28 ottobre 2016 13:49
Https costoso e difficile da implementare? Sfatiamo questo e altri miti.
A pochi mesi dal Go-Live del nostro nuovo ERP Ms Dynamics NAV, ho voluto sperimentare i client alternativi al RTC desktop ovvero quello web e le due versioni mobile Android e iOS.
Mentre quello web, è possibile usarlo in http normale, anche se ovviamente assolutamente sconsigliato nel caso lo esponessimo su internet, per i 2 client mobile è obbligatorio esporre l’istanza del servizio in IIS tramite un collegamento sicuro https, solitamente ospitato sulla porta 443, pena il messaggio di errore che vedete qui di fianco raffigurato
Quando ho capito che mi sarei dovuto occupare dell’installazione del certificato e della configurazione del webserver, mi stavo seriamente preoccupando, memore di quando qualche lustro fa ero costretto a occuparmene per qualche cliente a cui implementavo un e-commerce. Ricordo infatti procedure molto complicate e alti costi per le poche Certification Authorities (CA) che rilasciavano, a fronte di verifiche puntuali e incrociate, i certificati.
Dopo un paio di giri su internet invece, ho scoperto che oggi è tutto molto più semplice ed economico ed addirittura esistono società che rilasciano certificati free (solitamente per 3 mesi, ma comunque auto-rinnovabili) solo compilando un form online. La procedura di verifica identità denominata DCV (Domain Control Validation) si basa sulla concordanza del dominio per cui si richiede con la mail a cui viene spedito (es. se chiedo un certificato per un dominio www.mycompany.com, questo viene spedito -a scelta- a webmaster|admin|postmaster @mycompany.com), oppure tramite inserimento di un CNAME nel DNS, oppure via META tags da mettere in una pagina del sito.
Ma perché, mi sono chiesto, le procedure si sono così facilitate e sono nati così tanti attori che rilasciano i certificati? La risposta sta nella grande diffusione che il protocollo sicuro sta avendo ed in futuro avrà sempre maggiormente.
Senza entrare troppo nei dettagli tecnici, per i quali ci vorrebbero svariati post, i vantaggi che la tecnologia SSL (Secure Socket Layer) fornisce tramite il protocollo TLS (Transport Layer Security) sono la crittografia che consente di proteggere le informazioni scambiate tra client e server, l’integrità dei dati che non possono essere modificati durante il trasferimento e l’autenticazione che, tramite appunto il certificato, ci garantisce che stiamo “parlando” col vero sito e non con un “fake” alterato magari da un attacco man in the middle.
Ad oggi, se siamo attenti e notiamo il lucchetto verde che i browser evidenziano in presenza di un sito https, sono molti i siti che già lo implementano; senza citare i website di e-commerce e i vari colossi Google, Facebook, Youtube, ecc., nel caso del settore intrattenimento ad esempio, Casino.com ha cambiato già da tempo il sistema per la trasmissione delle informazioni in maniera cifrata.
Google ha inoltre già da tempo annunciato che privilegerà nei suoi algoritmi di ranking i siti “sicuri” e il suo browser Chrome a partire dal 1 gennaio 2017 marcherà come non sicuri tutti i siti non https che richiedono una password o una carta di credito.
Ha senso fare il passaggio per un sito amatoriale come il mio che non chiede dati sensibili? Dopo essermi un po’ documentato la risposta è affermativa in quanto molti dubbi e perplessità (costo, difficoltà tecniche, performance, problematiche legate al SEO, ecc.) sono facilmente confutabili. Un esempio su tutti quello delle performance, io stesso sono rimasto incredulo a vedere che se ben implementato un sito https è molto più veloce di uno http.
La speranza quindi è che molti webmaster come il sottoscritto siano spinti a implementare questo protocollo per rendere un po’ più sicuro il mondo digitale.
Se vi interessa approfondire l’argomento questo video esplora molti dei succitati miti e la giovane Product Manager di Google li sfata uno a uno.