“Per aiutare gli utenti a navigare sul web in modo sicuro, Chrome indica la sicurezza collegamento con un’icona nella barra degli indirizzi. Storicamente, Chrome non ha etichettato in modo esplicito le connessioni HTTP come non sicure. A partire da gennaio 2017 (Chrome 56), ci segnalerà i siti HTTP che trasmettono le password o carte di credito come non sicuri, in linea con un piano a lungo termine per contrassegnare tutti i siti HTTP come non sicuri”.

Questo l’annuncio che il colosso di Mountain View, a fine 2016, ha inserito nel suo blog Google Security Blog.

Da gennaio 2017, infatti, il popolare browser Google Chrome ha cominciato a segnalare come non sicuri tutti i siti che accettano connessioni HTTP non cifrate, rovesciando il concetto attuale di “sito non sicuro”. Il browser avvisa, ora l’utente sulla pericolosità di un sito se questo non implementa il trasporto delle informazioni attraverso un canale sicuro (SSL/TLS): riconoscibile dalla presenza del protocollo https://.

Un sito con https è percepito, in genere, dal visitatore con maggiore affidabilità rispetto ad un sito senza protocollo e Google, che mostra una certa attenzione sul tema della privacy e della sicurezza, ha voluto promuovere questa cultura spingendo gli autori di siti web ad adottare delle soluzioni di sicurezza di base, alla portata di ogni proprietario di un sito web.

All’inizio Chrome ha segnalato che la cosa però non riguarda tutti, ma solo chi gestisce dati sensibili, come password e carte di credito; tutti gli altri, almeno per il momento, potranno dormire sonni tranquilli. Non ci sarà alcuna dicitura sul proprio sito.

Per concludere:

  • Avere il sito in HTTPS non è obbligatorio, perchè non c’è una legge, ma conviene averlo.
    • Stando alle statistiche dei browser più usati, Google Chrome ha chiuso il 2016 con il monopolio del 8 %. Quindi una larga percentuale di utenti cominceranno a percepire i siti HTTP come non sicuri e da cui allontanarsi al più presto.
  • L’etichetta “Non sicuro” non viene applicata a tutto il sito, ma solo alla pagina che manipola i dati sensibili.
    • Questo non è un aspetto da sottovalutare, infatti, ad esempio, ci sono e-commerce che al momento del checkout mandano il carrello al sito dei pagamenti di PayPal. In questo caso l’e-commerce non tratta direttamente le carte di credito, perciò non deve implementare necessariamente HTTPS. Oppure, caso più pratico, in un blog senza iscrizione per gli utenti, viene segnalata come non sicura solo la pagina di login, usata dall’amministratore.
  • Avere questo protocollo non significa che il nostro sito non potrà essere bucato. Semplicemente significa che se qualcuno intercettasse la comunicazione tra l’utente e il sito web (attacco Man In The Middle), vedrebbe i dati cifrati.