Certificati SSL e browser: il piano di Google per bloccare i contenuti misti

Nel corso degli ultimi mesi abbiamo assistito ad importanti cambiamenti relativi alla politica sui certificati SSL da parte dei maggiori produttori mondiali di browser. Queste decisioni hanno un impatto significativo sugli utenti finali dei browser, portando il Web in una direzione sempre più sicura. Infatti, dopo la decisione di Apple di limitare la validità dei certificati SSL per Safari in questi giorni è arrivato l’annuncio di Google di un piano per bloccare i download HTTP in Google Chrome, il browser attualmente più utilizzato al mondo.

Come sappiamo, Google Chrome e moltissimi altri browser mostrano un avviso “non sicuro” nella barra degli indirizzi quando visitiamo siti web privi di certificati SSL e che quindi non utilizzano un protocollo HTTPS. In tal modo, gli utenti sono prontamente informati che la connessione non è sicura e che quindi è sconsigliato comunicare informazioni riservate con quei siti web. Tuttavia questo avviso in molti casi non è sufficiente. 

Cosa succede quando ci si trova in presenza di quello che tecnicamente viene definito “contenuto misto”, ovvero un sito web in cui è installato un certificato SSL che  permette il download di file tramite HTTP? La risposta è semplice: si incorre nel rischio che qualche hacker utilizzi questa “faglia” per un attacco malware sul tuo sistema. È una possibilità tutt’altro che remota, per questa serie di ragioni Google ha deciso di porre rimedio bloccando i download HTTP dai siti Web che implementano regolari certificati SSL.

Secondo quanto annunciato da Google, Chrome 83 inizierà a bloccare i file che potenzialmente rappresentano il maggior rischio per gli utenti, ossia i file eseguibili con estensione .apk ed .exe. Nelle versioni successive, invece, Google gradualmente non permetterà il download di altri tipi di file fino al blocco totale con la release di Chrome 86, che sarà rilasciato a fine 2020. In altre parole da ottobre 2020 in poi non sarai in grado di effettuare alcun download HTTP da un sito che implementa dei certificati SSL. Questo aggiornamento è rivolto ai siti HTTPS che utilizzano URL di download HTTP, poiché il browser sta dimostrando che il sito è sicuro ma il download in realtà non lo è.

Prima di effettuare un blocco totale dei contenuti misti Google vuole dare la possibilità ai proprietari dei siti che hanno implementato i certificati SSL di rimuovere i contenuti misti scaricabili. Ecco perché Chrome 81, rilasciato in ritardo qualche settimana a causa dell’emergenza Covid-19, fornirà un messaggio di avviso della console su tutti i download relativi ai contenuti misti.  

Questo piano progressivo di blocco dei download prevede varie fasi:

• Chrome 81 (rilasciato ad aprile 2020) – Chrome proverà a visualizzare via HTTPS le risorse nelle pagine web che risultassero ancora richiamate via HTTP. Qualora una risorsa richiamata da una pagina HTTPS usando il protocollo HTTP non fosse disponibile anche via HTTPS, questa non sarà visualizzata ma la pagina non verrà etichettata come non sicura. Viceversa, se la risorsa fosse disponibile via HTTPS, l’aggiornamento automatico dell’URL operato da Chrome consentirà di evitare la comparsa della segnalazione nella barra degli indirizzi.

• Chrome 83 (uscita prevista a giugno 2020) – Chrome inizierà a bloccare gli eseguibili a contenuto misto. Inoltre, avviserà gli utenti degli archivi di contenuti misti (.zip, .iso, ecc.). 
• Chrome 84 (uscita prevista ad agosto 2020) – Chrome bloccherà eseguibili, archivi e immagini del disco con contenuti misti. Chrome bloccherà tutti gli altri download di contenuti misti ad eccezione dei formati di immagine, audio, video e testo.
• Chrome 85 (uscita prevista a settembre 2020): Chrome avviserà in caso di download di contenuti misti di immagini, audio, video e testo. Inoltre il browser bloccherà tutti gli altri download di contenuti misti.
• Chrome 86 (uscita a ottobre 2020): Chrome bloccherà tutto il contenuto offerto su HTTP non sicuro quando si fa clic sul collegamento di download tramite un sito Web HTTPS. In altre parole, Chrome bloccherà tutti i download di contenuti misti.

Sebbene Google abbia compiuto notevoli sforzi per far si che i siti implementino i certificati SSL e che gli utenti siano consapevoli e sempre più sicuri, il problema dei  contenuti misti era ed è una dimensione ancora poco conosciuta ed affrontata.  Google con le recenti release di Chrome sta abbandonando i download di contenuti misti e questo segnerà sicuramente una pietra miliare nel miglioramento della sicurezza informatica e della privacy online. Come spesso accade anche gli altri produttori di browser seguiranno l’esempio di Google così da aumentare la privacy e la sicurezza di chi naviga in Internet. 

Top SSL  offre tutti gli strumenti, i servizi e i prodotti SSL innovativi per le imprese e i privati che vogliono garantire la sicurezza dei propri utenti, rispondere alle minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati SSL. Non perdere tempo contattaci!