I siti web che gestiscono informazioni personali e dati sensibili utilizzano il protocollo HTTPS che prevede a sua volta l’impiego di un meccanismo crittografico, protocolli SSL/TLS, e di un certificato digitale.
Con il “normale” protocollo HTTP, le informazioni scambiate fra client e server web viaggiano in chiaro; possono quindi essere monitorate ed intercettate da parte di un malintenzionato che si ponesse lungo il tragitto, attacco “man-in-the-middle” ossia dell'”uomo nel mezzo”.
Quando ci si collega, ad un sito web facente uso di HTTPS, del protocollo TLS 1.2 e di un certificato valido e sicuro, si ha la ragionevole certezza che le informazioni scambiate con il server non possano cadere nelle mani altrui.
I protocolli crittografici che vengono utilizzati con HTTPS sono oggetto di continui studi per metterne a nudo eventuali lacune di sicurezza. Il cosiddetto bug Heartbleed, riferito ad una grave vulnerabilità presente in alcune versioni della libreria OpenSSL, comunemente utilizzata sui sistemi Linux e Unix-like e l’attacco POODLE hanno contribuito gli amministratori di sistema ad aggiornare le loro macchine e gli utenti ad acquisire una maggior consapevolezza sul problema.
POODLE, in particolare, ha sostanzialmente messo al tappeto SSL 3.0, versione del protocollo crittografico che fino a non molto tempo fa era utilizzata da migliaia di server web per proteggere le connessioni HTTPS.
Certificato di protezione del sito web: che cos’è
Abbiamo detto che quando si utilizzano connessioni non sicure, facendo ricorso al solo http, senza l’impiego di un protocollo di crittografia asimmetrica, è semplice per un aggressore, carpire informazioni personali esaminando i dati in transito, attività di “sniffing”.
I vari browser web segnalano quando si sta utilizzando una connessione HTTPS evidenziando la cosa direttamente nella barra degli indirizzi, con diversi colori e differenti soluzioni grafiche.
In tutti i casi, comunque, in presenza di una connessione HTTPS, i browser visualizzano, nella barra degli indirizzi, un’icona raffigurante un lucchetto.
Cliccandovi sopra, si può accedere ai dettagli tecnici sulla connessione con il server.
Se i protocolli SSL/TLS vengono utilizzati per cifrare i dati e renderne impossibile la lettura da parte di persone non autorizzate, il certificato digitale dei siti web consente di attestare l’identità del sito stesso. Il certificato digitale permette insomma al browser di verificare che il sito web visitato sia effettivamente quello che dichiara di essere.
Quando ci si connette ad un sito web via HTTPS, quindi, il browser controlla che il certificato digitale sia valido, non scaduto ed emesso da un’autorità di certificazione riconosciuta.
Errori relativi al certificato di protezione del sito web esposti dal browser possono essere sintomi di diversi problemi. Il consiglio è quello di fare clic sul pulsante che consente di accedere ai dettagli tecnici dell’errore.
Certificati digitali scaduti
I certificati digitali che attestano l’identità dei siti web vengono emessi da autorità di certificazione (CA) riconosciute a livello internazionale ed inserite nei database contenuti nei vari browser. I certificati debbono essere rinnovati dagli amministratori dei sistemi informatici ed in particolare da chi gestisce il server web HTTPS.
Il messaggio che informa circa l’impossibilità di accedere al sito web HTTPS a causa del certificato scaduto può mettere in evidenza una “svista” da parte dell’amministrazione del sito oppure suggerire un problema relativo all’orologio del personal computer.
Se l’orologio del personal computer non è aggiornato, sarà impossibile accedere ai siti HTTPS o scaricare la posta elettronica da server che utilizzano la cifratura dei dati. Un orologio di sistema che non presenta la data corretta può quindi essere causa di numerosi problemi.
Certificati digitali non attendibili o revocati
Gli errori visualizzati dal browser che fanno riferimento a certificati non attendibili o revocati suggeriscono che il sito web richiesto non è attendibile.
I siti web attraverso i quali vengono poste in essere attività truffaldine sfruttano spesso certificati digitali non validi, non emessi da autorità di certificazione attendibili.
Nel caso in cui, per usi personali, si fosse allestito un sito web che utilizza un certificato digitale emesso senza passare per un’autorità di certificazione, il browser visualizzerà comunque il messaggio d’allerta. In questo caso non è nulla di grave e il problema si risolve installando il certificato sul pc al fine di rendere attendibile l’autorità emittente del certificato
Certificati digitali sconosciuti
In alcuni frangenti, la connessione al sito web d’interesse potrebbe non risultare possibile in quanto il certificato digitale viene indicato come sconosciuto. Si tratta di un caso più raro che potrebbe presentarsi nel momento in cui l’utente non avesse installato l’ultima versione del browser o non avesse correttamente caricato gli aggiornamenti di sistema di Windows.
Microsoft, infatti, provvede periodicamente ad aggiornare il database delle autorità di certificazione, sfruttato anche da parte di altri browser, non solo da Internet Explorer o Edge, rilasciando apposite patch attraverso il servizio Windows Update.
Connessione sicura non riuscita o Errore connessione SSL
Gli errori “Connessione sicura non riuscita” ed “Errore connessione SSL”, esposti da Firefox e Chrome, non riguardano i certificati digitali ma il protocollo utilizzato per crittografare i dati.
Se il sito HTTPS di destinazione non permette l’utilizzo di TLS 1.2 ma consente al massimo l’impiego di SSL 3.0, per prevenire rischi derivanti dall’eventualità che un malintenzionato ponga in essere un attacco POODLE, browser come Firefox e Chrome provvedono a negare precauzionalmente la connessione.