Se HTTPS è sicuro, perché il Web non lo usa?

Se HTTPS è sicuro, perché il Web non lo usa?La frequenza con la quale le notizie riguardanti gli attacchi sul web ci arrivano è ormai diventata di un giorno sì e uno no: per trovare l'ultima non occorre nemmeno fare troppo sforzo con la memoria, richiamando quella legata alla redirezione del traffico di Facebook attraverso router di China Telecom avvenuta martedì. Che si tratti o meno di errori, la maggior parte delle volte in cui si legge di notizie del genere si finisce irrimediabilmente per affrontare il discorso legato alla possibilità di ridurre i rischi utilizzando la connessione sicura HTTPS, grazie alla quale in soldoni i dati sensibili non vengono trasportati in chiaro in giro per la rete. Inizialmente usato per lo più da banche e altre realtà di una certa importanza affacciate su Internet, HTTPS è diventato di recente un requisito fondamentale anche per proteggere dati riguardanti "semplici" account: lo sanno bene anche Facebook, Google e Twitter, che hanno deciso di dare la possibilità ai loro utenti di forzare tutte le connessioni anche al di là della fase di login attraverso il protocollo di sicurezza.

Ma se HTTPS è la soluzione di gran parte dei mali, perché non viene adottato in massa da tutto il Web? Se lo chiedevano qualche giorno fa su Arstechnica, dove per affrontare l'argomento hanno interpellato uno degli esperti sull'argomento del W3C: Yves Lafon, secondo il quale la problematica principale sarebbe legata alla impossibilità di avere una cache efficiente, non tanto per connessioni che avvengono nella stessa regione, ma per eventuali punti collegati da un punto all'altro del mondo. Un ulteriore problema, che si riallaccia a quello tecnico della cache, è legato alle prestazioni: sempre secondo Lafon, lo scambio iniziale di chiavi SSL andrebbe ad aggiungere ulteriore tempo alla latenza, rendendo di fatto un web ideale costruito solo su HTTPS più sicuro, ma allo stesso tempo anche più lento allo stato attuale della tecnologia.

Ma le ragioni sembrano essere molteplici, e come spesso accade c'è in ballo anche una questione di costi, dovuta principalmente all'elevato prezzo dei certificati necessari per far funzionare l'HTTPS, ma non solo. C'è da considerare anche la gestione delle connessioni stesse, che richiedono investimenti maggiori rispetto al semplice HTTP: prezzi che comunque possono essere ritenuti irrisori almeno per realtà che si vantano di far circolare milioni di dollari al solo pronunciare del loro nome. Per le i portali minori invece, l'uso di HTTPS vuol dire non poter contare sull'hosting virtuale, uno dei metodi più economici di hosting attualmente in circolazione, ma anche per questo problema ci sarebbe una soluzione che si chiama Transport Layer Security (TLS) Extensions .

La conclusione alla quale arriva Arstechnica è che dunque non esistono sostanzialmente motivi reali, ma ragioni pratiche per le quali con la tecnologia e i costi attuali HTTPS non è ancora diventato uno standard d'uso da parte dei siti che trattano dati sensibili. La cosa potrà molto probabilmente cambiare in futuro, visto l'andazzo attuale: se i siti stanno decidendo, anche solo pian piano, di passare ad HTTPS rinunciando alla velocità, vuol dire che gli utenti sono disposti a sopportare un po' di rapidità in meno in cambio di un livello di sicurezza decisamente elevato rispetto ad HTTP. Cosa ne pensate?

Foto | Flickr

  • shares
  • Mail
2 commenti Aggiorna
Ordina: