Google e HTTPS: il web cambia faccia
Lorenzo NutiniCloud Services – Product Manager
Parliamo di…
● PROTOCOLLO HTTPS E CERTIFICATI SSL
● LA SICUREZZA NELLO SCAMBIO DATI TRA UTENTE E SITO
● GOOGLE CHROME: COSA STA CAMBIANDO DA OTTOBRE
● SSL: PERCHÈ I NUMERI CI DICONO CHE SONO ESSENZIALI
● I VARI TIPI DI CERTIFICATI: DV, OV E EV
● UNO SGUARDO AL FUTURO DEI BROWSER
Google e HTTPSIl Web cambia faccia
Alcune definizioni
HTTPS (Hypertext Transfer Protocol Secure)
E’ un protocollo per la comunicazione su Internet che
permette la trasmissione di dati in modo sicuro.
In HTTPS i dati sono crittografati tramite una ‘chiave pubblica’
contenuta all’interno del certificato SSL fornito dal server.
Solamente chi è in possesso della ‘chiave privata’ potrà
decifrare i dati trasmessi.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Certificati SSL e Protocollo HTTPS
CRITTOGRAFIA
I dati scambiati vengono
criptati per proteggerli
dalle intercettazioni.
INTEGRITÀ DEI DATI
I dati non possono essere
modificati durante il
trasferimento.
INTERLOCUTORE SICURO
Garantito dalla presenza di un
certificato SSL rilasciato da una
Certification Authority (CA)
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Certificati SSL e Protocollo HTTPS
Un certificato SSL è un documento
elettronico che garantisce l’associazione univoca
tra un dominio, la relativa chiave pubblica e il
soggetto a cui è intestato.
L’autenticità dei dati è garantita da un ente
ufficiale e riconosciuto a livello internazionale, la
Certification Authority.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Riassumendo…Grazie ad un certificato SSL correttamente installato ed al
protocollo HTTPS, le informazioni scambiate tra il sito web ed
il browser dell’utente sono criptate, impedendo a
malintenzionati di intercettarle e decifrarne il contenuto
E ora parliamo di Google…
Cosa cambia da ottobre 2017Google ha fatto un netto passo in direzione della sicurezza
informatica annunciando che dalla fine di Ottobre un sito
web privo di Certificato SSL verrà indicato dal browser
Chrome come "Non sicuro" se contiene:
● moduli di pagamento
● moduli di contatto
● moduli di autenticazione o di registrazione utenti.
GOOGLE CHROME: COSA STA CAMBIANDO
Cosa è cambiato da gennaio 2017GOOGLE CHROME: COSA STA CAMBIANDO
Già oggi, tutti i siti che contengono form per la richiesta di password o carte di credito vengono mostrati come ‘Not secure’ se non hanno un certificato SSL
Cosa cambierà da ottobre 2017GOOGLE CHROME: COSA STA CAMBIANDO
Saranno segnalati come ‘Not secure’ se non in HTTPS, tutti i siti che contengono form di inserimento dati di qualunque tipo.
61
Non tutti ancora sono aggiornati GOOGLE CHROME: COSA STA CAMBIANDO
Dati raccolti al 16/10/2017
Quindi…GOOGLE CHROME: COSA STA CAMBIANDO
La soluzione è avere un Certificato SSL su protocollo HTTPS perché:
● garantisce una buona reputazione del sito
● aumenta la credibilità del brand
● salvaguarda o addirittura migliora il posizionamento sui risultati
delle ricerche di Google che certamente privilegerà i siti
conformi alle nuove disposizioni.
Ma cosa ne pensano gli
utenti?
Certificati SSL : alcuni numeriGOOGLE E HTTPS: IL WEB CAMBIA FACCIA
PADLOCK (LUCCHETTO)
79%degli utenti sono più propensi a
completare un acquisto se vedono nella URL un lucchetto.
SECURITY WARNING
80% degli utenti che vedono un
Security Warning non proseguono la navigazione.
