Smau 2017. Google e HTTPS, il web cambia faccia

Google e HTTPS: il web cambia faccia

Lorenzo NutiniCloud Services – Product Manager

Parliamo di…

● PROTOCOLLO HTTPS E CERTIFICATI SSL

● LA SICUREZZA NELLO SCAMBIO DATI TRA UTENTE E SITO

● GOOGLE CHROME: COSA STA CAMBIANDO DA OTTOBRE

● SSL: PERCHÈ I NUMERI CI DICONO CHE SONO ESSENZIALI

● I VARI TIPI DI CERTIFICATI: DV, OV E EV

● UNO SGUARDO AL FUTURO DEI BROWSER

Google e HTTPSIl Web cambia faccia

Alcune definizioni

HTTPS (Hypertext Transfer Protocol Secure)

E’ un protocollo per la comunicazione su Internet che

permette la trasmissione di dati in modo sicuro.

In HTTPS i dati sono crittografati tramite una ‘chiave pubblica’

contenuta all’interno del certificato SSL fornito dal server.

Solamente chi è in possesso della ‘chiave privata’ potrà

decifrare i dati trasmessi.

GOOGLE E HTTPS: IL WEB CAMBIA FACCIA

Certificati SSL e Protocollo HTTPS

CRITTOGRAFIA

I dati scambiati vengono

criptati per proteggerli

dalle intercettazioni.

INTEGRITÀ DEI DATI

I dati non possono essere

modificati durante il

trasferimento.

INTERLOCUTORE SICURO

Garantito dalla presenza di un

certificato SSL rilasciato da una

Certification Authority (CA)



Certificati SSL e Protocollo HTTPS

Un certificato SSL è un documento

elettronico che garantisce l’associazione univoca

tra un dominio, la relativa chiave pubblica e il

soggetto a cui è intestato.

L’autenticità dei dati è garantita da un ente

ufficiale e riconosciuto a livello internazionale, la

Certification Authority.


Riassumendo…Grazie ad un certificato SSL correttamente installato ed al

protocollo HTTPS, le informazioni scambiate tra il sito web ed

il browser dell’utente sono criptate, impedendo a

malintenzionati di intercettarle e decifrarne il contenuto

E ora parliamo di Google…

Cosa cambia da ottobre 2017Google ha fatto un netto passo in direzione della sicurezza

informatica annunciando che dalla fine di Ottobre un sito

web privo di Certificato SSL verrà indicato dal browser

Chrome come "Non sicuro" se contiene:

● moduli di pagamento

● moduli di contatto

● moduli di autenticazione o di registrazione utenti.

GOOGLE CHROME: COSA STA CAMBIANDO

Cosa è cambiato da gennaio 2017GOOGLE CHROME: COSA STA CAMBIANDO

Già oggi, tutti i siti che contengono form per la richiesta di password o carte di credito vengono mostrati come ‘Not secure’ se non hanno un certificato SSL

Cosa cambierà da ottobre 2017GOOGLE CHROME: COSA STA CAMBIANDO

Saranno segnalati come ‘Not secure’ se non in HTTPS, tutti i siti che contengono form di inserimento dati di qualunque tipo.

61

Non tutti ancora sono aggiornati GOOGLE CHROME: COSA STA CAMBIANDO

Dati raccolti al 16/10/2017

Quindi…GOOGLE CHROME: COSA STA CAMBIANDO

La soluzione è avere un Certificato SSL su protocollo HTTPS perché:

● garantisce una buona reputazione del sito

● aumenta la credibilità del brand

● salvaguarda o addirittura migliora il posizionamento sui risultati

delle ricerche di Google che certamente privilegerà i siti

conformi alle nuove disposizioni.

Ma cosa ne pensano gli

utenti?

Certificati SSL : alcuni numeriGOOGLE E HTTPS: IL WEB CAMBIA FACCIA

PADLOCK (LUCCHETTO)

79%degli utenti sono più propensi a

completare un acquisto se vedono nella URL un lucchetto.

SECURITY WARNING

80% degli utenti che vedono un

Security Warning non proseguono la navigazione.

