Adottare HTTPS

Alla luce del numero crescente di problemi di sicurezza informatica e di riservatezza dei dati, sta diventando sempre più importante sostituire HTTP con la versione sicura: HTTPS.

Anche se HTTPS esiste da 20 anni, molti siti web servono il traffico sul tradizionale canale HTTP, non sicuro. Agli albori del web, le prestazioni dei server e delle reti sono stati spesso fattori limitanti per l’utilizzo di HTTPS per i siti web. Infatti, il server doveva avere sufficiente potenza computazionale per crittografare e decrittografare i dati e la rete doveva essere in grado di gestire l’attività supplementare (overhead).

Molti di questi problemi di prestazioni sono stati ormai superati, il costo di adozione di HTTPS è oggi molto basso tanto che dovremmo cercare di usare ovunque HTTPS.

Benefici dell’uso di HTTPS

1. Autenticità delle notizie diffuse

Quando si consulta un sito di notizie utilizzando il protoccolo HTTP, il contenuto degli articoli può essere stato alterato da terze parti utilizzando l’attacco man-in-the-middle (MITM). Newstweek mostra come ciò può essere fatto facilmente.

2. Privacy

Quando i siti utilizzano il protocollo HTTP, le ricerche effettuate dagli utenti e la cronologia di navigazione sono trasmesse in chiaro. Recentemente l’associazione Freedom of the Press Foundation ha esortato i portali di informazione di passare ad HTTPS.
Quando i siti utilizzano HTTPS, i proxy e l’infratruttura di rete non possono facilmente ispezionare il traffico e bloccarlo in base al contenuto. Alcune entità possono forzare o aggirare il protocollo Transport Layer Security (TLS) oppure rubare i certificati TLS. Tuttavia, l’implementazione di HTTPS accresce significativamente la sicurezza in termini di privacy.

3. Sicurezza

Quando i siti utilizzano il protocollo HTTP, i cookie che consentono di tenere traccia della sessione utente possono essere intercettati (poichè scambiati in chiaro con il server) ed usati da altri per replicare la sessione utente attiva. Ció è stato dimostrato utilizzando il plugin per Firefox Firesheep.
L’uso di HTTPS impedisce la maggior parte degli attacchi MITM, riducendo il livello di vulnerabilità.

4. Migliore posizionamento sui motori di ricerca

I motori di ricerca considerano HTTPS come un fattore nel posizionamento nei risultati di ricerca. L’annuncio di Google è un esempio di ció.

5. Informazioni più complete sugli Analytics

Quando un utente proveniente da una pagina navigata in HTTPS approda su una pagina HTTP il riferimento alla pagina di provenienza (referral) viene perso. Ció significa che i referral dai siti sicuri, compreso Google in HTTPS, vengono persi per i siti che utilizzano HTTP.

6. Migliore esperienza utente

Quando si usa HTTPS, login, registrazione e altre funzionalità e-commerce possono avvenire ovunque nel sito, senza dover portare l’utente su un sito HTTPS diverso.

7. Integrazioni con terze parti

Un numero sempre crescente di software e servizi di terze parti richiede HTTPS per usare i propri servizi (ad esempio Facebook per le app).

8. Usando tecnologie in fase di sviluppo

I protocoli SPDY e HTTP2, ServiceWorker ed altre nuove tecnologie sono state progettate per lavorare meglio con i siti HTTPS. Anche se ancora essi non sono diventati di uso corrente, adottando HTTPS sarà più facile poterli implementare.

9. Miglioramenti correlati

Sostituendo con successo HTTP con HTTPS per un intero sito web, permette di scoprire una quantità significativa di technical debt (magagne nel codice), come ad esempio URL hard-coded.

Le sfide

Per passare con successo a HTTPS, tutte le richieste alle risorse di pagina devono essere effettuate su un canale sicuro. E’ una sfida scoraggiante, e ci sono un sacco di parti da cambiare. Dobbiamo considerare le risorse che attualmente vengono caricate da domini non sicuri e ogni cosa dai JavaScript alle risorse degli advertisement.

Se le risorse per un advertisement non possono essere servite su canale HTTPS, la pubblicità probabilmente non sarà mostrata sulla pagina, con conseguenze dirette sulle entrate. Può risultare difficoltoso determinare se ogni adv sarà caricato su HTTPS. Considerando l’importanza degli advertisement, questo è molto probabile che sia un ostacolo significativo per l’implementazione di HTTPS. Mente alcune piattaforme pubblicitarie, compreso Google Double Click for Publishers (DFP), supportano il caricamento degli adv in HTTPS, ci sono ancora un certo numero di reti pubblicitarie che potrebbero non essere compatibili con HTTPS.

A parte la pubblicitià, le organizzazioni possono affrontare altri ostacoli nell’implementazione di HTTPS. Il supporto per soluzioni moderne, come HSTS, vale la pena di essere considerato.

Invito all’azione

Se gestisci un sito di notizie, oppure un qualsiasi altro sito, ci piacerebbe lanciare una sfida amichevole. Impegnarsi a rendere il proprio sito completamente HTTPS entro la fine del 2015 e promettere il proprio sostegno con l’hashtag #https2015.

Questo articolo è una traduzione in lingua italiana di Embracing HTTPS, articolo a cura di Eitan Konigsburg, Rajiv Pant e Elena Kvochko (Open Blogs, The New York Times)