Fonte dati (settembre 2017):
Certificati SSL : alcuni numeriGOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Solo il
47%dei nuovi sitioffre HTTPS
Solo il
32%dei siti
offre HTTPSdi default
2017
19MLN di SSL
2016
5MLN di SSL
Fonte dati (settembre 2017):
GOOGLE CHROME: COSA STA CAMBIANDO
• Ill sito che sto visitando è sicuro
• Ill sito che sto visitando è reale e non contiene vulnerabilità
• So chi afferma di essere il sito
• Ill sito che sto visitando non contiene malware
• Posso essere sicuro che l’organizzazione da cui sto acquistando tramite il sito è autentica
Vedere questo nel proprio browser cosa significa?
NO
GOOGLE CHROME: COSA STA CAMBIANDO
Significa che i dati fra il computer con cui sto visitando il sito ed il server che ospita il sito sono criptati e che sono connesso a quel dominio.
Vedere questo nel proprio browser cosa significa?
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Riassumendo…
● Sappiamo cos’è un certificato SSL e come lavora il protocollo HTTPS
● Sappiamo cosa sta cambiando nel mondo di Google.
● Sappiamo che importanza ricoprono gli SSL a prescindere dai browser.
Come rispondiamo a questi cambiamenti?
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Il primo attore: la Certification Authority
«In crittografia, una Certification Authority (CA) è un soggetto terzo di fiducia (thrusted third party), pubblico o privato, abilitato ad emettere un certificato digitale tramite una procedura di certificazione che segue standard internazionali e in conformità alla normativa europea e nazionale in materia»
Fonte:Wikipedia
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Il primo attore: la Certification Authority
Per l’adozione di un canale sicuro HTTPS, un certificato SSL può essere generato localmente (Self-Signed).
Ma i browser supportano e riconoscono solamente i certificati emessi da CertificationAuthority.
Per cui la scelta della CA è un aspetto molto importante di cui tener conto.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Viene validato solamenteche il richiedente del certificato è in grado di gestire il dominio per cui lo sta richiedendo.
I visitatori di un sito web con certificati DV non possono essere certi, tramite il certificato, dell’organizzazione o attività che c’è dietro il richiedente.
SSL DV (Domain Validation)
Viene validata l’organizzazione richiedendo informazioni aggiuntive o direttamente attraverso i vari registri delle imprese.
E’ il livello di certificazione minimo adottato da chi ospita servizi di e-commerce, e consente ai visitatori del sito di conoscere l’organizzazione/attività del richiedente.
SSL OV (Organization Validation)
I diversi tipi di certificato: DV, OV, EV
Rispetto ad un certificato OV standard la documentazione richiesta è maggiore e la CA contatta il richiedente anche telefonicamente.
SSL EV(Organization Validation)
E’ l’unica tipologia a mostrare la barra di navigazione verde
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
Ho un sito web in cui non ho e-
commerce, né form di login per
accedere a un’area riservata. Non
chiedo nemmeno un’ iscrizione ad
una newsletter, quindi non
raccolgo alcun tipo di informazione
personale.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
Sarà tuttavia importante esporre il
proprio sito in HTTPS per evitare di
visualizzare il messaggio di “non sicuro”
e di essere penalizzato a livello di
ranking da Google
E’ sufficiente abilitare un certificato
SSL di tipo Domain Validation gratuito
(es: Let’s Encrypt o Encryption
Everywhere), per non mostrare alcun
avviso di sito Non sicuro.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
Ho un sito web che permette agli
utenti di registrarsi, di effettuare
un Login attraverso le proprie
credenziali e di iscriversi alla
newsletter.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi praticiIn questo caso, tra browser e server
vengono scambiati dati personali e per la
connessione sarà necessario utilizzare il
protocollo HTTPS, altrimenti comparirà il
messaggio «Non sicuro».
Il certificato può essere anche gratuito di tipo Domain Validation (Let’sEncrypt), ma è consigliabile utilizzare un certificato emesso da una Certification Authority.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: RapidSSL
Un certificato come RapidSSL offre:
● assistenza online
● possibilità di acquisto per un periodo maggiore ad un anno
● possibilità di attivare l’opzione Wildcard per permettere la protezione di tutti i sottodomini.
Let’s Encrypt ha validità 90 gg
e non supporta, ad oggi, il wildcard.