Fonte dati (settembre 2017):

Certificati SSL : alcuni numeriGOOGLE E HTTPS: IL WEB CAMBIA FACCIA

Solo il

47%dei nuovi sitioffre HTTPS

Solo il

32%dei siti

offre HTTPSdi default

2017

19MLN di SSL

2016

5MLN di SSL

Fonte dati (settembre 2017):


• Ill sito che sto visitando è sicuro

• Ill sito che sto visitando è reale e non contiene vulnerabilità

• So chi afferma di essere il sito

• Ill sito che sto visitando non contiene malware

• Posso essere sicuro che l’organizzazione da cui sto acquistando tramite il sito è autentica

Vedere questo nel proprio browser cosa significa?

NO


Significa che i dati fra il computer con cui sto visitando il sito ed il server che ospita il sito sono criptati e che sono connesso a quel dominio.

Vedere questo nel proprio browser cosa significa?


Riassumendo…

● Sappiamo cos’è un certificato SSL e come lavora il protocollo HTTPS

● Sappiamo cosa sta cambiando nel mondo di Google.

● Sappiamo che importanza ricoprono gli SSL a prescindere dai browser.

Come rispondiamo a questi cambiamenti?


Il primo attore: la Certification Authority

«In crittografia, una Certification Authority (CA) è un soggetto terzo di fiducia (thrusted third party), pubblico o privato, abilitato ad emettere un certificato digitale tramite una procedura di certificazione che segue standard internazionali e in conformità alla normativa europea e nazionale in materia»

Fonte:Wikipedia


Il primo attore: la Certification Authority

Per l’adozione di un canale sicuro HTTPS, un certificato SSL può essere generato localmente (Self-Signed).

Ma i browser supportano e riconoscono solamente i certificati emessi da CertificationAuthority.

Per cui la scelta della CA è un aspetto molto importante di cui tener conto.


Viene validato solamenteche il richiedente del certificato è in grado di gestire il dominio per cui lo sta richiedendo.

I visitatori di un sito web con certificati DV non possono essere certi, tramite il certificato, dell’organizzazione o attività che c’è dietro il richiedente.

SSL DV (Domain Validation)

Viene validata l’organizzazione richiedendo informazioni aggiuntive o direttamente attraverso i vari registri delle imprese.

E’ il livello di certificazione minimo adottato da chi ospita servizi di e-commerce, e consente ai visitatori del sito di conoscere l’organizzazione/attività del richiedente.

SSL OV (Organization Validation)

I diversi tipi di certificato: DV, OV, EV

Rispetto ad un certificato OV standard la documentazione richiesta è maggiore e la CA contatta il richiedente anche telefonicamente.

SSL EV(Organization Validation)

E’ l’unica tipologia a mostrare la barra di navigazione verde


Scegliere un certificato SSL: Esempi pratici

Ho un sito web in cui non ho e-

commerce, né form di login per

accedere a un’area riservata. Non

chiedo nemmeno un’ iscrizione ad

una newsletter, quindi non

raccolgo alcun tipo di informazione

personale.



Sarà tuttavia importante esporre il

proprio sito in HTTPS per evitare di

visualizzare il messaggio di “non sicuro”

e di essere penalizzato a livello di

ranking da Google

E’ sufficiente abilitare un certificato

SSL di tipo Domain Validation gratuito

(es: Let’s Encrypt o Encryption

Everywhere), per non mostrare alcun

avviso di sito Non sicuro.



Ho un sito web che permette agli

utenti di registrarsi, di effettuare

un Login attraverso le proprie

credenziali e di iscriversi alla

newsletter.


Scegliere un certificato SSL: Esempi praticiIn questo caso, tra browser e server

vengono scambiati dati personali e per la

connessione sarà necessario utilizzare il

protocollo HTTPS, altrimenti comparirà il

messaggio «Non sicuro».

Il certificato può essere anche gratuito di tipo Domain Validation (Let’sEncrypt), ma è consigliabile utilizzare un certificato emesso da una Certification Authority.


Scegliere un certificato SSL: RapidSSL

Un certificato come RapidSSL offre:

● assistenza online

● possibilità di acquisto per un periodo maggiore ad un anno

● possibilità di attivare l’opzione Wildcard per permettere la protezione di tutti i sottodomini.

