che se si visita una pagina HTTPS che risponde su un indirizzo IP pubblico o privato il certificato digitale è inesistente. Si pensi ad esempio a un router che risponde all’indirizzo https://192.168.0.1. In questo caso si può fare clic sul pulsante Avanzate quindi selezionare Procedi su 192.168.0.1 (non sicuro).
I dati in transito verranno comunque cifrati grazie all’utilizzo del protocollo HTTPS: semplicemente non viene certificata l’identità del web server per via dell’assenza del certificato digitale.
Particolare attenzione dovrebbe essere riposta nell’individuare e riconoscere eventuali attacchi phishing: a questo proposito vi proponiamo un quiz di Google per aiutarvi a rilevare le email e i siti di phishing.
Gli autori delle truffe online utilizzano sempre più spesso nomi a dominio con indirizzi che ricordano da vicino quelli di grandi aziende, istituti bancari e fornitori di servizi. Per far cadere nella trappola quanti più utenti possibile le pagine fraudolente vengono erogate utilizzando il protocollo HTTPS.