Electronic Frontier Foundation ha rilasciato HTTPS Everywhere, un’extension per Firefox che promuove l’utilizzo del protocollo sicuro. Ma non è il caso di fare troppo affidamento sulla semplice comparsa di HTTPS.
EFF (Electronic Frontier Foundation), la storica organizzazione con sede negli Stati Uniti che si prefigge di difendere i diritti di libertà di parola in Rete, ha annunciato il rilascio di una versione di anteprima di HTTPS Everywhere. Si tratta di un’estensione per il browser Mozilla Firefox che è stata sviluppata in collaborazione con gli esperti del progetto TOR.
Secondo quanto dichiarato, il lancio della versione del motore di ricerca di Google basata sull’utilizzo del protocollo https avrebbe funto da ispirazione per lo sviluppo dell’estensione targata EFF.
L’obiettivo dell’estensione lanciata da EFF e TOR consiste nell’assicurarsi che quanti più utenti possibile si affidino al protocollo HTTPS: solo in questo modo ci si può assicurare che le comunicazioni in corso tra client e server avvengano in forma cifrata e non possana così essere intercettate.
Stando a quanto riportato da Peter Eckersley di EFF, l’estensione funzionerebbe correttamente con il motore di ricerca di Google, Wikipedia, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, Scroogle ed altri servizi e motori di ricerca meno noti.
Come regola generale è bene ricordare, comunque, di non fare massimo affidamento sulla comparsa dell’indicazione HTTPS nella barra del browser, soprattutto allorquando si sia cliccato su link non affidabili.
EV-SSL e DV-SSL
Il massimo livello di sicurezza si ha infatti quando Firefox visualizza un’indicatore di colore verde nella barra degli indirizzi. In queste situazioni, l’utente viene informato circa l’utilizzo – da parte del sito web in corso di visita – di un certificato EV-SSL (Extended Validation SSL).
Per non far insospettire l’utente, infatti, i malintenzionati che pongono in essere attacchi phishing fanno sempre più uso del protocollo https:// e quindi di certificati DV-SSL che non richiedono alcuna verifica sull’identità del proprietario.
Il suggerimento appannaggio degli utenti meno esperti, che spesso viene ricordato, consiste nel controllare la presenza del famoso “lucchetto” nella barra degli indirizzi del browser. Tale indicazione visiva attesta l’uso del protocollo https://. Questo consiglio, come abbiamo appena evidenziato, non è però più sufficiente.
I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito: i “phisher” hanno così vita nettamente più facile avendo l’opportunità di utilizzare un certificato valido a tutti gli effetti. L’identità non è in alcun modo verificata dal momento che il controllo si limita alla proprietà del sito web.
Ecco quindi la necessità di guardare ai certificati EV-SSL che forniscono un livello di sicurezza nettamente superiore. In questo caso il fornitore del certificato verifica l’identità del richiedente garantendola con la massima certezza.