HIGHLY RECOMMENDED
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
L’aumento di casi di phishingcon HTTPS è cresciuto quasi del 20% nei primi 3 mesi del 2017.
Il 58% dei certificati di siti di phishing sono stati emessi tramite “Let’s Encrypt”
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
«Ho un sito web che, oltre a
richiedere la registrazione al portale,
permette all’utente di acquistare dal
proprio store, accettando varie
tipologie di pagamento tra cui
PayPal e Carta di Credito. Inoltre, mi
piacerebbe poter proteggere anche
alcuni sottodomini (esempio:
shop.miodominio.it).»
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: Esempi pratici
Certificato SSL consigliato:
Per gli scenari tipici di e-commerce è
sconsigliato optare per un certificato che
abbia esclusivamente una validazione di
dominio perché questa tipologia di certificati
non garantisce che il proprietario del sito sia
chi dice di essere.
È invece consigliabile adottare certificati SSL a validazione di azienda (OV).
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Scegliere un certificato SSL: OV
Per i certificati SSL a validazione aziendale, il
rilascio del certificato avviene solo dopo una
procedura di verifica sull’organizzazione
richiedente.
Su questa tipologia di certificati sarà inoltre
possibile applicare l’opzione Wildcard o SAN
(subject alternative name) che permette la
protezione di domini con CN (common name)
differenti.HIGHLY RECOMMENDED
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
E-commerce con Certificato Let’s Encrypt
Fonte Netcraft / Symantec
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
E-commerce con Certificato Let’s Encrypt
Issued to: xxxxxxxxxxx.com
Issued by: Let’s Encrypt Authority
CN=xxxxxxx.com
Fonte Netcraft / Symantec
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
E-commerce con certificato SSL OV
EV extension
sudomains
Fonte Netcraft / Symantec
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
E-commerce con certificato SSL OV
OU= Hosted by Dada S.p.
OU=sistemi
O= Register.it S.p.A.
STREET = Viale Giovine Ita
L= Firenze
S= Italy
PostalCode= 50122
C= IT
subdomains
DNS NAME= controlpanel.register.it
DNS NAME= payment.register.it
DNS NAME= spid.register.it
DNS NAME= www.register.it
Fonte Netcraft / Symantec
Uno sguardo ai browser
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Il CA Security COUNCIL
Il CA Security COUNCIL con il sostegno delle 5
principali CA sta promuovendo da tempo una
petizione per arrivare a rendere universale e
trasversale fra tutti i browser l’interfaccia per
mostrare le informazioni chiedendo inoltre di
differenziare l’interfaccia in base alla tipologia
di certificato SSL presente.
HTTPS://casecurity.org/identity/
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
L’importanza del messaggio univoco Ad oggi i browser non hanno una standardizzazione delle interfacce con cui mostrare se lanavigazione è sicura o meno o la tipologia di certificato SSL presente.
Fonte Netcraft / Symantec
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
360 Secure Browser360 Secure Browser (44% del mercato in Cina) ha già iniziato ad adottare iconografie diverse per le varie tipologie di certificati SSL in modo da rendere sempre più facilmente percepibile all’utente il certificato che c’è dietro al sito che si sta navigando.
GOOGLE E HTTPS: IL WEB CAMBIA FACCIA
Riassumendo…● Google ha dichiarato apertamente di voler spostare in HTTPS tutto il traffico web e da
gennaio del 2017 ha iniziato a penalizzare sempre più la navigazione in chiaro. Anche altri browser stanno andando nella stessa direzione.
● Per abilitare ed adottare il protocollo HTTPS (e far sparire l’avviso di “non sicuro”) può bastare anche un certificato DV gratuito come “Let’s Encrypt” o “Encryption Everywhere”.
● I certificati Domain Validation sono tuttavia sconsigliati per chi ha bisogno di consolidare un business in rete e molto presto i browser potrebbero iniziare a mostrare in modo diverso i certificati di questo tipo.
●E’ importante scegliere fin da ora il certificato SSL più appropriato alle
proprie necessità per garantirsi sicurezza e credibilità in rete!
Google e HTTPS: il web cambia faccia
Q&A
Grazie!
HTTPS://www.register.it/certificati-ssl/
035 32 30 330