Presto Google segnalerà tutti i siti web non criptati

Google vuole che tutte le informazioni che viaggiano sul web lo facciano in maniera sicura. Proprio per questo, Chrome segnalerà i siti non criptati come insicuri, visualizzando una "x" rossa sopra al simbolo di un lucchetto nella barra degli indirizzi.

Con questa mossa, Google mette in chiaro il suo desiderio di imporre un web del futuro completamente criptato in cui tutti i siti adottino l'HTTPS, il protocollo di sicurezza aggiuntivo che integra il classico HTTP. Diverse aziende e organizzazioni stanno facendo pressioni perché i siti cifrati diventino la norma, come parte della campagna "Encrypt All The Things," che promuove l'abbandono del tradizionale e meno sicuro protocollo HTTP in favore dell'HTTPS.

Attualmente, Chrome visualizza l'icona di una pagina bianca quando il sito a cui si sta per accedere non è protetto, un lucchetto verde in caso contrario e un lucchetto con sopra una "x" rossa sopra c'è qualcosa che non va nella pagina HTTPS a cui si tenta di accedere. Il cambiamento attirerà ancora di più l'attenzione sui siti potenzialmente insicuri.

Il gigante di internet aveva preannunciato il suo piano nel 2014 senza troppo clamore, quando uno dei membri del team di Chrome Security annunciò il progetto di marcare tutti i siti web HTTP come "non sicuri".

"L'obbiettivo di questa proposta è comunicare in maniera più immediata agli utenti che l'HTTP non garantisce la sicurezza dei loro dati immessi in rete", ha dichiarato Chris Palmer di Google.

Martedì scorso, durante una presentazione alla conferenza sulla sicurezza Usenix Enigma a San Francisco, Google ha presentato il suo progetto con maggiore enfasi, fornendo anche qualche anteprima di come si andrà a concretizzare. (Potete vedere la piccolo "x" rossa apposta sul lucchetto all'interno della barra degli indirizzi.)

The future. More like this coming down the pike. Chris PalmerJanuary 26, 2016

Parisa Tabriz, manager del team di ingegneri della sicurezza di Google, ha scritto su Twitter che l'intenzione dell'azienda è fare "percepire" l'HTTP per quello che è al giorno d'oggi: uno strumento "non sicuro".

La motivazione dietro questa scelta è che su ogni sito che sfrutta solamente l'HTTP i dati scambiati tra il server del sito e l'utente sono in chiaro, ciò significa che chiunque sia in grado di spiare la connessione, sia esso un hacker posizionato in una caffetteria o dei funzionari al soldo di un governo repressivo, potrebbe intercettare e rubare password, messaggi privati o altre informazioni sensibili.

Ma l'HTTPS non si limita a proteggere i dati dell'utente, si assicura anche che questo sia effettivamente connesso al sito giusto. Tutto ciò si rivela di fondamentale importanza perché la creazione delle copie di siti in cui gli utenti hanno normalmente fiducia è una delle tattiche preferite adottare da hacker e malintenzionati vari. L'HTTPS assicura inoltre che un terzo malintenzionato non riesca a deviare la connessione e immettere malware o censurare informazioni.

Gli esperti di tecnologia e privacy hanno applaudito il piano di Google.

"La pressione di Chrome nel far percepire l'HTTP come un protocollo definitivamente insicuro è una presa di posizione forte che tiene conto delle esigenze degli utenti," ha commentato Eric Mill, un esperto di crittografia sul web. "Nonostante la sua ampia diffusione, l'HTTP continua ad essere un protocollo completamente insicuro, oltre che un pericolo reale per gli utenti e l'open web tutto."

Google aveva già manifestato la sua preferenza per i siti web HTTPS invitando ad una maggiore diffusione dell'HTTPS sul web durante la I/O conference del 2014 e soprattutto quando ha annunciato l'intenzione di favorire i siti criptati nei suoi risultati di ricerca rispetto agli altri. Tuttavia il colosso di Internet non è l'unico a promuovere l'utilizzo di HTTPS. Mozilla e Apple hanno entrambi sostenuto l'esigenza della crittografia sul web. Lo stesso governo degli Stati Uniti ha compiuto importanti passi in questa direzione, imponendo che tutti i siti web .gov si affidino di default all'HTTPS entro la fine di quest'anno.

Google non ha detto quando renderà una norma su Chrome la "x" rossa per segnalare i siti basati sull'HTTP, ma un dipendente di Google che ha chiesto di rimanere anonimo perché non autorizzato a parlare con la stampa mi ha detto che "presto" lo sapremo tramite un annuncio e che l'intento dell'azienda è quello di rendere l'HTTPS il protocollo di default "un giorno, si spera." (Un portavoce di Google che ha abbiamo contattato si è rifiutato di commentare queste indiscrezioni.)

Ma se volete pregustarvi un'anteprima, potete digitare "chrome: // flags" sul vostro browser Chrome e quindi passare a "mark non-secure as" selezionando infine "mark non-secure origins as non-secure." Buona fortuna!