di Davide Pavani

Riconoscere un sito web sicuro

Uno dei maggiori problemi per chi naviga su internet e non è particolarmente avvezzo all’utilizzo dell’informatica, è quello di riconoscere l’autenticità e la sicurezza di un sito web.

L’obiettivo in genere è quello di curiosare, informarsi o fare acquisti di vario genere, rischiando di esporsi a vulnerabilità su dati sensibili quali password, dati della carta di credito e dati personali.
Esistono siti “fake” (falsi) che a primo impatto potrebbero sembrare identici a quelli che utilizziamo comunemente, in quanto la parte grafica è facilmente riproducibile, ma in realtà hanno l’unico scopo di attrarre potenziali “vittime”. Come distinguere i siti “fake” da quelli sicuri?

Fortunatamente non è nulla di troppo complicato, anche se potrebbe sembrarlo: basta verificare il protocollo utilizzato per la connessione tra il PC e il server che ospita il sito web.

Il protocollo utilizzato per permettere la comunicazione tra PC e server, è l’HTTP (hypertext transfer protocol), ma questo protocollo non rende sicura la connessione visto che, oltre a non conoscere l’autenticità del server con cui si comunica, i nostri dati potrebbero dover seguire un lungo percorso prima di arrivare al server, rischiando di essere intercettati da programmi chiamati “packet sniffer” (consentono di ‘prelevare’ pacchetti dal traffico della rete).

La soluzione a questo problema è il protocollo HTTPS (HTTP + SSL/TLS) che incapsula l’http in una connessione cifrata con il server.
Il protocollo SSL/TLS mantiene privato (tramite crittografia) il collegamento e autentica il server con cui si comunica.
Nella pratica la questione è molto più semplice.
Come esempio prendiamo un sito famoso su cui quasi tutti almeno una volta hanno fatto un acquisto, o quanto meno sono andati a “curiosare”: Amazon.
Sotto riportato quanto appena descritto:

Ma è sufficiente?

Diamo uno sguardo più da vicino

Cliccando sul lucchetto si può notare che il server è dotato di un “certificato digitale” valido che lo autentica.

È possibile scendere ancora più nel dettaglio controllando l’ente che ha rilasciato il certificato e il tipo di crittografia utilizzata:

Infatti, cliccando su ‘Certificato (Valido)’ si aprirà una finestra con altri dettagli:

Per quanto riguarda l’autenticazione si possono vedere tutte le informazioni sul certificato digitale e da chi è stato rilasciato.

Per la sicurezza, invece, nella sezione ‘dettagli’ della finestra aperta si possono vedere due informazioni importanti:

Nella parte selezionata (evidenziata in blu) è possibile vedere l’algoritmo di cifratura utilizzato e la lunghezza della chiave utilizzata.

Ogni algoritmo di cifratura (esempio: RSA) utilizza metodi diversi e chiavi di diverse lunghezze, nel nostro caso sono considerate sicure chiavi da 2048 a 4096 bit perché mai “superate” da hacker.

Di conseguenza, in base all’algoritmo di cifratura utilizzato dal sito, occorrerebbe andare a verificare quali chiavi sono considerate ‘sicure’ in base all’algoritmo utilizzato.

In genere, per i siti principali di grandi aziende, come Amazon o Facebook, si controlla principalmente l’autenticità per assicurarsi di non essere su un sito “fake”, poiché aziende così grandi non possono permettersi di offrire servizi non sicuri ai loro utenti.