Come forse molti sapranno, HTTPS è utile a fornire protezione ai vostri clienti se ci sono di mezzo dati riservati: oltre a proteggere la connessione, darà una certa “garanzia” al visitatore di essere capitato nel sito giusto. L’utilità di questa tecnologia è ovviamente fuori da qualunque discussione: quello che non condivido, semmai, è il suo uso sconsiderato, “promosso” in primis giusto da Google. Poichè ho visto blog molto famosi passare a HTTPS senza reale necessità, mi sono convinto che sia meglio chiarirsi le idee, prima di prendere (cattivo) esempio.
Che cos’è HTTPS?
HTTPS è il protocollo di sicurezza tipico dei siti di e-commerce (specie al momento del pagamento) che permette di autenticare i portali mediante certificato e, come scritto poco fa, di evitare intercettazioni da parte di terzi. Anche il gestore di siti meno addentrato in questioni tecniche, del resto, ne è a conoscenza, soprattutto da quando Google ha strombazzato che si tratta di un fattore di ranking.
Wikipedia, da qualche giorno, ha adottato questo protocollo su ogni pagina, mentre il governo USA ha pianificato di passare ad TLS (entro la fine del prossimo anno) su tutti i propri siti istituzionali. Il motivo per cui Google lo considera un fattore di ranking, del resto, sembra legato alla maggiore affidabilità e/o “serietà” dei siti che lo adottano: del resto, HTTPS ha un costo (spesso non da poco, ad es. se si tratta di un certificato Wildcard Domain Validated), e possiede il vantaggio di rendere più protette le operazioni dell’utente.
In rete trovate varie forme di HTTPS a pagamento, e ci sono almeno quattro tipi di certificato: Organization Validated, Domain Validated, Extended Validated e Wildcard Domain Validated. Da qualche tempo, alcune di esse sono anche gratuite, e vanno solitamente rinnovate di frequente (anche una volta al mese). Senza scomodare chissà chi, comunque, il vostro hosting attuale quasi certamente offrirà questo tipo di protocollo sicuro.
…ma ti serve davvero HTTPS?
Dal mio punto di vista, l’adozione di HTTPS deve essere giustificata dalla necessità, non da “calcoli” di altro genere. Trovo fuoriluogo che proprio Google ne decanti la necessità, perchè sarebbe come dire (per assurdo) che i siti in PHP si posizionano meglio di quelli in ASP, strumentalizzando la maggiore diffusione dei primi rispetto ai secondi.
Se HTTPS ha senso per specifici web service, su un portale che tratta dati medici riservati o su uno di e-commerce che utilizzi un gateway di pagamento privato (tipo Amazon), sembra molto meno logico implementarla su un sito con un gateway esterno che già ce l’ha (ad es. pagamenti con PayPal) o peggio ancora, come ho visto fare, su un semplice blog.. Se vogliamo prevedere HTTPS, infatti, dobbiamo avere presente che ha senso sulle pagine “sensibili” / di login, non su tutte: in certi casi, infatti, https potrebbe solo provocare confusione nell’utente (e nei motori, in caso di redirect errati o pagine duplicate).
Se Wikipedia può aver fatto bene ad implementarlo, dato che le pagine sono modificabili dagli utenti e si possono così evitare intrusioni o intercettazioni di terzi, implementarlo sulle pagine di un sito qualunque finirà per diventare un “contentino” per migliorare il suo ranking.
Molti siti in effetti stanno abusando di HTTPS, lo usano senza reale necessità e mi viene quasi da pensare (tanti precedenti analoghi me lo suggeriscono) che un giorno Google possa fare retromarcia sulla questione, ad esempio dicendo:
“parecchi webmaster l’hanno implementato giusto per beccarsi vantaggi sul ranking, alterando i risultati con spam. Per questo motivo, HTTPS non sarà più considerato un fattore SEO”
I risultati sarebbero, se davvero avvenisse una cosa del genere, potenzialmente devastanti: se ora molti ostentano felicemente HTTPS sulle proprie pagine (e non sanno neanche a cosa gli serva), in futuro tali Google-sheeps potrebbero sottovalutarne l’uso, o eliminarlo del tutto, solo perchè la loro “azienda di riferimento” ha detto questo. Il contesto di applicazione, in queste cose, è sempre determinante, ed è pericoloso astrarsi da esso: implementare un sito con protocollo sicuro è un’operazione tutt’altro che banale, ed il rischio di avere pagine inaccessibili ed errori sul sito è considerevole.
HTTPS non è infallibilmente sicuro
Non voglio estirpare la necessità di usare questo protocollo in assoluto (me ne guardo bene), anche perchè in rete trovate fin troppi articoli e tutorial che ne decantano acriticamente le lodi. Il problema, secondo me, resta legato anche alla cattiva percezione di HTTPS da parte di molti addetti ai lavori, che lo considerano garanzia di “qualità” quando, in realtà, il suo uso fraudolento è non solo possibile, ma già accaduto. Un gruppo di hacker cinesi, per esempio, ha basato un attacco informatico sulla falsificazione di un certificato, facendo leva sulla sua astratta “fama” di sicurezza e sul fatto che, quando la barra del browser si colora diversamente, tendiamo ad allentare qualsiasi forma di difesa. Mediante un sofisticato attacco, hanno fatto in modo che chiunque si connettesse a icloud.com dalla Cina fosse dirottato su un sito fake, in modo del tutto trasparente, aggirando così le impostazioni di sicurezza imposte dalla Apple. Parecchi siti di phishing, inoltre, sfruttano una tecnica analoga, e sarebbe davvero ridicolo se finissero in prima pagina di Google “perchè usano HTTPS“.
Inoltre, molti siti celebri hanno sfruttato per anni connessioni HTTPS, senza sapere che erano affette da almeno due falle informatiche piuttosto pesanti (FREAK e Heartbleed). Gli utenti, dal canto loro, non sempre fanno differenza tra certificati autenticati e non: quanti di noi rifiutano davvero una “connessione non affidabile” durante la navigazione? Intendiamoci: quelle falle sono state riparate, gli utenti sono sempre meno ingenui (…forse), ed il protocollo è in fase di studio anche per adattarlo a HTTP/2: mi piacerebbe pero’ che si capisse meglio la reale utilità e portata del protocollo.
Come avrete intuito, non ho condiviso affatto la mossa di Google di dichiarare HTTPS fattore di ranking, e la trovo ancora adesso una dichiarazione sgangherata, e soprattutto fuorviante per gli utenti meno esperti. Il rischio è che HTTPS passi per una trovata commerciale tipo i celebratissimi “spazi web illimitati” (e non è così), e sia inteso con insopportabile disinvoltura da alcune realtà del web – specie le medio-piccole. Mentre alcuni web-hosting stanno vendendo certificati che “migliorano la SEO del tuo sito” (oscurando così il vero scopo della tecnologia TLS), dovremmo avere chiara la reale portata, oltre che l’effettiva necessità, di HTTPS: utile in casi specifici, sicura per le transazioni, non sempre necessaria, non sempre infallibile.