Altri browser invece, come Firefox ed Internet Explorer, utilizzano un lucchetto grigio sempre chiuso.
Ma vediamo cosa si intende per navigazione sicura. Nei siti sicuri esiste la possibilità di inserire dati personali senza rischio di intercettazioni da parte di terze parti. Questo è cruciale non solo negli e-commerce, ma anche su qualsiasi sito che prevede uno scambio di dati.
Il furto di dati infatti non è necessariamente legato alle transazioni economiche, anche se evidentemente queste sono più sensibili al problema.
Per essere quindi considerato sicuro un sito o anche un qualsiasi applicativo web deve essere dotato del protocollo SSL ( Secure Socket Layer ). Questo protocollo prevede lo scambio di dati tra mittente e destinatario attraverso la negoziazione di una chiave crittografata.
In pratica vengono crittografati i dati trasmessi in modo che non possano essere letti senza la chiava preposta, nel processo entrambe le parti si scambiano le chiavi verificandone l’attendibilità per autorizzare il flusso di dati.
I certificati SSL hanno una coppia di chiavi, una pubblica e una privata, che insieme stabiliscono una connessione crittografata. Il certificato contiene anche il cosiddetto “soggetto”, ovvero l’identità del proprietario del certificato o del sito.
Lo standard di comunicazione (protocollo) per la navigazione web è da sempre l’ HTTP, con l’applicazione a questo della certificazione SSL si è arrivati al protocollo HTTPS.
Google ha da tempo aperto una battaglia per la sicurezza nella navigazione fin dal 2014 con la campagna ‘HTTPS Everywhere‘ mirata a ridurre a zero la navigazione non protetta.
Sarà capitato a tutti di imbattersi nell’avviso “Sito non sicuro” con la navigazione inibita, fatto salvo per la scelta consapevole di procedere a proprio rischio e pericolo.
Come detto l’alert di “sito sicuro” è sempre stato finora, per google chrome, il lucchetto verde ma ora le cose stanno cambiando. Da settembre 2023 Google infatti ha scelto di eliminare il “sicuro” accanto al lucchetto verde per gli HTTPS e la dicitura “non sicuro” accanto all’icona informativa, ritenendo che i soli simboli fossero sufficienti agli utenti per distinguere i siti sicuri da quelli che non lo sono.
La nuova grafica prevede un’icona “tune” con due indicatori stilizzati: l’icona porterà direttamente alle impostazioni e ai controlli relativi alle autorizzazioni e alle informazioni aggiuntive di sicurezza. Si tratta di una nuova icona generica meno evidente.
La motivazione della scelta è chiarita da Google in un post, dove viene evidenziato come l’indicatore di sito sicuro possa trarre in inganno l’utente a causa del fatto che ormai anche siti che sicuri non sono riescono ad ottenere il certificato.
A rifletterci bene quindi, per come la vedo io, l’intento nobile è sinonimo di battaglia persa perché ammette la non affidabilità del sistema reputazionale.
Una soluzione è sicuramente quella proposta dai certificati OV “Organization Validated” , questi attestano, in aggiunta alla protezione della cifratura, la proprietà del sito da parte di un’azienda.
Questo tipo di certificati proteggono sostanzialmente la paternità di un brand e di una attività, infatti possono essere richiesti solamente da personale autorizzato a rappresentare la proprietà.
A un livello più basso sono i certificati DV ( domain validated ) che per essere rilasciati richiedono solo di dimostrare la proprietà del dominio ( nome del sito in maniera semplificata ) anche a mezzo email.
I certificati EV invece, a un livello più alto, prevedono nove passaggi aggiuntivi prima del rilascio, tra cui la verifica del numero di telefono pubblico dell’azienda, la sua longevità, il numero di registrazione al Registro delle Imprese e la sua giurisdizione, nonché una verifica di eventuali frodi del dominio, delle blacklist di contatti e infine una telefonata per autenticare la posizione lavorativa del richiedente.
Quindi in sintesi quello che distingue i certificati DV, OV ed EV è unicamente la procedura burocratica per ottenerli che è più o meno restrittiva a seconda dei casi.
Ma Durante la navigazione su Internet, è possibile distinguere i siti con certificato OV (Organizational Validation), DV (Domain Validation) ed EV (Extended Validation) osservando la barra degli indirizzi del browser. Ecco come riconoscerli:
- Certificato DV (Domain Validation):
- Indicazioni sulla barra degli indirizzi: La connessione sicura viene indicata da un lucchetto chiuso e l’URL inizia con “https://”. Tuttavia, non fornisce informazioni aggiuntive sulla proprietà del sito.
- Colore della barra: Nei browser moderni, la barra degli indirizzi può apparire di colore neutro o verde, ma senza indicazioni specifiche sulla proprietà dell’organizzazione.
- Certificato OV (Organizational Validation):
- Indicazioni sulla barra degli indirizzi: Come per il DV, si avrà il lucchetto chiuso e l’URL inizia con “https”. Inoltre, possono essere presenti dettagli sull’organizzazione proprietaria del sito, che possono essere visualizzati facendo clic sull’icona del lucchetto.
- Colore della barra: In alcuni browser, la barra degli indirizzi può apparire di colore verde, sottolineando una maggiore validazione dell’organizzazione.
- Certificato EV (Extended Validation):
- Indicazioni sulla barra degli indirizzi: In evidenza, oltre al lucchetto chiuso e all’URL “https”, comparirà il nome dell’organizzazione proprietaria del sito, spesso in verde. Alcuni browser mostrano anche un’icona distintiva accanto all’URL.
- Colore della barra: La barra degli indirizzi spesso diventa di colore verde, fornendo un riconoscimento visivo immediato della presenza di un certificato EV.
Come detto ormai i numerosi hackers e malintenzionati vari spesso riescono a simulare siti affidabili e con il sistema detto Phishing tentano di commettere reati di vario genere, questo anche utilizzando certificati di tipo DV facilmente ottenibili, pertanto è diventato necessario elevare il livello di attenzione da parte dell’utente guardando oltre il lucchetto ( che google ha quindi pensato di rimuovere ) , ovvero cliccando sull’icona per verificare le effettive credenziali di sicurezza dell’indirizzo web.
Consiglio personale, soprattutto quando la navigazione è preposta allo shopping è quello di valutare anche la reale esistenza dell’azienda, fare un piccola ricerca tramite motore di ricerca per trovare recensioni indice di affidabilità o al contrario se negative. E’ sicuramente spendere qualche euro in più ed affidarsi a siti di comprovata affidabilità piuttosto che farsi attrarre da prezzi super ed acquistare da siti sconosciuti che magari hanno sede all’estero non utilizzano sistemi di pagamento protetti di cui parleremo un’altra volta.
#SicurezzaOnline #CertificatoSSL #GoogleChrome #ProtocolloHTTPS #NavigazioneSicura #NuoveTendenzeWeb