A partire dal 2017 Chrome indicherà come non sicuri i siti nei quali è possibile indicare dati di login, ome per esempio quelli relativi ai pagamenti, utilizzando il protocollo non cifrato HTTP. Lo sviluppatore ha indicato la novità sulla Google Search Console (strumento per webmaster che consente di ricevere dati, informazioni diagnostiche e sfruttare tool per creare e gestire siti web e app per dispositivi mobili conformi alle indicazioni di Google), spiegando che i cambiamenti saranno attuati a partire da gennaio 2017. I cambiamenti sono integrati nella release 56 e seguenti di Chrome.
Il protocollo HTTPS è molto più sicuro rispetto al vecchio HTTP poiché le comunicazioni tra computer del utente e server web sono protette contro attacchi noti mediante la tecnica “man in the middle”, un attacco che consiste nel ritrasmettere o alterare la comunicazione tra due parti che credono di comunicare direttamente tra di loro. L’HTTPS offre inoltre la cifratura bidirezionale delle comunicazioni tra client e un server offrendo ulteriori tecniche per la sicurezza delle comunucazioni. Google invita gli sviluppatori di siti web che richiedono password, pagamenti e altre informazioni sensibili a integrare il supporto HTTPS. Connettersi a una pagina web via HTTPS (anziché HTTP) significa che qualsiasi dato trasmesso – informazioni di login, un commento in un blog o dettagli su una transazione bancaria – passerà attraverso il Transport Layer Security (TLS) o il suo predecessore, Secure Sockets Layer (SSL).
In Chrome è possibile verificare la validità di un certificato associato a un sito facendo click sul lucchetto verde che appare a sinistra dell’indirizzo che inizia con “https://www.” e scegliendo “Dettagli”. Se il sito ha un certificato valido, il server che ospita il sito presenterà il certificato al browser (si tratta di una lista di distributori di certificati affidabili) e non accadrà nulla di particolare. “Certifiato valido” significa che è stato possibile verificare l’identità del server del sito a cui l’utente sta cercando di accedere. Un certificato digitale è un documento firmato elettronicamente e vincola una pagina web o un servizio a un distributore che ha confermato la sua identità; contiene la firma algoritmica unica, le informazioni di identificazione, quelle relative al distributore del certificato e un periodo di validità che indica quando il certificato è stato rilasciato e per quanto tempo è valido. La firma è la parte finale di un certificato digitale e conferma che l’utente sta comunicando con chi realmente desidera e che le comunicazione avvengono in modalità cifrata. A rilasciare i certificati in questione sono le Certificate Authority (CA), enti pubblici o privati abilitati a rilasciare certificati digitali usando procedure che seguono standard internazionali, conforme alle normative in materia.