Let’s Encrypt ha validità 90 gg

e non supporta, ad oggi, il wildcard.

HIGHLY RECOMMENDED



L’aumento di casi di phishingcon HTTPS è cresciuto quasi del 20% nei primi 3 mesi del 2017.

Il 58% dei certificati di siti di phishing sono stati emessi tramite “Let’s Encrypt”



«Ho un sito web che, oltre a

richiedere la registrazione al portale,

permette all’utente di acquistare dal

proprio store, accettando varie

tipologie di pagamento tra cui

PayPal e Carta di Credito. Inoltre, mi

piacerebbe poter proteggere anche

alcuni sottodomini (esempio:

shop.miodominio.it).»



Certificato SSL consigliato:

Per gli scenari tipici di e-commerce è

sconsigliato optare per un certificato che

abbia esclusivamente una validazione di

dominio perché questa tipologia di certificati

non garantisce che il proprietario del sito sia

chi dice di essere.

È invece consigliabile adottare certificati SSL a validazione di azienda (OV).


Scegliere un certificato SSL: OV

Per i certificati SSL a validazione aziendale, il

rilascio del certificato avviene solo dopo una

procedura di verifica sull’organizzazione

richiedente.

Su questa tipologia di certificati sarà inoltre

possibile applicare l’opzione Wildcard o SAN

(subject alternative name) che permette la

protezione di domini con CN (common name)

differenti.HIGHLY RECOMMENDED


E-commerce con Certificato Let’s Encrypt

Fonte Netcraft / Symantec


E-commerce con Certificato Let’s Encrypt

Issued to: xxxxxxxxxxx.com

Issued by: Let’s Encrypt Authority

CN=xxxxxxx.com



E-commerce con certificato SSL OV

EV extension

sudomains



E-commerce con certificato SSL OV

OU= Hosted by Dada S.p.

OU=sistemi

O= Register.it S.p.A.

STREET = Viale Giovine Ita

L= Firenze

S= Italy

PostalCode= 50122

C= IT

subdomains

DNS NAME= controlpanel.register.it

DNS NAME= payment.register.it

DNS NAME= spid.register.it

DNS NAME= www.register.it


Uno sguardo ai browser


Il CA Security COUNCIL

Il CA Security COUNCIL con il sostegno delle 5

principali CA sta promuovendo da tempo una

petizione per arrivare a rendere universale e

trasversale fra tutti i browser l’interfaccia per

mostrare le informazioni chiedendo inoltre di

differenziare l’interfaccia in base alla tipologia

di certificato SSL presente.

HTTPS://casecurity.org/identity/


L’importanza del messaggio univoco Ad oggi i browser non hanno una standardizzazione delle interfacce con cui mostrare se lanavigazione è sicura o meno o la tipologia di certificato SSL presente.



360 Secure Browser360 Secure Browser (44% del mercato in Cina) ha già iniziato ad adottare iconografie diverse per le varie tipologie di certificati SSL in modo da rendere sempre più facilmente percepibile all’utente il certificato che c’è dietro al sito che si sta navigando.


Riassumendo…● Google ha dichiarato apertamente di voler spostare in HTTPS tutto il traffico web e da

gennaio del 2017 ha iniziato a penalizzare sempre più la navigazione in chiaro. Anche altri browser stanno andando nella stessa direzione.

● Per abilitare ed adottare il protocollo HTTPS (e far sparire l’avviso di “non sicuro”) può bastare anche un certificato DV gratuito come “Let’s Encrypt” o “Encryption Everywhere”.

● I certificati Domain Validation sono tuttavia sconsigliati per chi ha bisogno di consolidare un business in rete e molto presto i browser potrebbero iniziare a mostrare in modo diverso i certificati di questo tipo.

●E’ importante scegliere fin da ora il certificato SSL più appropriato alle

proprie necessità per garantirsi sicurezza e credibilità in rete!

Google e HTTPS: il web cambia faccia

Q&A

Grazie!

HTTPS://www.register.it/certificati-ssl/

035 32 30 330

Smau 2017. Google e HTTPS, il web cambia faccia

Internet

Transcript of Smau 2017. Google e HTTPS, il web cambia faccia